после масштабного сбоя
Роскомнадзор меняет порядок использования Национальной системы доменных имён (НСДИ), чтобы исключить повторение инцидента 30 января, когда из-за сбоя валидации подписи DNSSEC российские сайты перестали открываться. Теперь провайдерам запретят рискованные способы подключения к системе.
Как сообщает «Коммерсантъ», после инцидента со сбоем в работе российской национальной доменной зоны .ru, произошедшего 30 января, Роскомнадзор принял решение изменить порядок работы НСДИ, которая является частью инфраструктуры комплекса технических и организационных мер по обеспечению устойчивости и безопасности российского сегмента интернета.
В частности, Роскомнадзор подготовил поправки в приказ, регулирующий порядок использования НСДИ интернет-провайдерами. Главное изменение заключается в сокращении числа разрешенных способов подключения провайдеров к авторитетным серверам НСДИ. Теперь запрещены те способы, которые несут риск недоступности сайтов в зоне .ru в случае сбоя проверки электронной подписи DNSSEC.
Именно из-за подобного сбоя в проверке цифровой подписи и произошел масштабный инцидент — сайты на .ru перестали открываться как внутри России, так и за её пределами. Согласно официальной версии, причиной послужило нарушение процедуры обновления криптографического ключа DNSSEC при валидации запросов к доменным именам.
Новые правила НСДИ призваны исключить уязвимые каналы взаимодействия провайдеров с системой, чтобы минимизировать риски повторения подобных сбоев. Эксперты полагают, что данные изменения являются вынужденной мерой и позволят повысить отказоустойчивость НСДИ и надёжность всего «суверенного рунета».
Комментарии
Чебурнет наше фсйо, а посему таки да.
Интернет изначально проектировался под военных.
А вообще, я не понимаю, почему до сих пор нет публичной сети IPv6. Может, потому что, на самом деле, в России адресов всем хватает?
Подробнее на https://tendence.ru/articles/ip-addr-lease
Подробнее на https://tendence.ru/articles/ip-addr-leМожет, потому что IP32 всем хватает?
150-180 р в месяц за статический адрес IPv4 - по многу не выдают но один-два взять не проблема.
Остальное решается шлюзами, маскарадом и прочими техническими мерами.
Публичная сеть ipv6 есть, работает, применяется.
Проблемы с ipv4 ( за деньги, естественно) нет, получай LIR, и покупай блок на рынке у тех, кто в своё время нахапал)
Проблемы c ipv6 - тем более нет, их LIR-ам выдают условно-бесплатно до сих пор.
Уважаемый, ZIL.ok.130, у Вас в комментарии буква й лишняя оказалась.. ;)
404 по ссылке
А вообще, совершенно непонятно, о чем именно речь, что именно хотят запретить.
Для начала было бы неплохо запретить подписывать зоны ключами изданными УЦ вне российской юрисдикции. А то под давлением политических включат в список отозванных, или еще каку подлянку сделают. и опять будем ныть масштабный сбой. Нужно планирование рисков, а не экономия.
Во вторых ничто не мешает пользователю поставить в настройках любые днс сервера, в т.ч. свои собственные. Ну и в целом днс - вторичная надстройка - хотя и важная для человеков.
Давно пора обязать всех провайдеров перенаправлять все запросы днс сначала на наши сервера, а потом уже на гугловские восьмерки и единицы.
Ну и в целом органы власти нужно переводить внутрь защищенных сетей. А то торчат голыми жопами в интернет сотни серверов и пк.
Вв тысячах сельсоветов и районных администраций нет собственных сисадминов, а потому там творится жук и жаба. Компы с прямым доступом к интернет, на них сверху нагорожены всякие випнеты не к ночи будут упомянуты. ну и понеслась - заходим в госуслуги с эцп главы - а на компе кучи троянов (бюджета на покупку антивируса не предусмотрено, а встроенный виндовый - ему не до вирусов, он в редмонд отчеты формирует отправляет), майнеры и прочие открытые в браузере вайлберизы и озоны с платишками.
Т.ч. мне кажется что нужно все органы власти переводить в закрытый контур. Технически этому ничего не препятствует. Аппаратный криптошлюз стоит 60 тыщ, зато получаем хоть какое то подобие закрытой правительственнной сети. А вообще комерсы с ценами на криптошлюзы и криптогейты совсем берега потеряли. Я понимаю что разработка стоила денег - но миллион за кластер из 2-х криптошлюзов - это какойто позор.
ПС Майкрософтовский офис (а он ломаный стоит почти везде т.к. "нам в либрЕ неудобно") при нажатии печать - отправляет (ну по крайней мере пытается) изображение печатаемого документа на свои сервера.
«Гортана» и штатный процесс office telemetry чего стОят!
Круто, тоже так хочу: 60тыр за железку, которой 5 - красная цена.
60 - это низ рынка. я тут мониторил просто. а в целом еще дороже. Хотя да - там железа тыщ на 5, плюс софт - еще пусть столько же.
интересно, что вы циски купите за 5 тыс? даже если брать времена до.
При чем тут циски то? Вип нет. Континент-АП, фпсу IP, и прочие аппаратные криптошлюзы
оборудование примерно того же уровня. cisco-asa
кстати фпсуип есть варианты и дешевые. раньше были для отдельного компа решения.
Надо сертифицированное ФСТЕК и ФСБ же :-).
у фпсу есть решения в виде usb-токена и программного построителя к нему. Еще у когото видел подобное. но ИМХО это плохое решение. Только железный шлюз между сетью и провайдером. Технически нет ничего сложного сделать железку с 2 сетевыми картами и фаерволом между ними. Хоть на базе ПК, хоть на SOC - всё давно изобретено.Вопрос в сертификации - раз. Вопрос в построении сетей/администрировании со стороны государства - два. Ну и кто контролировать будет - три. Прокурорские нифига в этом не соображают, внутриние КРО тоже неквалифицированны. Вышестоящие органы власти - не имеют полномочий из=за разделения уровней власти. ФСБ другим занято, а интернет полиции у нас нет.
Просто продаваны в открытую наживаются на нужде продавая втридорога то что нужно для обеспечения инфобезопасности гос органов.
Надо, конечно. Но это от силы +100% к цене. А откуда еще +1000%?
Кстати, когда покупал себе токен для ЭЦП, разница в цене между сертифицированными и нет была всего процентов 20, в абсолютных цифрах - меньше 500р.
если вы видели подобные решения типа фпсу-ип (не токены) или подобные, то должны понимать, что они как раз уровня циско аса. цена будет примерно такая же. плюс наценка за импортозамещения, малую серию, использования ряда шифров, сертификацию.
поэтому - можете лучше и дешевле - у вас есть шанс.
Я дешевле могу, только государство хочет смотреть внутрь выпыэнов, а значит моё могу разбивается о необходимость сертификации. Вот если бы государство выдавало ключи для впн которые легитимизируют построенный на них канал, и не будет такие впн каналы дропать внутри каналов провайдера - там хоть на PfSense можно поднять шлюз из древнего ПК который обеспечит достаточную (кмк) защиту.
и много государство увидело внутри шифрованых каналов от фпсу-ип? а вы конечно можете, но берут не ваше, а что-то типа циски. интересно, почему?
Ну импортозамещение расставит всё по своим местам. Цискам - цисково. Микротам - микротово. Випнетам - випнетово.
Ну а почему впн каналы построенные на самовыпущеных сертах и ключах расзваливаются - то на совести РКН.
Так а что за решения? IPsec со сносной производительностью вполне может жить в современном роутере-мыльнице. Что тут еще нужно?
Зачем циски сельсовету? У меня soho микротик отлично IPsec жует, без тормозов, сельсовету хватит.
значит дарите ему фпсу-ип клиент. или что-то подобное. не лучшее решение. но примерно на уроне микротика с дырочками и без настройки.
Я как бы с этого и начинал: хочу продавать по 60тыр то, что стоит от силы 5.
Я вот тоже не пойму - Зачем сельсовету циски, сисадмин, антивирус, итп? Если в сельсовете есть доступ к интернету, то подключаться они должны к онлайн-серверам в областном центре или Москве. В сельсовете должен стоять простенький комп с браузером (или тонкий клиент). И всё. Тогда Михалыч-председатель и его "секретарша" Марина, один раз вводят пароль от своего личного аккаунта, спокойно работают с базами, сдают отчеты и получают указания сверху. Все в пределах своих прав доступа и под контролем далеких бородатых сисадминов из столиц. Работать можно хоть из сельсовета, хоть из дома. И не страшны отсутствие бэкапа, слив баз персональных данных, трояны-вирусы и прочее отсутствие обновлений, а также происки заокеанских врагов.
в целом согласен. Но у них там на местах много документов содержащих важные сведения. И их никто не будет организовывать при централизованной работе. Мне кажется всетаки правильной полноценный ПК в закрытом сегменте. А для работы на госплощадках - цепляются к терминалке уже настроенной бородатыми одминами из Москвы и работают работу. А документы по местным вопросам, пусть на локальном ПК готовят.
вы не поняли, что это уже открытая дыра? а точнее бездна... у вас перед интернетом и должно что-то стоять... а это уже админ, фаервалл итд...
пс самое не хорошее, что сельсовет он сам по себе.
ну так нужно запретить провайдерам подключать органы власти в обход защищенных сетей. так получается?
там много чего тогда нужно. а потом найдется умный сельский староста и скажет - вы нарушаете конституцию - не имеете права меня ограничивать...
Не совсем понимаю зачем все усложнять (файрволл, сельские сисадимны...). В предложенном мною примере, компьютер используется в качестве печатной машинки. Перехватывать там можно только нажатия клавиш и картинку идущую от сервера. Ну а если трафик зашифрован и юзеры пользуются какой-нибудь ЭЦП, то для злоумышленника всё резко усложняется. По сути, в сельсовете нужна клиентская машина с программным шифрованием (плюс ЭЦП клиента) и файроволл аппаратно прошитый на заводе-производителе. Чтобы кроме работы с вышестоящим сервером никаких походов налево (вконтактики, инстаграмчики). Держать ворд/эксель/1С на клиенте также не нужно - всю картинку формирует для него сервер. Хакеру такой комп в сельсовете просто не интересен - там нет никакой информации.
всё так. Но значит на сервак нужно закачить всю инфу с сельсовета чтоб работать. а как всякие плакатики делать для праздников. объявления печатать на доски деревенские. Готовить кучу других документов.
Учитывая вто в сельсовете обычно данных на 500+ гигов. я как сисадмин скажу что на терминалке мне это говно в виде фоточек с дня деревни за 10-15 прошлых лет, видосы с субботников и вахт памяти, схем водоснабжения и прочей сельсоветской фигни не нужно. а как тогда организовывать доступ к данным? пробрасывать на терминалку целиком диски с локально машины - ну такое себе.
Но в целом то я с вами согласен. нужна система, а не как сейчас кто во что горазд.
сделайте... кто ж мешает? даже в нашей гораздо более серьезной организации пока такое никак не смогли. и дешевых подобных решений тоже не сильно видать. а там вообще каждый выкручивается как сам хочет.
а еще есть очумелые ручки - а что если к компу подключить телефон? а если выпаять этот биос и поставить другой... в сельсоветах - это будет :)
del
> подписывать зоны ключами изданными УЦ вне российской юрисдикции.
Так в DNSSEC ключи идут к корню зоны же, там не УЦ.
> Давно пора обязать всех провайдеров перенаправлять все запросы днс сначала на наши сервера, а потом уже на гугловские восьмерки и единицы.
Вообщем то по факту уже давно - уже у многих провайдеров и не только в России для куч. Только переводят на сервера свои а уже они дальше. Нужно это чтобы например запросы к медузам с флибустами сразу резать а не потом на dpi. Разумеется куче людей это НЕ нравится. Разумеется задействуются меры противодействия. Собственно те же DNS-over-TLS/DNS-over-HTTPS/DNS-over-Quick(в россии толком не работает потому что Quick сам - задавлен для трансграничного трафика) в том числе - сделаны так что провайдер вмешаться не мог, ни с какими целями.
то что творится последний год с провайдерами кроме как непечатных слов не вызывает. ВПН которые мы строим от офиса до офиса то строятся то не строятся. при том что никакой системы нет. Стоит линия - всё работает. Фигак - впн пал. и не поднимается. Звоним провайдерам - они чтото там у себя мутят - заработало. на вопросы почему - морозятся. А с 3g/4g каналами вообще аттракционы. Работают черти как. При том что оборудованеи стоит статично - антены направлены куда надо, и раньше канал стоял стабильно неделями. Теперь беда-беда.
Судя по всему РКН на нас тестирует большой фаервол. Мы в уцелом то не против, комерсов ведь не жалко. но Выдайте тогда нам серты для шифрования впн "от государства" - и смотрите наш траффик хоть обсмотритесь. Ну или запретите впринципе программные впн - только на сертифицированнных железках, тоже поймем. Но не так как сейчас - РКН чтото там изменил на точках фильтрации трафика. у нас впн увидел "человека посередине" и развалился. Нельзя так с бизнесами которые почти все сейчас сильно интернированы с т.з. айти, строят распределенные сети и работают на системах онлайн. Особенно когда бизнесы в т.ч. и на само государство работают. Бизнесу нужно понимать правила игры, а РКН их не только не оглашает, но и пишет прямо в процессе, и меняет и перенастраивает на лету никого особо не уведомляя.
Наболело.
На работе не я сетями занимаюсь так что только с точки зрения обычного продвинутого пользователя...ломается что попало когда попало. Сейчас пришлось сделать L2VPN через один весьма редко используемый (потому что поддерживается только софтом и железом одной конторы из одной недружественной страны)) протокол (вариация одного из стандартных) а поверх него. И готовится потихоньку вариант если это сломается.
Да, неэффективно (с резервным вариантом будет еще более неэффективно). Но зато проще а на лишний трафик - пока плевать. Да, про IPv6 пока приходится забыть потому что и так уже все слишком сложно.
Нужно вовсе не только чтобы на facebook ходить а и например чтобы тупо иметь возможность принимать и посылать почту всем - потому что одни - режут входящие из России (а также свои же исходящие(!) на Россию), другие наоборот режут все что НЕ из России, и тоже самое с сайтами, третьи отдают бред со своих DNS если по их мнению пользователь хочет странного(тут DNSSEC кстати не поможет).
На работе (крупная формально-частная-контора) VPN вообще через CheckPoint буржуйский и живут без проблем (вот внутри - импортозамещние во весь рост)
млять, не могут перевести на русский validation, обязательно надо повыёживаться.
для тех, кто будет заниматься это нормально, а вот перевод возможно им будет непонятен...
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.