Мир вокруг меняется, бизнес-правила тоже. Законопроект на 21 ноября 2016 ещё находится на рассмотрении, но скоро будет принят. Теперь нужно внимательней следить за фильтрацией, иначе любой пропущенный пакет от «Ревизора» может обернуться штрафом. Всё, что мы можем делать со своей стороны мы делаем, но многие вещи может сделать только сетевой/системный администратор провайдера.
Пойдём по порядку
Настроить Satellite
Ревизор, конечно, всё проверяет, но когда проверка чревата штрафом спокойно отладить блокировку становится невозможно. Мы сделали аналог АС «Ревизор», проверяющий HTTP, HTTPS и DNS фильтрацию и не «стучащий» никуда, кроме почты администратора.
Обновить настройки зеркала трафика
Зеркалировать tcp/80, tcp/443 и udp/53 недостаточно. Нужно отправлять либо весь исходящий трафик абонентов, либо автоматически, или хотя бы периодически следить за тем, что нужно Carbon Reductor для анализа:
- udp/53 — пока единственный порт на котором анализируется DNS трафик;
- /usr/local/Reductor/lists/load/port_http.load — файл-список tcp dst портов;
- /usr/local/Reductor/lists/load/port_https.load — файл-список tcp dst портов;
- /usr/local/Reductor/lists/load/ip_port.load — файл-список связок из ip + dst портов (tcp и udp);
- /usr/local/Reductor/lists/load/ip_block.load — файл-список IP которые надо блокировать целиком, независимо от IP.
Настроить свою страницу-заглушку
На отдельном сервере с IP-адресом, доступным абонентам. Это нужно для корректной работы DNS-спуфинга для блокировки по домену. Есть готовое решение.
Можно настроить это на самом Carbon Reductor, но по причине в конце статьи — лучше на отдельном веб-сервере.
Настроить SNI-фильтрацию
Появился довольно неплохой модуль, фильтрующий обращения к HTTPS ресурсам по домену, указанному в поле SNI в пакете Client Hello.
Menu -> «Настройка алгоритма фильтрации» -> «Фильтровать HTTPS по SNI»
Настроить DNS-фильтрацию
В реестре появилось много ресурсов, которые требуется блокировать по домену. А это означает не только по HTTP/HTTPS, а любое обращение к этому домену. В Carbon Reductor появился модуль DNS-спуфинга, вам нужно:
- Включить его.
- Указать IP-адрес настроенной выше страницы-заглушки.
- Указать IP-адрес ревизора (облегчит отладку пропусков блокировок, происходящую постфактум, если это произойдёт).
Интеграция с DNS-серверами
Когда DNS-запросы от Ревизора попадают в DNS-сервера провайдера, они:
- Не факт, что попадут в зеркало трафика Carbon Reductor.
- А если и попадут, то не факт, что DNS-сервер примет их из-за DNSSEC-валидации.
Поэтому хорошим решением будет подружить DNS-сервера с Carbon Reductor, научив его отвечать на блокируемые домены IP адресом страницы-заглушки с помощью простого набора скриптов:
- unbound;
- bind/named;
- другие — либо брать bind/named и дорабатывать под свой dns-сервер по аналогии, либо отключать DNSSEC-валидацию.
Интеграция с маршрутизатором
Некоторые ресурсы необходимо блокировать полностью по IP по всем протоколам. Находясь в зеркале это сделать невозможно (хотя мы и присылаем соответствующие tcp/icmp ответы на такие обращения), поэтому блокировать их лучше на маршрутизаторе. Каким образом — на ваше усмотрение:
- Использование BGP/OSPF Remote Triggered Blackhole.
- Настроить отправку команд на оборудование для добавления/удаления/получения списка заблокированных IP в хуке events.sh.
Скорее всего почистить собственные белые списки
Быть добрым к клиентам и разрешить доступ к популярным заблокированным ресурсам типа «рутрэкера» или «порнхаба» было здорово, но теперь это может обойтись довольно дорого.
Настроить дополнительные параметры мониторинга
Первым делом стоит настроить хоть какой-то мониторинг за Carbon Reductor. Там внутри Linux, так что следить хотя бы за его состоянием будет уже хорошо. Но помимо прочего, стоит следить и за состоянием самого Carbon Reductor. Есть готовые плагины для collectd, на их основе можно соорудить аналоги для используемых вами систем мониторинга.
Вообще, мы подумываем сделать полноценный облачный мониторинг, куда сливать кучу подробностей о состоянии серверов и самостоятельно заниматься отслеживанием аномалий и т.д., но здесь есть много «privacy issues», по крайней мере, без согласия представителей провайдера мы это точно делать не можем.
Добиться идеального latency
В случае с анализом зеркала трафика важно, чтобы срабатывание происходило гарантированно быстро. Подробнее почитать про это можно по ссылке.
Кратко:
- купить хорошие сетевые карты и обязательно настроить их;
- отказаться от виртуальных машин и перейти на железо;
- избавиться даже от единичных потерь на стороне зеркалирующего оборудования;
- озаботиться тем, чтобы Carbon Reductor не занимался ничем кроме фильтрации, в том числе и веб-сервером;
- отправить критически важных абонентов в разрыв через Carbon Reductor чтобы не беспокоиться о потерях на свитче;
- заиметь резервный сервер Carbon Reductor (безвозмездно) и настроить схему с их взаимодействием, которая скоро появится;
Что мы планируем сделать со своей стороны в будущем:
Возможность разнести управление и фильтрацию по отдельным машинам
Управление — сервер, отслеживающий и поддерживающий одинаковую конфигурацию на всех фильтрующих серверах.
- конфигурация;
- веб-интерфейс;
- выгрузки;
- обработка списков;
- принятие решения об обновлении себя и серверов фильтрации;
- часть диагностики;
- активация;
- резолв;
- взаимодействие с оборудованием провайдера;
Фильтрация — сервер который занимается только фильтрацией трафика, не имеющий никаких периодических задач.
- фильтрация HTTP запросов;
- фильтрация HTTPS по Client Hello и IP;
- фильтрация DNS запросов без DNSSEC;
- фильтрация других протоколов по IP / IP+port;
- загрузка URL/доменов/IP при необходимости;
- часть самодиагностики;
В итоге планируется получить схему, в которой возможно полностью избежать:
- Downtime при обновлениях, штатном обслуживании и перезагрузках, даже если необходимо заменить модули в памяти.
- Нагрузки на сервере фильтрации, способной привести к задержке ответа -> пропуску фильтрации.
Это потребует выноса Carbon Reductor для управления на отдельную машину, но к ней не будет требований по скорости работы! А это означает возможность его работы в виртуальных машинах, даже внутри легковесных Linux-контейнеров. И тут появляется возможность держать прямо на этом же сервере:
- Carbon Reductor Manager;
- Carbon Reductor Satellite;
- Carbon Reductor Blockpage;
Задача их одновременной работы довольно сложная, но в этом нам может помочь описанное в следующем пункте.
Переход на Carbon Platform 5
Готовое и проверенное годами работы Carbon Billing 5 решение для работы нескольких бизнес-приложений. Бонусы:
- привычно для разработки любым разработчиком Carbon Soft — проще привлечь для помощи коллег из других проектов;
- привычно для обслуживания любым инженером техподдержки Carbon Soft — ответы в хелпдеске будут быстрее;
- с платформой в бонус идут некоторые решения, повышающие общую надёжность системы:
- watchdog;
- дефолтные настройки Linux;
- правильная разбивка дисков;
- система обновления, позволяющая получать только полностью проверенные обновления, но оставляющая возможность совместно обкатывать новые возможности.
- веб-интерфейс, который даёт авторизацию и возможность конфигурировать приложения в браузере. Более того, его использование снимает около 35% подзадач из эпичной задачи, которую мы пока отложили — веб-интерфейс 2.0.
Изменение схемы файрвола
Использование iptables для фильтрации трафика даёт много удобств (не надо писать свой ip/tcp-стэк, логика с проходом пакетов по цепочкам тоже довольно упрощает жизнь), но и много неудобств, одно из них — match-модули не могут возвращать что-то кроме boolean значений (true/false).
Это не подходит для классификации. По уму надо давно взять PF_RING / NETMAP / что-то ещё и переписать всё на работу в userspace, но по сути это разработка нового продукта и требует достаточно времени свободного от срочных задач. Увы, Роскомнадзор и Государственная Дума не спят и постоянно эти задачи создают.
Но недавно мы продумали одну хорошую идею — как дать возможность классификации нашим http / https / dns -модулям при использовании многих списков практически без потери производительности:
- Match-модули будут заниматься только проверкой факта, что пакет можно разобрать и проанализировать, в противном случае пакет отбрасывается.
- Поиск по базам доменов и URL будет происходить в TARGET модуле (который не будет получать «мусорных» пакетов), оставляющем метку с ID базы, в котором данный домен/URL найден.
- Далее, в зависимости от этой метки будет срабатывать отдельное правило с TARGET’ом-соответствующим редиректом. Сравнение меток — дело копеечное, так что правил можно будет вешать сколько душе угодно.
Оптимизация в работе модулей фильтрации
Если остались вопросы
Создайте заявку на тему в портале технической поддержке Helpdesk, мы поможем Вам с настройкой.