1. Різне. Головна подія тижня сталося несподівано. В улюбленій московськими чиновниками грі "за владу"...
2. Невеликі замальовки.
3. Верхолази.

Різне.

Головна подія тижня сталося несподівано. В улюбленій московськими чиновниками грі "за владу" хтось наплював на правила, і поміняв "знесення". В результаті пан Рейман "отримав" у володіння вже місяць як скасоване міністерство ...

Втім, смакування підкилимної боротьби залишимо традиційним газетам форматів від A4 до Tabloid. Важливіше результат. Хоч якась примарна надія на зміни на краще згасла. Колишній міністр, колишні люди, колишній тотальний непрофесіоналізм, безграмотність і "безкорисливе" лобіювання.

Тільки ліцензій і сертифікатів обіцяють зробити більше. Що б незалежні оператори не розслаблялися, і платили, платили ... Ні, не державі звичайно, що за дурість. Є ж спеціальні приватні фірми для цього! Тут треба дати слово експерту - Особливості національної сертифікації і Чорна діра Антона Богатова.

Традиційна цитата. Можна багато говорити про переваги і недоліки вітчизняної сертифікації взагалі і системи ССС зокрема. Зрозумілим є одне: сертифікація в Росії потребує радикальної реформи, оскільки в нинішньому вигляді має місце елементарна профанація міжнародної практики підтвердження відповідності, що завдає серйозної шкоди і національним операторам зв'язку, і постачальникам і виробникам устаткування, а головне - світовий репутації Росії.

І з цим важко не погодитися - тим більше на тлі "повернення" мінзв'язку.
:-(

Перейдемо до забавного. На дворі весна, і потрібно привітати читачів з настанням садово-городнього сезону (надіслав Sergei Bershadsky).

От цікаво, підв'язувати малину можна тільки патчкордами Категорії 5, або Категорія 3 той же згодиться?

І ще одне весняне фото, майже таке ж значуще, як приліт граків в російському сільському господарстві.

Грозозахист стояла на абонента. Свитч Surecom, пятіпортовий, в металевому ящику, всі порти захищені аналогічними пристроями. Стороннього проникнення в ящик не було. Механічного пошкодження не було.

Однак порт цілий, комп'ютер абонента цілий, решта захисту цілі. Розірваний основний захисний елемент (високовольтний стабілітрон), оплавлені дріт заземлення, лінійні елементи (діоди) цілі. Що могло статися - загадка до сих пір.

Ну і найцікавіше (на мій погляд) подія в домашніх мережах - навіть не за тиждень, а принаймні за місяць. Користувач домашньої мережі тепер може заробити на трафіку .

Короткий зміст проекту. Гроші отримують абоненти - власники інтернет-ресурсів (ftp-архівів). Якщо у користувача є файловий архів і він зареєстрований у каталозі КАБiNET , То за кожен мегабайт трафіку, скачаний з нього абонентами КАБiNET з інших сегментів, на його особовий рахунок перераховується 5 копійок. Для того, хто трафік викачує, він коштує 20 копійок.

З моменту початку проекту пройшло всього кілька днів, але вже можна говорити про успіх. В каталозі зареєстровано понад 300 ресурсів користувачів (це з майже 6000 абонентів мережі). Докладної статистики немає, але відомо, що одному користувачеві за день було нараховано 72 рубля (тобто з його комп'ютера було завантажено 1 440 мегабайт).

Конечно не добре рахувати гроші в чужій кишені. Але з провайдерами цікавіше говорити саме про бізнес, а значить і про прибуток - тут нікуди не дітися. Нескладно підрахувати, що фірма-організатор проекту отримала за день на одному з учасників проекту 216 рублів. І це на третій день роботи файлового архіву.

Якщо зробити приблизну примірку, то з 300 ресурсів і при поширенні ідеї в масах абонентів, можна буде отримувати близько $ 500 в день, або $ 10-15 до $ в місяць. Не те, що б це було дуже багато для мережі такого великого масштабу, але зайві $ 1-2 з абонента отримати цілком ймовірно. А це вже зовсім не погано.

Звичайно є і підводні камені - при активному споживанні внутрішніх ресурсів може впасти більш вигідний (для оператора) зовнішній трафік. Хоча це малоймовірно - "важкі" ресурси в Єкатеринбурзі мало хто споживає в помітних обсягах, це занадто дорого (3-4 рубля за мегабайт). З іншого боку, у "перепродажу" внутрішнього трафіку є резерв зростання - зараз підрахунок ведеться тільки між сегментами, всередині (а це 200-300 користувачів) нічого не вважається.

Думаю, більш точні результати будуть відомі через кілька місяців. А поки - є тільки цікава і досить красива ідея, як можна завантажити мережу трафіком без особливих вкладень. Ну і не без прибутку, звичайно. ;-)

Оновлення в розділах.

Антивірусна перевірка http трафіку.

Минули ті часи, коли по мережі можна було ходити "просто так". Сучасний интернетчик споряджений як рейнджер - без "свіжої" фаервола, антивіруса і антітроян виходити за межі локалки можна ... Але не довго.

При широкополосном підключенні досить одного необережного кліка мишею ... І комп'ютер перетворюється на бомбу безпосереднього чи, гірше того, уповільненої дії. Так, в 95% випадків в появі вірусів винні самі користувачі. Але буває, що від неприємностей не рятує навіть 15-ти річний досвід роботи в інтернет.

Чи повинен провайдер захистити абонентів від такого "щастя" за допомогою фільтрації http трафіку? Думаю що безумовно, тільки з можливістю виключення цієї опції за бажанням. Принаймні здійснювана оператором антивірусна перевірка пошти дуже зручна, про останню епідемії мені вдалося дізнатися тільки з новинних стрічок, та за обсягом папки "trash".

Повинна така фільтрація бути безкоштовною, або платній - питання складне. Ресурсів вона зажадає (на відміну від пошти) неабияк, тому одного рішення немає. Але ось про технічному рішенні антивірусної перевірки http хотілося б розповісти докладніше.

Тому пропоную текст, який написав Едуард Афонцев , Єкатеринбург.

Класична схема організації доступу в Інтернет має на увазі наявність шлюзу, через який підключено клієнтські робочі станції. В рамках захисту від вірусного зараження постає завдання антивірусної перевірки проходить через шлюз трафіку. І якщо перевірка поштових повідомлень не викликає ніяких труднощів (існує маса антивірусних рішень на базі avp, drweb, clamav і інших), то обробка http потоку до сих пір не є шірокораспространенние.

Найбільш відомі способи антивірусної перевірки http трафіку можна розділити на наступні групи: пакетні фільтри з підтримкою контентної фільтрації, IDS (системи детектування вторгнень) і проксірующіе програми з антивірусної підтримкою. Розглянемо можливі некомерційні рішення по порядку.

Пакетні фільтри і їх модифікації.

Netfilter

До першої групи безсумнівно належить linux netfilter - штатний фаєрвол в сучасних linux ядрах. Після накладення додаткового патча стає можливо налаштовувати пакетний фільтр для фільтрації за вмістом пакетів. Наприклад, для блокування вірусу Code Red досить заборонити проходження пакетів, що містять підланцюжок "cmd.exe":

iptables -I INPUT -j DROP -p tcp -m string --string "cmd.exe"

Layer 7 filter

Layer 7 filter - це новий пакетний класифікатор для ядра linux. На відміну від інших класифікаторів, даний виконує пошук регулярних виразів на рівні додатків. Практично є патч для linux ядра і iptables. В принципі є розширенням netfilter для обробки layer 7 трафіку.

Halflife

Призначений для фільтрації не на транспортному рівні, як більшість фаєрвол, а на рівні додатків. Створює додаткове чергу в netfilter, яку можна обробляти наприклад антивірусної перевіркою. В даний час даний проект ще не реалізований у вигляді програмного коду.

IDS (системи детектування вторгнень).

Snort

Snort - це потужний перехоплювач і аналізатор мережевого трафіку, заснований на бібліотеці libpcap. Може виробляти як аналіз протоколів (виявляти пакети невідповідні стандартам) так і аналіз сигнатур (в перехоплюваних пакетах виявляються ворожі зразки). Як такої антивірусної перевірки не виробляє, але може сигналізувати про характерному для поширення вірусів трафіку і з використанням численних розширень управляти фаєрвол для блокування.

Розширення проксірующіх серверів за принципом вбудовування в ланцюжок переданих даних.

Viromat

По суті php скрипт, який здійснює антивірусну перевірку в складній ланцюжку:

• користувач надсилає запит на проксі сервер (наприклад squid);
• проксі передає url редиректору (наприклад squirm);
• url сканується, і якщо містить .exe .zip тощо, то;
• редиректор змінює url на php скрипт знаходиться на локальному http сервері;
• php скрипт завантажує об'єкт і перевіряє його антивірусом;
• якщо все в порядку, то проксі (а потім і користувачеві) віддається об'єкт з локального сервера.

В даний час проект заморожений.

Viralator

Дана програма є perl скриптом, який працює аналогічно viromat і фактично є його продовженням. Вимагає наявності проксі сервера (squid), редиректора (squirm або squidguard) і http сервера apache, на якому запускається власне viralator (як cgi perl додаток). Може використовувати безліч антивірусних пакетів (avp, openantivirus, clamav і інші). Конструкція досить громіздка, але в принципі працездатна.

Mod_clamav

Mod_clamav - це Apache 2 фільтр, який сканує контент, що доставляється модулем mod_proxy, використовуючи clamav антивірус. Для того, щоб при обробці великих файлів браузер не видавав таймаут, браузеру раз в хвилину передається по байту запитаного вмісту.

Mod_vscan

Mod_vscan є аналогом mod_clamav, тільки для перевірок використовується open antivirus.

Squid-vscan

Squid-vscan є патч для проксі сервера squid, що дозволяє сканувати дані, що передаються на наявність вірусів. Входить в проект open antivirus.

DansGuardian

В принципі dansguardian призначений для фільтрації переданого контенту в зв'язці з проксі сервером squid. Існує патч для додавання антивірусних перевірок.

Розширення проксі серверів на основі спеціальних протоколів.

Ймовірно, першими були програмісти фірми CheckPoint, які запропонували для своїх продуктів протокол CVP (Content Vectoring Protocol). Однак в силу непоширеності ми його розглядати не будемо.

Найбільш сучасним підходом до маніпулювання http трафіком в потоці є використання протоколу ICAP (internet content adaptation protocol). Детальніше про нього можна почитати за адресами: 1 , 2 .

Коротенько Icap - базується на http і може модифікувати як запит клієнта, так і відповідь сервера. Завдання, які вирішуються - модифікація контенту, потоковий переклад і адаптація, стиснення даних, антивірусна перевірка і багато іншого.

По дорозі використання протоколу icap пішли такі відомі виробники програмного забезпечення як drweb, symantec, trend micro. Думаю, що очікуються і інші.

Розглянемо некомерційні рішення.

Shweby

Shweby - проксі сервер з підтримкою ICAP протоколу, що дозволяє передавати дані ICAP сервера, який може здійснювати антивірусну перевірку.

Poesia

Заснований на ICAP програмний комплекс для фільтрації інтернет контенту.

Squid icap client

Розширення відомого проксі сервера squid для підтримки ICAP протоколу. Найбільш перспективне рішення, що дозволяє здійснювати антивірусну (і не тільки) обробку кешувального контенту. Недарма програмісти DrWeb, спочатку використовували підхід viralatora, в подальшому перейшли на squid + ICAP (практично розробивши ICAP сервер антивірусних перевірки).

Висновки.

Закінчуючи огляд методів потокової антивірусної перевірки http трафіку, можна зробити наступні висновки:

Практично всі рішення на основі пакетних фільтрів базуються на розширенні функцій підсистеми netfilter ядра ОС linux. Очевидно, що повноцінна антивірусна перевірка в даному випадку складними - адже на транспортному рівні (TCP / IP) дані представлені в вигляді окремих блоків. Найбільш просто здійснювати пошук окремих регулярних виразів (вірусних сигнатур), що і реалізується. В принципі, на мій погляд, аналогічне рішення можна виконати, використовуючи netgraph ОС FreeBSD, але поки подібних проектів немає.

Використання систем IDS дозволяє відстежити і блокувати потік даних, що генерується вірусами, тим самим запобігаючи їх поширення. Однак даний метод обмежений тільки вірусами, які використовують мережеві функції.

Найбільш ефективним є використання проксі сервісів - додаток посередник має великі можливості по обробці переданих клієнтові даних.

Шірокораспространенние проксі сервер squid (http, ftp) допускає підключення зовнішніх програм (редиректоров) для маніпуляцій з робочою url. Запитуваний клієнтом url передається редиректору, який може з ним маніпулювати і повертати результат для подальшої обробки проксі сервера. Недоліки цього методу для антивірусної перевірки виражаються в тому, що звернення до редиректору відбувається до скачування даних проксі сервером і необхідно вживати додаткових заходів для кешування і запобігання таймаутів для клієнтської програми.

Використання http сервера apache в якості проксі з функціями фільтрації в принципі працездатний, але ідеологічно неприродно - адже основною функцією apache все ж є зовсім інше.

Залишається застосування проксі сервісів з підтримкою протоколу ICAP - найбільш сучасне і розвивається на сьогодні рішення. Цим шляхом пішли відомі виробники антивірусних рішень, такі як Symantec, Trend Micro, Dr Web. Однак на превеликий жаль некомерційного програмного продукту (сервера icap з антивірусною перевіркою) поки немає.

Невеликі замальовки.

Ось так виглядає "малобюджетна стійка".

Надіслав Юрій, компанія Імілайн

Невелика замальовка про інтернеті в Казахстані, надіслав Дібров Вадим .

Раніше жив я в Казахстані, в Кустанайській області (межує з Челябінської) і зараз іноді туди їжджу.

Так ось, з інтернетом там біда. Ні, можливо в столиці, Акмолі, все нормально, але в моєму місті (Рудний, 140 тис. Населення) і в обласному центрі, Кустанаї, ситуація сумна.

Найпоширеніше підключення, diulUp є 2-х видів, внутрішній і зовнішній. Вони так його і називають, казахський інтернет і російський інтернет. Єдиний модемний пул, універсальний для будь-якого регіону, як і тарифи. Як руснет так і Казнет, ​​номери телефонів відрізняються незначно. Набирається як міжміські, через 8-ку. Підключення через Казнет обмежує роботу тільки казахськими ресурсами, мабуть по IP. Зовнішні ресурси не пінгуються.

У моєму місті інших варіантів підключення немає. Слово "провайдер" там не знають. Навіть найбільше в регіоні підприємство - гірничо-збагачувальний комбінат (3 найбільших кар'єра, видобувних залізну руду) до недавнього часу ходило в немає через звичайні модеми. Зовсім недавно на цьому підприємстві з'явився xDSL ...

Установка антен на будівлі (надіслав Олександр Авдєєв ):

Думаю що будівля на фотографіях представляти не потрібно ...

Верхолази.

Ось так ось доводиться іноді ставити антени (надіслав Yury Green):

Це явно не дах 5-ти поверхівки ... Та й антена серйозна планується.

Анонс

• Замальовки вузлів різних провайдерів (в основному стійки). Нарешті очікуються "позитивні" приклади.
• Перехід через залізницю (кілька фотографій);
• У галереї - мережі в Якутську.
• Мережі навчальних закладів в Німеччині (довгобуд);
• Традиційний пункт - посилання на цікаві місця Мережі. Надсилайте листи - вони дуже потрібні для оглядів. Обов'язково повідомляйте, чи потрібна Ваша підпис, посилання, або краще обійтися без неї;
• В "фільмах жахів" - "вузол в холодильнику", Улан-Уде.