Поддержка проекта

Ilya Antipin

Сервер – всегда был далеко. Регистратор домена вчера вежливо попросил русских покинуть компанию в известном направлении, ну… перевели домен на доверенное лицо в другой стране.

Некоторые личные средства были зарезервированы где надо, кому надо были даны указания – все будет работать при любых раскладах.

Однако, остается открытым вопрос, будет ли в принципе в обозримом будущем выход за пределы или только некий локальный недоинтернет.

Ну, и промежуточный вариант с фильтрацией всего внешнего трафика, где не факт, что поможет и VPN, да и далеко не все осилят VPN, как минимум, быстро.

Степень неопределенности максимальная. Продолжаем.

dimalut

@just_one сейчас такие события, что объяснения уже не требуются, не?

Just_One

@ilya-antipin за один клик скопируете свою вакабу в руцентр, делов-то. Или принципиально “нет”?

Just_One

Пользователь @dimalut написал в Поддержка проекта:

объяснения уже не требуются

И куаркод тоже. Ну зато хоть масочки можно не носить…

Ilya Antipin

@just_one это прикол какой-то сложный? Или вы пьяный?
Вы предлагаете все отдать товарищу майору? А… у вас фаза «мне нечего скрывать» ))

Just_One

@ilya-antipin предполагаю, что под “всем” вы имеете ввиду личные данные пользователей. Но товарищ майор (здравия желаю, кстати) итак же в случае необходимости все видит на уровне провайдера. Если рунет чебурнется до невозможности тунеллирования, какой смысл в русскоязычном неуправляемом ресурсе за поребриком?

Ilya Antipin

@just_one нет, вы заходите на сайт с шифрованием SHA256, тов. майор, и даже тов. генерал ключики на 256 бит ломать не умеет. И одно дело знать, что Just_One был там-то, а другое – кто был вообще. И когда, и кто есть кто. То, что вы не шифруете и DNS-запросы, это уже ваша проблема, могли бы шифровать, тот же 1.1.1.1 от CF поставить, и тогда и на уровне провайдера ничего не видно, то есть даже куда пошли, собственно, это все, что и можно увидеть, по большому счету.

Just_One

Пользователь @ilya-antipin написал в Поддержка проекта:

То, что вы не шифруете и DNS-запросы

Я, предположим мог бы, но 99.9% иных посетителей врядли будут этим заниматься. Соотнести ip адрес, днс, и время активности - с этим даже не очень умные алгоритмы справятся.

Stuppy

Пользователь @ilya-antipin написал в Поддержка проекта:

с шифрованием SHA256

SHA256 - алгоритм хэширования, он позволяет гарантировать неизменность данных путём вычисления контрольной суммы. Шифрование (сеансовое, симметричное, во время подключения к вебу) - AES256, самый популярный, но не единственный алгоритм.

Небольшая справка)

Stuppy

Пользователь @ilya-antipin написал в Поддержка проекта:

То, что вы не шифруете и DNS-запросы, это уже ваша проблема, могли бы шифровать, тот же 1.1.1.1 от CF поставить, и тогда и на уровне провайдера ничего не видно, то есть даже куда пошли, собственно, это все, что и можно увидеть, по большому счету.

Немного уточнить следует, для непосвященных умов. Обращение к DNS действительно опасно в открытом виде (по умолчанию), но обращение к шифрованному DNS спасает нас только когда мы обращаемся не к хосту, привязанному к статическому адресу (потому что коннект к нему будет виден и без днс, потому что можно соотнести однозначно IP с URL).

Вот в случае с форумом, когда он за CloudFlare - норм, там маршрутизация к сайту на прикладном уровне осуществляется по имени сайта, который внутри зашифрованного трафика (в заголовке HTTP)

Васьвась

Это вы на каком-то жидомасонском языке заклинания читаете все?

Некто

Пользователь @ilya-antipin написал в Поддержка проекта:

То, что вы не шифруете и DNS-запросы, это уже ваша проблема, могли бы шифровать, тот же 1.1.1.1 от CF поставить

Добавлю своих 5 копеек, если можно. Не пинайте за оффтоп, но может людям пригодится.

Надо не просто поставить 1.1.1.1 (или любой из списка по нужному протоколу), а включить “только шифрованные запросы”. Через DoH (DNS-over-HTTPS) или DoT (DNS-over-TLS). Как включить DoH на windows 10 и выше - можно посмотреть тут. Иначе да, трафик по HTTPS будет зашифрован, а вот имена доменов, к которым обращается пользователь - будут утекать…

Для POSIX-совместимых систем можно использовать stub resolver. Например пакет stubby, с вот таким конфигом:

resolution_type: GETDNS_RESOLUTION_STUB
dns_transport_list:
  - GETDNS_TRANSPORT_TLS
tls_min_version: GETDNS_TLS1_2
tls_authentication: GETDNS_AUTHENTICATION_REQUIRED
tls_query_padding_blocksize: 128
edns_client_subnet_private: 1
idle_timeout: 9000
listen_addresses:
  - 127.0.0.1@53
round_robin_upstreams: 0
appdata_dir: "/var/cache/stubby"

upstream_recursive_servers:
  - address_data: 1.1.1.1
    tls_auth_name: "cloudflare-dns.com"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: V6zes8hHBVwUECsHf7uV5xGM7dj3uMXIS9//7qC8+jU=
    tls_port: 853
  - address_data: 1.0.0.1
    tls_auth_name: "cloudflare-dns.com"
    tls_pubkey_pinset:
      - digest: "sha256"
        value: V6zes8hHBVwUECsHf7uV5xGM7dj3uMXIS9//7qC8+jU=
    tls_port: 853

А уже системный resolv.conf натравить на 127.0.0.1. Тогда весь софт сам того не зная будет использовать защищенные запросы.

У кого совсем паранойя - я бы рекомендовал аккуратнее ставить “отечественный” софт (или потом проверять). А то поставят вместе с собой “нужный” корневой сертификат удостоверяющего центра и вы даже не узнаете, что ваш HTTPS трафик проходит через чье-нибудь ведомство. Ни один браузер (из обычных) даже не пикнет. Кроме Firefox, у которого “по умолчанию” отключено доверие к системным корневым сертификатам (параметр “security.enterprise_roots.enabled” в about:config).

Ilya Antipin

@некто однако, в обозримом будущем и это может быть бесполезным. https://theins.ru/politika/248511

Некто

@ilya-antipin вилами по воде (в данной статье). Пока будет физическое соединение до зарубежных ASN - будут и способы выйти в мир. DPI не всесилен. А то что слушают (ну или пытаются), так это уже давно. СОРМ с 1996 года существует и мало кто об этом вообще слышал.

Им бы пока организовать устойчивую работу своих сервисов. Полностью собственный (отечественный) 1-й уровень модели OSI, внутри страны. А то иногда отправишь traceroute до соседнего города, а он через соседнюю страну идёт. А то и не раз. Как посылка с алиекспресса.

Так что не так уж и в обозримом. Но, когда-нибудь - возможно. Как говорится: “смех-смехом, а пилотка кверху мехом”.

Stuppy

Пользователь @некто написал в Поддержка проекта:

Полностью собственный (отечественный) 1-й уровень модели OSI, внутри страны

Мб таки третий? 1 - провода и электричество/свет/т.п. А перемычки есть между всеми крупными провами

Некто

@stuppy не, я именно про первый (физический). Не везде есть прямой линк по стране. А иногда, вроде как есть, но “стоимость” такого пути по “ребрам взвешенного графа” выше, чем через соседнюю страну. Поэтому трафик и идёт наружу, а потом внутрь страны. Ибо маршрут быстрее. Пока они всё это соберут в кучу, чтобы “наша” сеть не сказала “ой, всё” из-за санкций - пройдёт очень не мало времени. А ради галочки уронить то, что есть - это надо быть совсем альтернативно-одарённым.

Основной посыл той статьи как раз в том, что они замыкают страну в свою ASN. Чтобы внутренний трафик не выходил наружу. BGP конечно выручит, перекинув маршрут в случае отключения. Но в отдалённых местах родины иногда такие сети можно встретить, что кровь из глаз идёт.

И тесты на “отключения” они забавно проводят. “Мы провели отключения, у нас (в больших городах) всё работает”. А то, что города поменьше отвалились от тех же госуслуг на час-другой - так это мелочь. Ножками дойдут.

Stuppy

Пользователь @некто написал в Поддержка проекта:

Не везде есть прямой линк по стране. А иногда, вроде как есть, но “стоимость” такого пути по “ребрам взвешенного графа” выше, чем через соседнюю страну. Поэтому трафик и идёт наружу, а потом внутрь страны.

Ну явно его проще как минимум в точках обмена, на М-9 и пр., заворачивать. А линки между магистралами наверное между всеми должны быть.

Некто

Пользователь @stuppy написал в Поддержка проекта:

Ну явно его проще как минимум в точках обмена, на М-9 и пр., заворачивать

С учетом размеров страны и кто там и чем владеет во всей цепочке… Кто-то одним куском кабеля, кто-то другим. Оборудование вообще третьим принадлежит, а то и нескольким ЮР лицам. Всё это надо согласовать и бумажкой закрепить. Пока всё это пройдёт по всем “заинтересованным” по цепочке в стиле “друг подруги тёлки брата”. Не быстро в общем.

Тема просто модная, вот её и мусолят. А по факту…

Ilya Antipin

@некто

In light of the unwarranted and unprovoked invasion of Ukraine, Cogent is terminating all of your services effective at 5 PM GMT on March 4, 2022. The economic sanctions put in place as a result of the invasion and the increasingly uncertain security situation make it impossible for Cogent to continue to provide you with service.

All Cogent-provided ports and IP Address space will be reclaimed as of the termination date. For any colocation customers, your equipment will be powered off and kept in the rack for you to collect.

If not collected within thirty days, the equipment will be removed from the rack and stored. For any utility computing customers, you will not have access to your servers after the termination of service. The servers will be disconnected and kept in storage by Cogent for an indeterminate period.”

Regards,
Cogent Terminations

Магистральных порубят, вероятно, но, если так, то все не встанет, сразу, но, похоже, цели такой и нет, им достаточно замедлить все до полной невозможности рутинного комфортного использования. Тайные тропы будут работать долго, наверно.

Некто

Пользователь @ilya-antipin написал в Поддержка проекта:

@некто

In light of the unwarranted and unprovoked invasion of Ukraine, Cogent is terminating all of your services…

Предлог просто. Скорее не от нежелания сотрудничать, а из-за давления контролирующих органов. Невозможности приема оплаты, например. Кошмарят бизнес в угоду своим интересам.

Плохо конечно, что переезжать приходится. Да и явно стоимость содержания увеличивается. Курс подрос весомо. Помогаю проекту чем могу. Не великие деньги конечно…

Кстати. В районе 15:00 по МСК (GMT+3) словил 503-ю ошибку. Видимо ресурсов не хватает.