LINUX.ORG.RU

Как блокируют доступ к сайтам (Ukrainian-way)

 , ,


3

3

Киберполиция Украины опубликовала доходчивое руководство для провайдеров о том как блокировать доступ к определённым вебресурсам.

-- начало цитаты --

Департамент киберполиции Национальной полиции Украины рекомендует осуществлять указанные действия используя следующие методы / способы:

a) блокировка по IP-адресам;

b) блокировки с помощью DNS;

c) блокировка сайтов по URL;

Обращаем внимание на то, что наиболее эффективным методом из данного перечня является метод блокировки по IP-адресам.

Для внедрения каждого из этих методов приводим примеры настройки оборудования, не требующие финансовых затрат и приобретение дополнительной техники.

а) Блокировка по IP-адресам:

1. Перечень IP-адрес для блокировки можно получить с помощью использования команд ping или dig в перечень ссылок (веб-адрес ресурсов / сервисов) указанных в приложении 2 к Указу.

Пример команды ping

C: \ Users \ User> ping yandex.ru
pinging yandex.ru [77.88.55.88] with 32 bytes of data:
Reply from 77.88.55.88: bytes = 32 time = 35ms TTL = 54
Reply from 77.88.55.88: bytes = 32 time = 21ms TTL = 54
Reply from 77.88.55.88: bytes = 32 time = 23ms TTL = 54
Reply from 77.88.55.88: bytes = 32 time = 24ms TTL = 54

Пример команды dig (Linux)

root @ user: / $ dig + short yandex.ru
root @ user: / $ 77.88.55.88

Таким образом получено ip-адрес 77.88.55.88 ресурса yandex.ru.

Создайте отдельный документ с перечнем этих ip-адресов.

Ир-адреса необходимы для проведения блокировки, рекомендуем определять раз в сутки.

2. После получения списка ip-адресов, рекомендуем настроить оборудование следующим образом:

2.1. Для Junos (серии продуктов Juniper, коммутаторы, маршрутизаторы - MX, EX, SRX ...): Создаем префикс письмо blacklist-ip со списком заблокированных IP

root @ MX80 # set policy-options prefix-list blacklist-ip 52.58.187.69/32
root @ MX80 # set policy-options prefix-list blacklist-ip 93.158.134.154/32
root @ MX80 # set policy-options prefix-list blacklist-ip 87.250.251.178/32

.... так же добавляем все ир адреса из полученного перечня.

2.1.1. Создаем правило firewall (term в понимании Juniper)

root @ MX80 # set firewall family inet filter blacklist-ip-drop interface-specific
root @ MX80 # set firewall family inet filter blacklist-ip-drop term drop from destination-prefix-list blacklist-ip
root @ MX80 # set firewall family inet filter blacklist-ip-drop term drop then discard
root @ MX80 # set firewall family inet filter blacklist-ip-drop term other then accept

2.1.2. Применяем фильтр blacklist-ip-drop к uplink-интерфейса или downlink-интерфейса или на все интерфейсы.

root @ MX80 # set interfaces xe-0/0/0 unit 1111 family inet filter output blacklist-ip-drop

2.1.3. Применяем новый файл конфигурации командой commit

root @ MX80 # commit

2.1.4. Если команда commit исполнилась без ошибок, проверяем доступность веб-адресов ресурсов / сервисов указанных в приложении 2 к Указу.

C: \ Users \ User> ping yandex.ru
pinging yandex.ru [77.88.55.88] with 32 bytes of data:
Request timed out.

Напоминаем о том, что, если на вашем оборудовании уже используется фильтр для блокировки портов или IP-адресов, то необходимо к нему добавить созданный term drop в его начало, потому что term обрабатывается сверху донизу, и обязательно должен заканчиваться правилом accept. По умолчанию выполняется политика для трафика DROP. На коммутаторах серии ЕХ эти команды нужно применять только для интерфейсов в режиме L3.

2.2. Для маршрутизаторов Mikrotik

2.2.1. Создаем address-list со списком ip-адресов, нужно блокировать:

[ Admin @ super-router]> ip firewall address-list add dynamic = no list = blacklist-ip address = 87.250.251.41
[ Admin @ super-router]> ip firewall address-list add dynamic = no list = blacklist-ip address = 93.158.134.154
[ Admin @ super-router]> ip firewall address-list add dynamic = no list = blacklist-ip address = 87.250.251.178

.... так же добавляем все ip-адреса из полученного перечня.

2.2.2. Создаем правило фильтра для блокировки по данным, содержащимся в address-list

[ Admin @ super-router]> ip firewall filter add chain = forward dst-address-list = blacklist-ip action = drop place-before = 0

Фильтр добавляется первым в цепи правил firewall, после проверки недоступности заблокированного ресурса, в поле счетчика пакетов по этим будет накапливаться статистика заблокированных пакетов если правило активно и работает.

2.2.3. Проверяем доступность веб-адресов ресурсов / сервисов указанных в приложении 2 к Указу.

C: \ Users \ User> ping yandex.ru
pinging yandex.ru [77.88.55.88] with 32 bytes of data:
Request timed out.

2.3. Для маршрутизаторов, работающих на базе OS Linux

2.3.1. Создаем ipset list со списком ip-адресов, нужно блокировать

root @ super-router: / # ipset -N blacklist-ip iphash
root @ super-router: / # ipset -A blacklist-ip 213.180.204.125
root @ super-router: / # ipset -A blacklist-ip 87.250.251.12
root @ super-router: / # ipset -A blacklist-ip 77.88.55.88

.... так же добавляем все ир адреса из полученного перечня.

2.3.2. Создаем правило фильтра для блокировки

root @ super-router: / # iptables -m set -I FORWARD -i vlan1111 --match-set blacklist-ip dst -j DROP

Приведенный пример блокировки применено на интерфейсе vlan1111.

Можно изменить это правило для блокировки по всем интерфейсами:

root @ super-router: / # iptables -m set -I FORWARD --match-set blacklist-ip dst -j DROP

Фильтр добавляется первым в цепи правил firewall.

2.3.3. Проверяем доступность веб-адресов ресурсов / сервисов указанных в приложении 2 к Указу.

C: \ Users \ User> ping yandex.ru
pinging yandex.ru [77.88.55.88] with 32 bytes of data:
Request timed out.

2.4. Для маршрутизаторов CISCO

2.4.1. Создаем access-list по номеру 101 (номер указан для примера) со списком ip-адресов, нужно блокировать

Cisco-6500 (config) # access-list 101 deny ip any host 52.58.187.69/32
Cisco-6500 (config) # access-list 101 deny ip any host 93.158.134.154/32
Cisco-6500 (config) # access-list 101 deny ip any host 87.250.251.178/32

.... так же добавляем все ир адреса из полученного перечня.

2.4.2. В конце access-list добавляем правило, позволяющее проходить другом трафика.

Cisco-6500 (config) # access-list 101 permit ip any any

2.4.3. Применяем фильтр access-list 101 до uplink-интерфейса или downlink-интерфейса или на все интерфейсы

Cisco-6500 (config-if) # interface FastEthernet0 / 24
Cisco-6500 (config-if) # ip access-group 101 out
Cisco-6500 (config-if) # exit

2.4.4. Применяем новый файл конфигурации командой write

Cisco-6500 (config) # write

2.4.5. Если команда write выполнилась без ошибок, проверяем доступность веб-адресов ресурсов / сервисов указанных в приложении 2 к Указу.

C: \ Users \ User> ping yandex.ru
pinging yandex.ru [77.88.55.88] with 32 bytes of data:
Request timed out.

b) конфигурирования DNS-сервера на базе Unix-подобных OS (на примере Bind - открытой и распространенной реализации DNS-сервера, что обеспечивает выполнение преобразования DNS-имени в IP-адрес).

1. Пересмотреть содержание файла /etc/bind/named.conf и убедиться, что существует запись "include" /etc/bind/named.conf.local ",", если нет - добавить его.

2. Редактирование файла /etc/bind/named.conf.local, к которому прилагаются записи о зонах доменных имен, которые необходимо блокировать. пример:

zone "vk.com" {
type master;
file "/etc/bind/db.block.rf";
};
zone "ok.ru" {
type master;
file "/etc/bind/db.block.rf";
};
zone "odnoklassniki.ru" {
type master;
file "/etc/bind/db.block.rf";
};
zone "mail.ru" {
type master;
file "/etc/bind/db.block.rf";
};

... и т.д. (в соответствии с Приложением 2 Указа Президента Украины № 133/2017 от 15.05.2017)

3. Создать файл /etc/bind/db.block.rf с последующим содержанием

$ TTL 24h
@ IN SOA ns.yourdomain.com.
hostmaster.yourdomain.com. (
2003052800 86400 300 604800 3600)
@ IN NS server.yourdomain.com.
@ IN A 127.0.0.1

с) Блокировка сайтов по ссылке (URL)

Реализовать указанную технологию блокировки ресурсов / сервисов возможно в виде прозрачного прокси-сервера:

Процесс блокировки сайтов по ссылке в общем виде будет выглядеть следующим образом:

  • согласно приложению 2 Указа Президента Украины № 133/2017 от 15.05.2017, определяется список ссылок на ресурсе / сервисы, которые необходимо заблокировать;
  • ссылки добавляются в блокирующий прокси-сервер;
  • запросы пользователей к сайту из перечня перенаправляются на фильтрующий прокси-сервер;
  • прокси-сервер делает проверку на совпадение адреса с имеющимися образцами;
  • в случае установления прямого совпадения, соединение прерывается (или направляется на страницу с предупреждением, или просто разъединяется)
  • если запрос не совпадает с заблокированным URL, соединение будет продолжено.

2. Общие рекомендации для предприятий, учреждений и организаций всех форм собственности.

Установлено, что в настоящее время сети Интернет распространяются сведения о работе украинскими пользователями специализированных браузеров, с целью преодоления ограничений доступа к определенным ресурсам. Среди таких браузеров особенно активно (агрессивно) рекламируется «FreeU».

Специалистами Департамента было проведено исследование определенного программного продукта.

Среди применяемых методов исследования, с целью максимальной объективности и беспристрастности исследования, для динамического анализа использовался ресурс «Circl DMA» ( https://www.circl.lu ).

По результатам анализа установлено:

  • уровень опасности максимальный (10 из 10)
  • применяет многократные вызовы API с целью осложнения выявления фактов угрозы;
  • интегрируется в автозапуска;
  • создает скрытые системные файлы;
  • модифицирует сетевые настройки (параметры прокси)
  • вносит изменения в систем антивирусной защиты и отключает ее,
  • имеется подозрительная бинарная активность.

Исходя из вышеизложенного, Департамент киберполиции рекомендует:

  • на уровне организации запретить использование браузера «FreeU»;
  • объяснить сотрудникам, что использование этого и подобных программных продуктов (например «Yandex browser with protect» для смартфонов, работающих на базе OS Android) приведет к компрометации данных предприятия, а также персональных данных сотрудников;
  • в случае выявления факта установления - по возможности, штатными средствами, восстановить состояние операционной системы до момента установления таких программ, а в случае неудачи - переустановить операционную систему.


-- конец цитаты --


>>> Архивная копия #1
>>> Архивная копия #2

Что скажете?

★★★★★

Почему архив? Они передумали?

yacuken ★★★★ ()

yandex.com, yandex.ua, yandex.kz и т.д. провайдеры обязаны блокировать?

anonymous ()

Что скажете?

А что тут говорить ? Штучные настройки блокировок в аксесс-листах были всегда. Вот если это начнётся в массовом порядке, тогда тыкать в аксесс-листы умаешься.

AS ★★★★★ ()

Что скажете?

Забанить ОПа за неуважение к Ъ.

kawaii_neko ★★★ ()
Ответ на: комментарий от kawaii_neko

Да сейчас сделаю Ctrl+V --> Ctrl+P под кат. ;-)

atsym ★★★★★ ()
Ответ на: комментарий от anonymous

yandex.ua

Уже запилен через cloudflare. Даже интересно посмотреть как блокировать будут)

Kuzz ★★★ ()
Ответ на: комментарий от kawaii_neko

Для Ъ.

В шапку темы добавлен оригинальный текст с оф.сайта. Стилистика/грамматика сохранена. (ко мне претензий по этому поводу не выдвигать!)

atsym ★★★★★ ()

Что скажете?

Это для провайдеров? Это не утка? Это песец, братушки...

mandala ★★★★ ()

Перечень IP-адрес для блокировки можно получить с помощью использования команд ping или dig

Что скажете?

facepalm.so

host yandex.ru
yandex.ru has address 77.88.55.77
yandex.ru has address 5.255.255.50
yandex.ru has address 5.255.255.77
yandex.ru has address 77.88.55.60
yandex.ru has IPv6 address 2a02:6b8:a::a
yandex.ru mail is handled by 10 mx.yandex.ru.

dig yandex.ru | grep -v -E "(^\;|SOA|^ns)" | grep A
yandex.ru. 156 IN A 5.255.255.77
yandex.ru. 156 IN A 77.88.55.60
yandex.ru. 156 IN A 77.88.55.77
yandex.ru. 156 IN A 5.255.255.50

Такое ощущение, что руководство писала секретарша с улицы копипастами с хабра...

imul ★★★★★ ()
Ответ на: комментарий от imul

всё правильно написали, пусть будет лучше так…

anonymous ()
Ответ на: комментарий от imul

PS:

ping yandex.ru
pinging yandex.ru [77.88.55.88] with 32 bytes of data:
Request timed out.

-j DROP

Вот за что они так людей не любят? Почему не -j REJECT?
Так же пол интернета навернётся на подгрузке картинок и скриптов.

imul ★★★★★ ()
Ответ на: комментарий от anonymous

Ну, раз в сутки они же айпишники обновляют. Так что есть вероятность, что с течением времени могут и все заблокировать. Только вопрос, с заменой, или добавлением?
Вспоминается как наш роскомпозор заблокировал комоде один из айпишников в пуле удостоверяющего центра. И с вероятностью 20% получал невалидный сертификат у своего же сайта при проверке.

imul ★★★★★ ()
Последнее исправление: imul (всего исправлений: 2)
Ответ на: комментарий от anonymous

всё правильно написали, пусть будет лучше так…

Для обхода блокировки отключите кэширование DNS и нажмите F5 в браузере. :D

imul ★★★★★ ()
Ответ на: комментарий от imul

Ну, раз в сутки они же айпишники обновляют

Та пусть обновляют, с заменой на DNS гугла, например, хотя бы почтовые программы с яндексом работают.

anonymous ()
Ответ на: комментарий от anonymous

с заменой на DNS гугла

Это спасёт от подмен в провайдерском DNS, но не спасёт от подмены в ответах. И тем более не спасёт от -j DROP. Dnscrypt-proxy + proxy выручит. Хотя, если будут блокировать один айпишник из пула, то можно и не париться.

imul ★★★★★ ()

в случае установления прямого совпадения, ... направляется на страницу с предупреждением

страницу с первым и последним предупредением

anonymous ()
Ответ на: комментарий от imul

Почтовые программы с яндекс почтой работают и так, с подменой DNS. Поэтому и написал пусть так блокируют. Вариантов обхода блокировок - вагон и маленькая тележка.

anonymous ()
Ответ на: комментарий от anonymous

Так у mx.yandex.ru, pop.yandex.ru и imap.yandex.ru всё-равно пулы другие.

imul ★★★★★ ()
Ответ на: комментарий от imul

Ну допиши им тогда правила тут, чтоб блокировали еще и по почтовым протоколам.

anonymous ()
Ответ на: комментарий от anonymous

Нет. Рано, или поздно сами дойдут. Так пусть лучше поздно, или вообще никогда.

imul ★★★★★ ()
Ответ на: комментарий от anonymous

Я вот жду, что кто-то зайдет на инфраструктуру akamai.
Вот веселуха то будет. С учетом того, что оффтопик обновы оттуда получает ;)

Kuzz ★★★ ()
Ответ на: комментарий от Kuzz

кто зайдет?

яндекс.ua самостоятельно пытается обходить блокировки в Украине, только ничего не работает.

anonymous ()

Мой провайдер режет 80 порт.

tm4 ()
Ответ на: комментарий от tm4

smtp не проблема, можно и через местного провайдера

imul ★★★★★ ()
Ответ на: комментарий от anonymous

Лучше всего - вконтактик.

яндекс.ua самостоятельно

$nslookup yandex.ua
…
Non-authoritative answer:
Name:   yandex.ua
Address: 104.17.67.104

$whois 104.17.67.104
…
NetRange:       104.16.0.0 - 104.31.255.255
CIDR:           104.16.0.0/12
NetName:        CLOUDFLARENET
NetHandle:      NET-104-16-0-0-1
Parent:         NET104 (NET-104-0-0-0-0)
NetType:        Direct Assignment
OriginAS:       AS13335
Organization:   Cloudflare, Inc. (CLOUD14)

только ничего не работает.

Ну, днс то провайдерский не нужно использовать

Kuzz ★★★ ()
Ответ на: комментарий от Kuzz

Используется гугловский DNS и ничего не работает

anonymous ()
Ответ на: комментарий от anonymous

Используется гугловский DNS и ничего не работает

А точно используется ? Могут подменять ответы.

AS ★★★★★ ()
Ответ на: комментарий от mandala

Хех, Роскомнадзор вот такую хрень никому не рекламировал. Вот вам реестр и описание API для его выгрузки. Чем будете выгружать - ваши проблемы, референсной реализации ПО для этого мы вам не дадим. Вот вам Ревизор, если что-то не заблокируете - штраф. Как будете блокировать - ваши проблемы.

РРРомантика :-)

Pinkbyte ★★★★★ ()
Ответ на: комментарий от imul

Почему не -j REJECT?

На массовых запросах дохлые железяки могут помереть из-за -j REJECT чуть раньше, т.к. по -j DROP не надо никому слать ответ вида «пшелнафиг!». Но я тоже не приветствую такую практику - дебажить проблемы при REJECT гораздо проще - сразу видно кто виноват, в отличие от.

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Ну как фильтровать трафик админ любой корпоративной мелкосетки должен знать. А тут такое для провайдеров. Я б на месте спецов посчитал бы что на до мной издеваются в извращенной особо ценичной форме.

mandala ★★★★ ()
Ответ на: комментарий от mandala

как фильтровать трафик админ любой корпоративной мелкосетки должен знать

А еще он понимает, что зафильтровать всё со 100% эффективностью можно только белыми списками. Остальное - полумеры и костыли, которые обходятся(в некотором случае - с минимальным напрягом мозга обычными хомячками).

Тут на самом деле как с защитой. Смысл в нее вкладываться ровно настолько, чтобы ценность информации была меньше, чем средства для взлома с целью её получения.

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Тут на самом деле как с защитой. Смысл в нее вкладываться ровно настолько, чтобы ценность информации была меньше, чем средства для взлома с целью её получения.

И это фигня тоже. Настоящих пиратов атакой на рациональность не возьмешь, привет Денуве.

Когда принцип вырождается в инстинкт, бессильны и сталины и тетчеры

TooPar ()

У яндекса свой пул ip адресов, не проще сразу всю подсеть яндекса забанить? Куда написать чтобы внесли поправки?

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.