Продукты для бизнеса и людей, ценящих своё время

Релиз Carbon Reductor 8.01.01 3423

Самое важное

Решена проблема с обновлением на новые версии продукта. Ранее была ошибка в системе, которая в некоторых случаях не позволяла выполнить обновление на последнюю версию.

Веб-интерфейс

Теперь при выполнении авторизации с неверной парой логин/пароль высвечивается ошибка.
Восстановлен график устаревания списков, а также исправлена логика его отрисовки. Теперь можно видеть дату изменения локального дампа.
Ранее, после устранения неисправностей, отображались старые ошибки — исправлено, в диагностике отображаются только актуальные ошибки.

Мониторинг

Добавлен тест, выполняющий проверку включения всех обязательных опций для обеспечения высокого качества фильтрации.
Исправлен тест для проверки гипертрединга — проверка не производится на процессорах семейства AMD.
Исправлена ошибка при проверке собственных списков провайдера, если в чёрном списке использовались подсети, то тест завершался с ошибкой.

Фильтрация

Из меню скрыты опции, которые являются обязательными для достижения уровня фильтрации, требуемого законодательством.
Исправлена ошибка рестарта, которая приводила к продолжительному выполнению режима обслуживания.
У серверов был отключен резолвер, чтобы избежать блокировки популярных ресурсов (vk.com, avito.ru и другие), функционал фильтрации при этом не пострадал.

Списки, выгрузки

Исправлена работа белых списков для ip_block. В некоторых случаях они не работали.

Обновление

В Carbon Reductor 7 внесены важные изменения, позволяющие быстро перейти на Carbon Reductor 8.

Прочее

В мастере установки вопрос о настройке сети отображался некорректно — исправлено.
Логирование dns запросов не используется, поэтому было удалено из menu и всех скриптов, которые его проверяли.

Спасибо, что пользуетесь Carbon Reductor!

Рубрика: Carbon Reductor DPI, Новости | Дата: 2017-07-12

Релиз Carbon Billing 5.24.01

Добрый день!

Выпущена новая версия Carbon Billing 5. Вновь повышаем надёжность, отказоустойчивость биллинга, а также не забываем про новый функционал.

Надёжность, отказоустойчивость, безопасность

По нашим расследованиям падений БД, самой частой причиной было нарушение целостности файловой системы. Мы внедрили технологию теневой копии БД на отдельном разделе. Это позволило уменьшить вероятность повреждения БД до минимума, так как шанс, что обе файловые системы, работающие под разной нагрузкой, повредятся при ресете питания — крайне мала.

Для повышения безопасности добавлена возможность указывать нестандартный порт для ssh при установке биллинга. Также улучшена отказоустойчивость модулей отвечающих за сбор и агрегацию трафика.

Ядро биллинга

В ядре проведена работа по оптимимации кода, что в итоге снизило нагрузку на сервер и в целом ускорило работу биллинга. Сделана большая ревизия кода отвечающего за отправку событий, убраны лишние события и оптимизирована скорость обработки — теперь события обрабатываются в 2 раза быстрее. Улучшен алгоритм переключения лестницы скоростей по тарифу, теперь эти действия не засоряют аудит и потребляют меньше ресурсов.

Расширен функционал отчётности и взаиморасчётов операторов связи по агенсткой схеме для телефонии, теперь можно отдельно выставлять агентские счета по каждому вышестоящему оператору.
Исправлены ошибки перерасчёта.
Доработан функционал, отвечающий за привязку и обработку двух и более договоров на одном счёте. Теперь в одном акте, который высылается абоненту можно разграничить оказанные услуги по нескольким договорам. Также исправлены мелкие ошибки.
Улучшен функционал миграции с других биллингов — добавлена возможность повторной миграции в ускоренном режиме.
Некоторым пользователям при полном перерасчёте требовалось перерасчитать всю телефонию, в новой версии это возможно.
У пользователя при использовании опции «Сдвигать дату ежемесячного списания», переход на тариф просходил 1-го числа месяца, а не в дату, куда было сдвинуто списание — исправлено.

Веб-интерфейс администратора

Добавлен новый функционал по просьбе пользователей, исправлены мелкие ошибки и проведены некоторые улучшения.

Для удобства добавлена возможность сразу скачивать pdf при печати документов.
Улучшен алгоритм подсчёта абонентов в дереве абонентов, в некоторых случаях цифры были неправильными и исправлялись только ночью при полном перерасчёте дерева.
По многочисленным просьбам в расширенный поиск добавлена возможность массового изменения результата поиска. Например, это пригодится тогда, когда Вам необходимо по какому-то признаку поменять тариф абонентам.
В 2 раза увеличена скорость отклика информации по абоненту в веб-интерфейсе администратора.
Некоторым пользователям требовался рекурсивный поиск по группе абонентов — эта опция добавлена в расширенный поиск. При включённой опции поиск будет осуществляться и по группам и по подгруппам.
Исправлены ошибки веб-интерфейса, о которых Вы сообщили.
По просьбе нескольких пользователей добавлено поле для написания комментария в операциях прихода.
Добавлена необходимая запись в аудит, чтобы было очевидно, делался ли перерасчёт по абоненту и на какой период — в некоторых случаях это сложно было понять.
Если пользователь задавал недостаточно детальный поиск по абонентам в базе более 10 тыс. абонентов это приводило к ошибке поиска — исправлено.
Для интеграции с 1С добавлен обработчик для облачных решений.

Платформа

Переработана система изменения и генерации DHCP Subnets, теперь она работает предсказуемо и не дублирует данные.
Добавлена возможность восстановления базы данных из резервной копии сразу из веб-интерфейса.

Платёжные системы

Обновлён протокол работы с платёжной системой Uniteller.
Некоторые кассиры не могли понять зачислен ли платёж через веб-кассу и ошибочно проводили второй. Теперь подобные ситуации исключены, система сообщит о проведённом платеже всплывающим окном.
Добавлена платёжная система «PayKeeper» — больше возможностей оплаты для Ваших абонентов.

Спасибо, что пользуетесь Carbon Billing 5!

Рубрика: Carbon Billing 5, Новости | Дата: 2017-06-27

Важная информация для пользователей Carbon Reductor 7

Уважаемые пользователи Carbon Reductor 7!

В связи участившимися случаями DNS подстановки IP адресов популярных сайтов, необходимо произвести/проверить настройку сервера.

Включить опцию SNI фильтрации.
Выключить опцию фильтрации с использованием DNS резолва.

Подробнее, о том как это правильно сделать, читайте в документации.

К сожалению, мы не можем изменить эти опции удаленно в текущей версии 7.

На всех серверах 8 версии продукта настройка произведена автоматически. Это будет возможно и в следующей версии Carbon Reductor 7, которая выйдет после 25 июня.

Спасибо, что пользуетесь Carbon Reductor!

Рубрика: Carbon Reductor DPI, Новости | Дата: 2017-06-15

График работы технической поддержки c 12 по 16 июня

День	Время работы (МСК)
12 июня	Выходной день
13 — 15 июня	8:00 — 16:00
16 июня	8:00 — 15:00

Круглосуточная поддержка по критичным вопросам оказывается в обычном режиме.
Также в случае форс-мажора на SLA1 вы можете дать интернет всем

Рубрика: Новости | Дата: 2017-06-08

Обновлён портал Helpdesk

Сегодня мы обновили портал Helpdesk, где оказывается техническая поддержка. Изменения в основном косметические, однако они значительно упростят взаимодействие с сотрудниками Carbon Soft.

Основные нововведения:

Обновлённый интерфейс, который позволит проще ориентироваться в портале.
Необходимые файлы (скриншоты, документы) теперь можно приложить сразу при создании заявки.
Добавлено экранирование программного кода.
Удалены лишние поля внутри заявки не несущие важной информации.

Если Вы видите старый интерфейс, очистите кэш браузера.

Спасибо, что пользуетесь продуктами Carbon Soft!

Рубрика: Новости | Дата: 2017-06-05

Релиз Carbon Reductor 8.00.09 1175

Добрый день!

За последние пару месяцев разработчики хорошо потрудились и выложили крупное обновление в devel‑ветку. Обновление серверов пройдет автоматически.

Самое важное

Исправлена редкая ошибка, приводившая к зависаниям серверов (soft-lockup) и последующей перезагрузке. Всего было зафиксировано 4 случая за 3 месяца, они обошлись без последствий, благодаря использованию резервных серверов фильтрации.

Исправлены проблемы со стартом сервиса фильтрации при изменении параметров ipset, ранее приводило к запуску режима обслуживания и уведомлениям администраторов о возникшей проблеме.

Сервис bgp_blackhole теперь поддерживает работу с IP адресами подсетей.

Списки, реестр, выгрузки

Недавно мы обнаружили особенность работы АС «Ревизор» — он обновляет списки Роскомнадзора через час после того, как они обновятся в источнике. Carbon Reductor обновляет списки в течение нескольких минут после их изменения со стороны Роскомнадзора. Это привело к ситуации, когда АС «Ревизор» зафиксировал фиктивный пропуск по устаревшему списку — сайт, который ранее был заблокирован, разблокировали, но информация о нём в АС «Ревизор» обновилась позже, чем в Carbon Reductor. Теперь используются все списки за последние 24 часа (по умолчанию, но опционально) для исключения рассинхронизации с АС «Ревизор».

Добавлена возможность просматривать изменения выгруженных из реестра Роскомнадзора списков с помощью git в папке `/var/lib/reductor/rkn_history/lists/` (за исключением результатов резолвера и временных файлов от обработки списков).

Добавлена проверка отсутствия файлов запроса и подписи в утилите для выгрузки единого реестра с выводом ошибки понятным для администратора. В заблуждение попадали пользователи, переключившие выгрузку реестра с собственного сервера на выгрузку через Carbon Reductor с использованием запроса и подписи к серверу Роскомнадзора. Проверка работает как при запуске выгрузки, так и при автоматической диагностике сервера.

Добавлена возможность использования Крипто-Про для подписи запроса на сервере с Carbon Reductor 8.

Исправлено:

Список Минюста не отображался в веб-интерфейсе.
Работа белых списков IP адресов (https).
Просмотр информации о списках в веб-интерфейсе показывал информацию не обо всех списках.
Демон проверки единого реестра rknd отслеживал только срочные изменения, теперь отслеживает все (интервал проверки — раз в 5 минут).
Заполнение списка доменов ресурсов, использующих HSTS при выборе соответствующей опции в мастере настройки.

Интеграция с сетью провайдера

Добавлена поддержка интеграции Carbon Reductor с несколькими маршрутизаторами — система отправки команд (events.sh) теперь поддерживает список хук-файлов, в которых определяется порядок взаимодействия с каждым маршрутизатором.

Информация о сервере

В вывод информации о сервере добавлена оценка аппаратной части по шкале от 1 до 10 для того, чтобы Вы и техподдержка могли более полноценно контролировать актуальность Вашего сервера.
Вывод информации о сервере теперь показывает все установленные модели процессоров. Сделано для машин с несколькими разными процессорами.
Исправлен вывод информации о сервере: при использовании VLAN-интерфейсов для приема зеркала выводились неуместные ошибки ethtool.

Безопасность

Бывают случаи, когда локальная сеть не очень хорошо защищена, поэтому мы добавили пару вещей, которые дополнительно напомнят о безопасности Вашего сервера фильтрации:

Проверка смены пароля пользователя root в диагностике. Теперь отображается ошибка в случае использования стандартного пароля.
В мастере настройки предлагается использовать нестандартный порт для SSH. При использовании стандартного, диагностика будет выводить ошибку.

Режим обслуживания

Стабилизирована работа режима обслуживания, теперь он запускается при любом рестарте файрвола, даже если не требуется изменять ipset и модули фильтрации.

Прочее

Добавлено:

Возможность указать несколько IP-адресов АС «Ревизор» через пробел на случай необходимости проведения технического обслуживания сервера.
Добавлена возможность сбора дампа трафика от АС «Ревизор» с помощью инструкции с примерами. Помогает для отладки вновь установленного сервера.
Диагностика возможности зацикливания HTTPS-прокси, если HSTS-ресурс резолвится редуктором в его собственный IP адрес. Такое может происходить в случае, если осуществляется фильтрация с помощью DNS-сервера провайдера и при этом и страница заглушка и прокси-сервер находятся на одном сервере.

Исправлено:

Минорные ошибки в новом контейнере bgp_blackhole.
Вывод ошибок диагностики в веб-интерфейсе теперь показывает только текущие проблемы.
Запуск активации мог приводить к уходу сервиса reductor в режим обслуживания при неприменённых ручных изменениях в модулях фильтрации или конфигурации ipset.
Выводящиеся в веб-интерфейсе ссылки вели на документацию по Carbon Reductor 7.
Мастер настройки зеркала трафика мог не отображать некоторые сетевые устройства.
У некоторых вновь пришедших пользователей возникали проблемы с установкой с DVD-диска, теперь установка работает исправно.
Утилита cache_ctl не работала.
Примеры утилиты list_ctl содержали упоминания старого формата списков.
Проблема с правами на временные файлы nginx приводила к отображению веб-интерфейса без CSS.
Имена ipset в firewall теперь соответствуют спискам, которые в них загружаются.
Проверка наличия трафика теперь использует счётчики модулей фильтрации вместо запуска tcpdump, так же учитывается включены модули или нет.

Спасибо, что пользуетесь Carbon Reductor!

Рубрика: Carbon Reductor DPI, Новости | Дата: 2017-05-30

Критичные изменения от АС «Ревизор» для страницы-заглушки

АС «Ревизор» изменил анализ ответа от страницы-заглушки и может неверно засчитывать пропуски.

Все серверы с Carbon Reductor обновлены автоматически.

Для полной уверенности, а также если у Вас используется своя страница-заглушка, Вам необходимо проверить руками запрос вида:
telnet IP_Адрес_заглушки 80 Escape character is '^]'. GET /.
Примечание: точка после слеш обязательна для этой проверки.

Верный ответ должен быть код 200 и с выводом страницы-заглушки.

Если ответ 301 Moved Permanently — значит воспользуйтесь инструкцией:
http://docs.carbonsoft.ru/pages/viewpage.action?pageId=77791244

Спасибо, что пользуетесь продуктами Carbon Soft!

Рубрика: Carbon Reductor DPI, Новости | Дата: 2017-05-26

График работы технической поддержки в майские праздники

День	Время работы (МСК)
1 мая	Выходной
2 — 4 мая	8:00 — 16:00
5 мая	8:00 — 15:00
6 — 9 мая	Выходной
10 мая	8:00 — 16:00

Круглосуточная поддержка по критичным вопросам оказывается в обычном режиме.
Также в случае форс-мажора на SLA1 вы можете дать интернет всем.

Рубрика: Новости | Дата: 2017-04-27

Проверка операторов связи с помощью АС «Ревизор», практика наших пользователей

Добрый день!

В связи с увеличением количества проверок АС «Ревизор» с декабря 2016 года у провайдеров появились вопросы и беспокойство на тему осуществления фильтрации трафика и штрафов от Роскомнадзора.

Мы отправили официальный запрос в Роскомнадзор с просьбой детально разъяснить механизм проверки фильтрации, выявления нарушений и процедуру наступления административной ответственности за отсутствие блокировки запрещенных ресурсов. Роскомнадзор прислали нам развёрнутый ответ. Мы скомпоновали его в максимально доступный вид и делимся им с Вами.

Данная статья содержит в себе как базовую информацию, известную каждому провайдеру с установленным АС «Ревизор», так и более развёрнутую, помогающую детально разобраться в вопросах законодательства.

Алгоритм проверки фильтрации и выявления нарушений

Ресурс появляется в Едином реестре (обновляется ежедневно в 9.00 и 21.00 МСК).

Согласно части 10 статьи 15.1 ФЗ-149 в течение суток с момента включения в Единый реестр запрещенного интернет-ресурса оператор связи, оказывающий услуги по предоставлению доступа к сети Интернет, обязан ограничить доступ к такому сайту в сети Интернет.

Единый реестр выгружается оператором связи.
Оператор связи обязан осуществлять блокировку запрещенных ресурсов согласно пунктам 1, 5 статьи 46 ФЗ-126 «О связи» порядок которой регулирует ФЗ-149.
Филиалы ФГУП «РЧЦ ЦФО» осуществляют мониторинг фильтрации с помощью АС «Ревизор».

Филиалы ФГУП «Радиочастотный центр Центрального федерального округа» (далее ‒ филиалы ФГУП «РЧЦ ЦФО») осуществляют мониторинг выполнения операторами связи требований по ограничению доступа к запрещенным интернет-ресурсам с использованием «Автоматизированной системы контроля за соблюдением операторами связи требований по ограничению доступа к сайтам в сети Интернет, содержащим информацию, распространение которой в РФ запрещено в соответствии с требованиями ФЗ-149″ (далее ‒ АС «Ревизор»). АС «Ревизор» введена в промышленную эксплуатацию приказом ФГУП «РЧЦ ЦФО» от 29.12.2016 № 354 (сертификат соответствия оборудования «Аппаратно-программный Агент АС «Ревизор» № ОС-1СУ-0496, срок действия с 05.10.2016 до 05.10.2019).

При обнаружении факта отсутствия блокировки АС «Ревизор» делает скриншот незаблокированного ресурса. Представители РЧЦ передают информацию в ЕИС Роскомнадзора.

Незаблокированной записью Единого реестра с признаками нарушения законодательства является запись Единого реестра, скриншот которой позволяет однозначно определить факт отсутствия блокировки интернет-ресурса оператором связи. Сформированные акты и протоколы мониторинга передаются сотрудниками филиалов ФГУП «РЧЦ ЦФО» в ЕИС Роскомнадзора. Акты мониторинга рассматриваются территориальными органами Роскомнадзора, на подведомственной территории которых осуществляет деятельность оператор связи, оказывающий услуги по предоставлению доступа к информации, распространяемой посредством сети Интернет.

Роскомнадзор возбуждает дело об административном правонарушении.
Решение по данному делу принимает суд.

Согласно части 3 статьи 14.1 КоАП от 30.12.2001 № 195-ФЗ в случае признания нарушения судом может быть вынесено предупреждение или наложен административный штраф от 1,5 до 2 тыс.руб. ‒ для граждан, от 3 до 4 тыс.руб. ‒ для должностных лиц, от 30 до 40 тыс.руб. ‒ для юридических лиц.

Считаем необходимым отметить, что 11.01.2017 в Госдуме принят во втором, основном чтении законопроект, дополняющий КоАП РФ новой статьей, которая вводит ответственность за неисполнение оператором связи обязанности ограничивать или возобновлять доступ к информации. Такое нарушение предлагается наказывать штрафом от 3 до 5 тыс.руб. ‒ для должностных лиц, от 10 до 30 тыс.руб. ‒ для предпринимателей без образования юридического лица, от 50 до 100 тыс.руб. ‒ для юридических лиц.

Важные моменты

Мы отметили ключевые факты, которые, в том числе, помогут в общении с представителями РКН или РЧЦ, если возникнет необходимость.

Проверки осуществляются регулярно, как плановые, так и внеплановые.
Оператору связи обязательно предоставляется доступ в личный кабинет АС «Ревизор» для проверки работы его DPI.

При заключении договора с филиалом ФГУП «РЧЦ ЦФО» в УФО об установке технического средства АС «Ревизор» оператору связи предоставляется доступ в личный кабинет АС «Ревизор», с помощью которого оператор связи может своевременно реагировать на случаи неблокирования доступа к запрещенным интернет-ресурсам.

На блокирование вновь включенных в Единый реестр интернет-ресурсов оператору связи дается не более 1 суток после их включения в Единый реестр. Также нужно обратить внимание на то, что ресурсы, добавленные в реестр в соответствии с ФЗ-398 (т.н. «экстремистские» сайты) должны быть заблокированы в течение 1 часа.
В НПА (нормативно-правовые акты) не предусмотрены такие понятия как «пропуски», «временные интервалы», «допуски по пропускам». Нарушением является факт отсутствия блокировки Единого реестра, будь это одна запись или сто.
Доказательством в суде должен быть скриншот позволяющий однозначно определить факт отсутствия блокировки.
Каждый оператор связи несёт ответственность за неисполнение обязанностей по блокировке ресурсов, даже если вышестоящий провайдер фильтрует трафик. Для того, чтобы полностью себя обезопасить у каждого оператора связи должно быть своё DPI решение.

При этом подчеркиваем, что оператор связи, использующий трафик, фильтрацию которого осуществляет присоединяющий оператор связи вышестоящего уровня, не освобождается от ответственности за неисполнение обязанности по ограничению доступа (Распоряжение Роскомнадзора от 07.07.2016 № 8, утверждающее Рекомендации по ограничению доступа к информации, распространяемой посредством сети Интернет, в порядке, установленном ФЗ-149).

Время на устранение неполадок не предусмотрено НПА (Но его может установить суд).
На текущий момент размер штрафа для юридических лиц составляет от 50 до 100 т.р.

Получается, что любой пропуск это штраф?

Законодательно да, но на самом деле нет.

Дело в том, что причины пропусков могут быть самые разные и они, если не изменять настройки ПО, всегда связаны с железом. Недавно мы написали статью с рекомендациями по повышению отказоустойчивости аппаратной части системы фильтрации.

Представители РКН и РЧЦ прекрасно понимают возможные технические неполадки и, подчеркиваем, всегда дают время на их устранение. Каждый факт неосуществления блокировки отдельно проверяется и дело дойдет до суда только в случаях, если:

Факт нарушения подтвердили представители РЧЦ проведением повторной проверки.
Проблема с фильтрацией не была решена в установленное время.

Фактически получить штраф в случае пропуска в принципе проблематично, потому что все условия для быстрого устранения неполадок есть.

Практика пользователей Carbon Reductor

Пример №1
Проблема: АС «Ревизор» зафиксировал пропуски, при попытке зайти на любой URL из отчёта страница была заблокирована. Пользователь обратился в техподдержку.

Процесс решения:

Первичная диагностика сервера выявила низкую вычислительную мощность процессора, недостаточно оптимизированную работу процессора с сетевыми картами, а также отсутствие интеграции с DNS сервером и маршрутизатором.
Был заменён процессор и корректно настроена его работа.
Проведена интеграция с DNS сервером и маршрутизатором.
Тестирование выявило небольшой процент пропусков.
Детальная диагностика показала, что теряется ответный пакет после отправки с сервера фильтрации на АС «Ревизор», находящийся в локальной сети.
Полученная информация позволила пользователю устранить неявную проблему в локальной сети.
Повторная проверка пропусков не обнаружила.

Итог:
После проведенных работ пропуски не зафиксированы. Претензии со стороны Роскомнадзора к провайдеру были сняты. Дело в суде не рассматривалось.

Пример №2
Проблема: АС «Ревизор» зафиксировал пропуски по нестандартным портам — 8080, 8081.
Процесс решения:

Первичная диагностика проблем не выявила.
При детальном изучении трафика с тестовой машины, находящейся в локальной сети, выяснилось, что ответные пакеты по портам 8080, 8081 не доходили до «абонента».
Совместно с пользователем, в режиме онлайн, мы выяснили, что пакеты от сервера фильтрации по нестандартным портам не попадали к абонентам, т.к. фильтровались ACL (Access Control List) на маршрутизаторе.
Пользователь поправил ACL, отчёты АС «Ревизор» стали пустыми.

Итог:
Претензии со стороны Роскомнадзора к провайдеру были сняты. Дело до суда не дошло.

Резюмируя вышеописанное

Статистика показывает, что фиксируемые проблемы кроются либо в аппаратной части фильтрующего сервера, либо в специфике работы локальной сети.

В Радиочастном Центре работают грамотные и отзывчивые специалисты, которые идут навстречу при их информировании о проблеме и сроках её устранения. Их целью является не выписывание штрафов, а банальное соблюдение требований законодательства.

Спасибо, что пользуетесь продуктами Carbon Soft!

Рубрика: Carbon Reductor DPI, Новости, Полезное | Дата: 2017-04-26

В Carbon Soft внедрён электронный документооборот

Уже половина клиентов Carbon Soft использует ЭДО. Ведущие компании России и мира давно отказались от бумажной волокиты и экономят время своих сотрудников. Поэтому предлагаем и остальным клиентам использовать ЭДО.

Все входящие документы для Вас бесплатны, сплошная экономия!

http://www.diadoc.ru

В плане его использования есть несколько плюсов:

Не нужно высылать бумажный акт, экономия времени и денег.
Надежное, бесплатное и бессрочное хранение документов на серверах.
Вы застрахованы от расхождений с контрагентом, так как обе стороны работают с одним и тем же файлом.

Спасибо, что пользуетесь продуктами Carbon Soft!

Рубрика: Новости, Полезное | Дата: 2017-04-26