Самые важные изменения в Carbon Reductor DPI. Ретроспективный обзор 2017. Карбон редуктор


Аппаратная версия Carbon Reductor DPI X

Carbon Soft Ниже аппаратная версия фильтра трафика по спискам Роскомнадзора и Минюста Carbon Reductor DPI X. По вопросам приобретения обращайтесь в отдел продаж по телефону:8 (800) 777-83-70 ≈1500-2000 абонентов,
  • Сервер: HP ProLiant DL360 G5
  • Процессор: 2 процессора Intel Quad-Core E5450 3.00GHz
  • Жёсткий диск: HP 1000GB 6G SATA 7.2K rpm LFF (3.5-inch) x 1
  • Сетевая карта: Mellanox ConnectX-3, 2 порта 10GE (SFP+)
  • Блок питания: 700W x 2
Цена: около $2700 ≈3000-10000 абонентов, ≈3-15 gbit/s
  • Сервер: HP Proliant DL380 G7
  • Процессор: 2 процессора Intel Xeon 6C X5670 2.93GHz
  • Жёсткий диск: HP 500GB 6G SATA 7.2K rpm LFF (3.5-inch) x 1
  • Сетевая карта: Mellanox ConnectX-3, 2 порта 10GE (SFP+)
  • Блок питания: 750W x 2
Цена: около $5000 ≈15000-40000 абонентов, ≈20-40 gbit/s+
  • Сервер: HP Proliant DL380p Gen8
  • Процессор: 2 процессора Intel Xeon 8C E5-2670
  • Жёсткий диск: HP 2000GB 6G SATA 7.2K rpm LFF (3.5-inch) x 2
  • Сетевые карты: Mellanox ConnectX-3, 2 порта 10GE (SFP+) x 2
  • Блок питания: 750W x 2
Цена: около $10500 Отдел продаж

Тел: 8 (800) 777-83-70 Skype: call.carbonsoft

www.carbonsoft.ru

Релиз Carbon Reductor 7.6.2 131

Carbon Soft

Добрый день! В последние время публиковались новости только по Carbon Reductor 8 — основные усилия разработчиков сконцентрированы на 8-й версии, тем не менее 7-я версия по-прежнему поддерживается и получает критически важные обновления. О них и пойдёт речь в этой статье.

Хотфиксы

Для Carbon Reductor 7 в мае 2017 года реализована система хотфиксов, которая поставляет важные изменения, не требующие рестарта сервера фильтрации.

За последние полгода мы выпустили следующие хотфиксы:

  • 25.07.2017 — Исправлена недоступность страницы-заглушки в случае, если не указан IP-адрес администратора.
  • 27.07.2017 — Переход на систему мониторинга Carbon Reductor 8. Стандартизована и улучшена работа с автоматически создаваемыми задачами.
  • 15.08.2017 — При разборе реестра URL вида http://example.com:80 приводились к http://example.com, теперь этого больше не происходит ввиду особенностей АС «Ревизор».
  • 18.08.2017 — Изменения в обработке HTTPS трафика — анализ заголовка SNI происходит до отброса пакета из-за нахождения в белом списке IP-адресов провайдера. Иными словами, если на одном IP-адресе расположены запрещённый и безвредный сайты, добавление этого IP-адреса в белый список сохранит запрещённый сайт недоступным по HTTPS.
  • 05.09.2017 — Добавлена защита DNS-серверов, взаимодействующих с Carbon Reductor 7. При обработке в списках доменов обрезаются пробелы.
  • 29.09.2017 — Создание заявок о возникших проблемах унифицировано с Carbon Reductor 8. До этого отправлялось только состояние сервера, а заявки создавались старым мониторингом.
  • 10.10.2017 — Для периодических задач Carbon Reductor добавлены таймауты с многократным запасом для аварийного завершения зависших задач.
  • 28.11.2017 — Откорректирована работа синхронизации нескольких списков с маршрутизатором.
  • 06.12.2017 — Бэкпорт исправлений по диагностике из Carbon Reductor 8. Два теста для проверки срока действия сертификата создают две отдельные задачи — ALARM за месяц (штатное предупреждение) и FATAL за неделю до истечения срока действия — подключается дежурный по мониторингу, получает подтверждение о том, что системный администратор решает проблему.
  • 01.02.2018 — Добавлена возможность выгрузки единого реестра с помощью дельт по логину и паролю. Опционально, по умолчанию выгрузка продолжает работать так, как настроена. Логин и пароль предоставляет Роскомнадзор по запросу. Подробнее о новом способе выгрузки мы писали ранее.
  • 01.02.2018 — Проверка настроек сервера в веб-интерфейсе выдавала ошибку на устаревшую опцию — уровень логирования модуля DNS. Опция, как и её проверка удалены.

Перевод серверов Carbon Reductor 7 на Carbon Reductor 8

На текущий момент мы обновляем пользователей на последнюю версию ПО. Стоимость подписки от этого не меняется, но обращение с сервером фильтрации будет легче и для Ваших администраторов, и для сотрудников технической поддержки. 53% серверов Carbon Reductor уже работают на новой версии. Если Вы готовы заняться обновлением, инженеры Carbon Soft Вам помогут. Для получения помощи в миграции создайте заявку в Helpdesk.

Спасибо, что пользуетесь Carbon Reductor!

Отдел продаж

Тел: 8 (800) 777-83-70 Skype: call.carbonsoft

www.carbonsoft.ru

Техническая поддержка

Carbon Soft Carbon OSS Billing 5 Для внедренных клиентов доступна опция в панели управления: Настройки -> Разблокировать пользователей. Далее по миниинструкции. При этом абонентам уйдут команды по последним скоростям, независимо от баланса. Carbon Standalone Billing 4 Softrouter Заходим в консольное Меню -> Сервис -> Разрешить абонентам доступ в интернет без авторизации Ставим галочку «[X] Включить доступ в интернет без авторизации» и указываем скорость на которой абоненты будут работать. Подробнее в документации Carbon Standalone Billing 4 Руками разрешить на вашем оборудовании доступ всем абонентам. Техническую поддержку получают клиенты с активной подпиской и пользователи пробных версий. Поддержка оказывается в тикетной системе HelpDesk и по телефону.

Активация

Активировать продукт можно двумя способами: с помощью мастера в панели управления биллинга или через web-интерфейс:

Перейти к активации

Контакты

  • Перейти в HelpDesk
  • +7 (495) 668-07-88
  • В нерабочее время по экстренным вопросам обращайтесь по круглосуточному номеру, указанному на портале HelpDesk (в соответствии с уровнем SLA)

Регламент работы

Уровни критичности проблемы

Низкая, WARNING
  • Оповещения для администратора сервера.
  • Не требует реакции службы поддержки.
Обычная, ALARM
  • Вопросы настройки продукта.
  • Не срочные проблемы.
  • Обработка в рабочее время.
Критичная, FATAL для Carbon Billing 4,5
  • Сервер не загружается или находится в SAFEMODE.
  • Нет Интернета у абонентов.
  • Интернет работает неприемлемо плохо у абонентов.
  • Массовые ошибки расчетов, приема платежей или управления оборудованием.
Критичная, FATAL для Carbon Reductor DPI
  • Перестал выгружаться реестр.
  • Не фильтруется более 1% страниц.
  • Не работает страница-заглушка.

Уровни технической поддержки

Уровень Решение вопросов Рекомендации
Стандарт
  • Консультации по базовому функционалу, предоставление инструкций 8×5 в рабочее время.
  • Возможность обновления на новые версии.
  • Исправление ошибок в ПО разработанного нашей компанией.
  • Ошибки и проблемы OpenSource программ по обращениям не устраняются.
  • Изменение и добавление функционала ПО и OpenSource программ не производится.
  • Схема работы по обращениям: предоставление инструкции, предоставление уточнений по инструкциям, предоставление исправлений и обновлений.
  • Специалисты Лицензиата должны обладать достаточной квалификацией для самостоятельного решения задач по инструкциям, для настройки сети и маршрутизации, для диагностики сетевых проблем и тп.
  • Время реакции на обращение: 24 часа в рабочее время
  • Время реакции на критичное обращение - 2 часа в рабочее время.
  • Время устранения критичной ситуации до 12 часов.
Домовые сети, сети без гарантированного качества предоставления услуг.
Бизнес
  • Помощь в решении проблем 8×5 по обычным обращениям и 24×7 круглосуточно по критическим обращениям.
  • Возможность обновления на новые версии.
  • Возможность изменения и добавления функционала совпадающего с планом разработки.
  • Исправление ошибок в ПО разработанного нашей компанией в разумные сроки.
  • Ошибки и проблемы OpenSource программ по возможности устраняются.
  • Схема работы по обращениям: предоставление инструкции, предоставление уточнений по инструкциям, помощь в локализации проблем, помощь в настройке.
  • Если специалист Лицензиата не смог разобраться самостоятельно, предоставляется помощь в диагностике проблем, помощь в настройке.
  • Время реакции на заявку 4 часа.
  • Время реакции на критичную заявку 2 часа или сразу после звонка.
  • Время устранения критичной ситуации до 6 часов.
Всем провайдерам, нацеленным на коммерческое использование биллинга.
Сопровождение
  • Помощь и решение проблем 8×5 по обычным обращениям и 24×7 круглосуточно по критическим обращениям.
  • Возможность обновления на новые версии.
  • Разовая полная настройка при интеграции.
  • Прямая помощь от разработчиков.
  • Возможность изменения и добавления функционала совпадающего с планом разработки.
  • Исправление ошибок в ПО разработанного нашей компанией, в приоритетном режиме.
  • Ошибки и проблемы OpenSource программ устраняются, кроме сложных случаев, в сложных случаях предлагаются альтернативные решения или разрабатываются собственные программы.
  • Схема работы по обращениям: предоставление инструкции, предоставление уточнений по инструкциям, предоставление исправлений и обновлений, помощь в локализации проблемы с указанием пути решения.
  • Система автоматического мониторинга и предупреждения неисправностей, контроль 50 параметров. По начальным признакам проблемы система автоматически оповещает вашего системного администратора на указанный e-mail и SMS.
  • Если специалист Лицензиата не смог разобраться самостоятельно за 5 рабочих дней, настройку и локализацию проблемы могут полностью провести специалисты нашей технической поддержки, при предоставлении всех необходимых интерфейсов и доступа до необходимого оборудования.
  • Для гарантированного получения услуги необходимо использовать оборудование IP-KVM, netpinger и тестовый абонентский ПК или виртуальный ПК.
  • Время реакции на заявку 3 часа.
  • Время реакции на критичную заявку 2 часа или сразу после звонка.
  • Время устранения критичной ситуации до 4 часов.
Для динамично развивающихся провайдеров.
Аутсорсинг
  • Поддержка аппаратной и программной части сервера, полное администрирование сервера, биллинга и всех подсистем 24×7, обработка обычных заявок 8×5, обработка критичных заявок 24×7.
  • Прямая помощь от разработчиков.
  • Возможность изменения и добавления функционала совпадающего с планом разработки.
  • Система автоматического мониторинга и предупреждения неисправностей, контроль 50 параметров. По начальным признакам проблемы — автоматически создается заявка, специалисты подключаются и устраняют проблему.
  • Выполнение всех функций администратора сервера и продукта или помощника администратора, по выбору в таблице доп.соглашения к договору.
  • Обработка заявок от менеджеров Лицензиата на создание тарифов, отчетов и выполнение других подобных задач.
  • Обработка заявок от абонентского отдела Лицензиата по проблемам абонента в работе биллинга и встроенного Softrouter
  • Для гарантированного получения услуги необходимо использовать оборудование IP-KVM, netpinger и тестовый абонентский ПК или виртуальный ПК.
  • Время реакции на заявку 2 часа.
  • Время реакции на критичную заявку 2 часа или сразу после звонка.
  • Время устранения критичной ситуации до 3 часов
  • Возможно выделение Персонального инженера по запросу.
  • Помощь в настройке оборудования в части интеграции с продуктом.
Для операторов связи работающих по современной модели бизнеса

Способы и правила обращения

  • Обращение в отдел технической поддержки осуществляется, в порядке приоритета: в HelpDesk, по телефону.
  • Ответ службы технической поддержки также осуществляется через HelpDesk, при невозможности просмотра HelpDesk ответ дублируется по телефону
  • Работа по обращению не начнется без заполнения названия компании, контактных данных обратившегося и передачи ему номера обращения и имени исполнителя.
  • Обращения в отдел технической поддержки обрабатываются строго последовательно по одному. Приоритет задает Пользователь
  • Обращение считается неисполненным только в том случае, когда есть официальный отказ на официальное обращение с подписью и печатью организации.
  • Задачи, по которым не происходит изменений более 14 дней и не поступает запросов от пользователя, закрываются автоматически с уведомлением пользователя.
  • Пользователь обязан ежедневно уточнять в рабочее время отдела технической поддержки актуальность и состояние задачи, а также передавать всю необходимую информацию.

Предмет обращений

  • Техническая поддержка оказывается по вопросам настройки продуктов компании Carbon Soft.
  • Специалисты отдела технической поддержки не занимаются обучением пользователей продуктов.
  • Специалисты отдела технической поддержки, на свое усмотрение, могут проконсультировать по другим вопросам: настройки локальной сети, настройки продуктов третьих компаний.

График работы

График работы технической поддержки

Дни недели

Время работы (МСК)

Понедельник - четверг

08:00 - 16:00

Пятница

08:00 - 15:00

Суббота, воскресенье, праздники

-

  График работы технической поддержки в экстренных ситуациях для SLA-2, SLA-3, SLA-4, SLA-Бизнес, SLA-Сопровождение, SLA-Аутсорсинг

Дни недели

Время работы (МСК)

Понедельник - пятница

Круглосуточно

Суббота, воскресенье, праздники

Круглосуточно

Отдел продаж

Тел: 8 (800) 777-83-70 Skype: call.carbonsoft

www.carbonsoft.ru

Я установил Carbon Reductor давным давно, что мне надо сделать чтобы всё было хорошо?

Мир вокруг меняется, бизнес-правила тоже. Законопроект http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=1102471-6 на 10 ноября 2016 ещё находится на рассмотрении, но скоро будет принят. Теперь Carbon Reductor должен работать идеально, иначе каждый пропущенный пакет от ревизора может обернуться штрафом. Всё, что мы можем делать со своей стороны - мы делаем, но многие вещи может сделать только сетевой/системный администратор провайдера.

Настроить satellite

Ревизор, конечно всё проверяет, но когда проверка чревата штрафом - спокойно отладить блокировку становится невозможно. Мы сделали аналог ревизора, проверяющий HTTP, HTTPS и DNS фильтрацию и не “стучащий” никуда, кроме почты администратора: https://github.com/carbonsoft/reductor_satellite_installer

Обновить настройки зеркала трафика

Зеркалировать tcp/80, tcp/443 и udp/53 недостаточно. Нужно отправлять либо весь исходящий трафик абонентов, либо автоматически, или хотя бы периодически следить за тем, что нужно Carbon Reductor для анализа:

  • udp/53 - пока единственный порт на котором анализируется DNS трафик
  • /usr/local/Reductor/lists/load/port_http.load - файл-список tcp dst портов
  • /usr/local/Reductor/lists/load/port_https.load - файл-список tcp dst портов
  • /usr/local/Reductor/lists/load/ip_port.load - файл-список связок из ip + dst портов (tcp и udp)
  • /usr/local/Reductor/lists/load/ip_block.load - файл-список IP которые надо блокировать целиком, независимо от IP.

Настроить свою страницу-заглушку

На отдельном сервере с IP адресом, доступным абонентам. Это нужно для корректной работы DNS-спуфинга для блокировки по домену. Есть готовое решение: https://github.com/carbonsoft/reductor_blockpages

Можно настроить это на самом Carbon Reductor, но по причине в конце статьи - лучше на отдельном веб-сервере.

Настроить SNI-фильтрацию

Появился довольно неплохой модуль, фильтрующий обращения к HTTPS ресурсам по домену, указанному в поле SNI в пакете Client Hello.

menu -> “Настройка алгоритма фильтрации” -> “Фильтровать HTTPS по SNI”

Настроить DNS-фильтрацию

В реестре появилось много ресурсов, которые требуется блокировать по домену. А это означает не только по HTTP/HTTPS, а любое обращение к этому домену. В Carbon Reductor появился модуль DNS-спуфинга, вам нужно:

  1. Включить его
  2. Указать IP адрес настроенной выше страницы-заглушки.
  3. Указать IP адрес ревизора (облегчит отладку пропусков блокировок, если это не дай бог произойдёт, происходящую пост-фактум)

Интеграция с DNS-серверами

Когда DNS-запросы от Ревизора попадают в DNS-сервера провайдера, они:

  1. Не факт, что попадут в зеркало трафика Carbon Reductor
  2. А если и попадут, то не факт, что DNS-сервер примет их из-за DNSSec-валидации

Поэтому хорошим решением будет подружить DNS-сервера с Carbon Reductor, научив его отвечать на блокируемые домены IP адресом страницы-заглушки с помощью простого набора скриптов:

unbound

https://github.com/carbonsoft/named_fakezone_generator/tree/master/unbound

bind/named

https://github.com/carbonsoft/named_fakezone_generator

другие

Либо брать https://github.com/carbonsoft/named_fakezone_generator и дорабатывать под свой dns-сервер по аналогии, либо отключать DNSSec-валидацию.

Интеграция с маршрутизатором

Некоторые ресурсы необходимо блокировать полностью по IP вообще по всем протоколам. Находясь в зеркале такого сделать невозможно (хотя мы и присылаем соответствующие tcp/icmp ответы на такие обращения), поэтому блокировать их лучше на маршрутизаторе. Каким образом - на ваше усмотрение:

  1. Использование BGP/OSPF Remote Triggered Blackhole: https://github.com/carbonsoft/reductor_bgp_rtbh
  2. Настроить отправку команд на оборудование для добавления/удаления/получения списка заблокированных IP в хуке events.sh.

Скорее всего почистить собственные белые списки

Быть добрым к клиентам и разрешать доступ к популярным заблокированным ресурсам типа рутрэкера или порнхаба было клёво, но теперь это может обойтись довольно дорого.

Настроить дополнительные параметры мониторинга

Первым делом стоит вообще настроить хоть какой-то мониторинг за Carbon Reductor. Внутри там Linux, так что следить хотя бы за его состоянием будет уже хорошо. Но помимо прочего, стоит следить и за состоянием самого Carbon Reductor:

Есть готовые плагины для collectd, на их основе можно соорудить аналоги для используемых вами систем мониторинга. https://github.com/carbonsoft/collectd-reductor

Вообще мы подумываем сделать полноценный облачный мониторинг, куда сливать кучу подробностей о состоянии серверов и самостоятельно заниматься отслеживанием аномалий итд, но здесь есть много “privacy issues”, по крайней мере без согласия представителей провайдера мы это делать точно не можем.

Добиться идеального latency

В случае с анализом зеркала трафика важно, чтобы срабатывание происходило гарантированно быстро. Подробнее почитать про это можно по ссылке: https://strizhechenko.github.io/2016/11/09/reductor-and-vm.html

Кратко:

  • Купить хорошие сетевые карты и обязательно настроить их.
  • Отказаться от виртуальных машин и перейти на железо.
  • Избавиться даже от единичных потерь на стороне зеркалирующего оборудования.
  • Озаботиться тем, чтобы Carbon Reductor не занимался ничем кроме фильтрации, в том числе и веб-сервера.
  • Отправить критически важных абонентов в разрыв через Carbon Reductor чтобы не беспокоиться о потерях на свитче.
  • Заиметь резервный сервер Carbon Reductor (бесплатно) и настроить схему с их взаимодействием (скоро появится)

Что мы планируем сделать со своей стороны в будущем

Возможность разнести управление и фильтрацию по отдельным машинам.

Управление - сервер, отслеживающий и поддерживающий одинаковую конфигурацию на всех фильтрующих серверах.

  • Конфигурация
  • Веб-интерфейс
  • Выгрузки
  • Обработка списков
  • Принятие решения об обновлении себя и серверов фильтрации
  • Часть диагностики
  • Активация
  • Резолв
  • Взаимодействие с оборудованием провайдера

Фильтрация - сервер который занимается только фильтрацией трафика, не имеющий никаких периодических задач.

  • Фильтрация HTTP запросов
  • Фильтрация HTTPS по Client Hello и IP
  • Фильтрация DNS запросов без DNSSec
  • Фильтрация других протоколов по IP / IP+port
  • Загрузка URL/доменов/IP при необходимости
  • Часть самодиагностики

В итоге планируется получить схему, в которой возможно полностью избежать:

  1. Downtime при обновлениях и перезагрузках, даже если необходимо заменить модули в памяти.
  2. Нагрузки на сервере фильтрации, способной привести к задержке ответа -> пропуску фильтрации.

Это потребует выноса Carbon Reductor для управления на отдельную машину, но - к ней не будет требований по скорости работы! А это означает возможность его работы в виртуальных машинах, даже внутри легковесных Linux-контейнеров. И тут появляется возможность держать прямо на этом же сервере:

  • Carbon Reductor Manager
  • Carbon Reductor Satellite
  • Carbon Reductor Blockpage

Задача их одновременной работы довольно сложная, но в этом нам может помочь описанное в следующем пункте.

Переход на Carbon Platform 5.

Готовое и проверенное годами работы Carbon Billing решение для работы нескольких бизнес-приложений. Бонусы:

  • привычно для разработки любым разработчиком Carbon Soft - проще привлечь для помощи коллег из других проектов.
  • привычно для обслуживания любым инженером техподдержки Carbon Soft - ответы в хелпдеске будут быстрее.
  • с платформой в бонус идут некоторые решения, повышающие общую надёжность системы:
    • watchdog
    • дефолтные настройки Linux
    • правильная разбивка дисков
    • система обновления, позволяющая получать только полностью проверенные обновления, но оставляющая возможность совместно обкатывать новые возможности.
  • веб-интерфейс даёт: авторизацию и возможность конфигурировать приложения в браузере. Более того, его использование снимает около 35% подзадач из эпичной задачи, которую мы пока отложили - web-интерфейс 2.0.

Изменение схемы файрвола

Использование iptables для фильтрации трафика даёт много удобств (не надо писать свой ip/tcp-стэк, логика с проходом пакетов по цепочкам тоже довольно упрощает жизнь), но и много неудобств, одно из них - match-модули не могут возвращать что-то кроме boolean значений (true/false). Это не подходит для классификации. По уму надо давно взять PF_RING / NETMAP / что-то ещё и переписать всё на работу в userspace, но это по сути разработка нового продукта и требует достаточно времени свободного от срочных задач. Увы, Роскомнадзор и Государственная Дума не спят и постоянно эти задачи создают.

Но недавно мы продумали одну хорошую идею как дать возможность классификации нашим http / https / dns модулям при использовании многих списков практически без потери производительности!

  1. match-модули будут заниматься только проверкой факта, что пакет можно разобрать и проанализировать, в противном случае пакет отбрасывается.
  2. поиск по базам доменов и URL будет происходить в TARGET модуле (который не будет получать “мусорных” пакетов), оставляющем метку с ID базы, в котором данный домен/URL найден.
  3. Далее в зависимости от этой метки будет срабатывать отдельное правило с TARGET’ом-соответствующим редиректом. Сравнение меток - дело копеечное, так что правил можно будет вешать сколько душе угодно.

Оптимизации в работе модулей фильтрации

TODO

carbonsoft.github.io

Самые важные изменения в Carbon Reductor DPI. Ретроспективный обзор 2017

С начала 2017 года разработчики Carbon Soft провели огромную работу над улучшением качества системы фильтрации, которой пользуется вот уже 1000 операторов связи по всей России. Для того, чтобы у Вас было более полное понимание продукта и его возможностей представляем Вам ретроспективный обзор самых важных изменений за текущий год.

Новое поколение продукта — Carbon Reductor 8

Carbon Reductor выпущен в виде новой серии продукта 8 версии. Теперь он базируется на единой платформе Carbon - надёжная, проверенная временем платформа с онлайн мониторингом и фоновым обновлением. Продукт поделён на отдельные контейнеры: reductor_dpi, blockpage, https_proxy, bgp, rkn. Контейнер представляет из себя изолированное окружение, где есть всё, что необходимо для работы, что значительно повышает надёжность и отказоустойчивость продукта в целом. Также, платформа позволяет оперативно добавлять новые модули при изменении законодательства.

Установка происходит со стандартного дистрибутива CentOS с расширенным установщиком carbon_kickstart. Возможна установка с ISO или UBS-flash образа. Carbon_kickstart автоматически сделает надёжную разбивку дисков, используемую платформой Carbon, соберёт при необходимости софтрейд.

Мониторинг и система критического обновления платформы Carbon сокращают время от выявления проблемы до её полного устранения на всех серверах системы фильтрации с нескольких дней до нескольких часов. Например: система мониторинга обнаружила проблему на одном из серверов пользователей, один из разрабочтиков её устранил, а через полтора часа уже выпустил Hotfix (критическое обновление) для всех наших пользователей, что навсегда исключает возможность возникновения этой проблемы на каком-либо сервере.

Платформа Carbon имеет 3 встроенных watchdog’a, что позволяет срочно перезагрузить сервер в случае аппаратного или софтверного зависания.

Глобальная круглосуточная система мониторинга. Интеграция с личным кабинетом АС «Ревизор»

Пользователям Carbon Reductor 8 больше не нужно постоянно заходить в личный кабинет АС «Ревизор» и проверять работоспособность системы фильтрации, теперь за Вас это сделает Carbon Reductor.

Carbon Reductor скачивает и анализирует отчёты из личного кабинета АС «Ревизор» в автоматическом режиме. Результаты анализа отправляются в систему мониторинга для отслеживания корректности работы Вашего сервера фильтрации. При любых форс-мажорных ситуациях, например, сбой в сети или аппаратной части сервера фильтрации, наша техническая поддержка будет оповещена о неполадках нашей системой мониторинга, сообщит о них администратору Сarbon Reductor на Вашей стороне и решит проблему в самые кратчайшие сроки.

Система мониторинга отслеживает проблемы, которые могут повлиять на работоспособность системы фильтрации начиная от включенных опций для обеспечения высокого качества фильтрации заканчивая свободным местом на диске или сроком действия сертификата для выгрузки реестра. Более того, эта система автоматически устраняет некоторые проблемы без вмешательства инженера. Например, при устаревании списков автоматически включается их срочное обновление, повисшая служба перезапускается и т.д.

Суть мониторинга проста. О любых проблемах мы узнаем быстрее Вас и в большинстве случаев этот вопрос решится без Вашего участия.

Дополнительно добавлена возможность мониторинга со стороны пользователя — поддержка Zabbix-агента, что позволит интегрировать мониторинг в инфраструктуру провайдера.

Корректировка системы фильтрации в соответствии с особенностями АС «Ревизор»

Мы обнаружили особенность работы АС «Ревизор» - он обновляет списки Роскомнадзора через час после того, как они обновятся в источнике. Carbon Reductor обновляет списки в течение нескольких минут после их изменения со стороны Роскомнадзора. Это привело к ситуации, когда АС «Ревизор» зафиксировал фиктивный пропуск по устаревшему списку - сайт, который ранее был заблокирован, разблокировали, но информация о нём в АС «Ревизор» обновилась позже, чем в Carbon Reductor. Теперь используются все списки за последние 24 часа для исключения рассинхронизации с АС «Ревизор».

Улучшение DPI и интеллектуальные алгоритмы обработки списков

Имея большой опыт в разборе ситуаций, когда в списке появляются некорректные URL, мы разработали набор алгоритмов предварительной корректировки списков до загрузки в фильтр.

Кроме этого, мы разработали облачную систему проверки корректности фильтрации, которая отлавливает сложные URL и сайты с нестандартным поведением, которые не фильтруются по URL. Такие сайты автоматически добавляются в Hotfix список IP фильтрации.

Добавлена отправка пакета разрыва соединения не только абоненту, но и веб-серверу, чтобы исключить игнорирование rst пакета на стороне абонента.

Решены проблемы обхода фильтрации с использованием микрофрагментации пакетов со стороны сервера и абонента.

Значительно улучшены алгоритмы по обработке SSL и DNS трафика.

Усовершенствован алгоритм хешированного поиска, исключены почти все блокировки внутри модулей ядра, проведена оптимизация многоядерной обработки, что обеспечивает многолетний запас прочности по размеру списка фильтрации - более 100 млн URL.

Возможность внедрения резервного сервера

Мы решили дополнительно подстраховать пользователей Carbon Reductor от форс‑мажорных ситуаций.

С марта 2017 года предполагается, что система фильтрации у провайдера должна работать идеально 100% времени. Мы прикладываем огромные усилия, чтобы это было действительно так, но причины пропусков в фильтрации часто не связаны с продуктом.

Это могут быть сбои оборудования на сервере с Carbon Reductor: если внезапно выйдет из строя жёсткий диск, сервер продолжит работу и будет продолжать осуществлять фильтрацию трафика, но не сможет выгрузить списки и добавить новые URL. Блоки питания, битые модули оперативной памяти, сетевые кабели - ситуация та же самая.

Для того, чтобы предупредить аппаратные форс-мажоры, от которых никто не застрахован, мы предлагаем нашим пользователям организовать резервный сервер с Carbon Reductor. Лицензия на резервный сервер предоставляется бесплатно.

К тому же, установка резервного сервера это возможность спокойно проводить техническое обслуживание системы фильтрации с рестартом сети или перезагрузками: замена оборудования, обновления ядра Linux, установки параметров драйверам сетевых карт и других экспериментов.

Режим обслуживания

Как Вы наверняка помните, АС «Ревизор» стал производить непрерывную проверку фильтрации - не реже чем 15 запросов в секунду. В связи с этим потребовалось ввести режим обслуживания на случай если новая версия Carbon Reductor содержит изменения модулей фильтрации.

На время сложных обновлений модулей ядра, на 2-3 секунды включается режим обслуживания. Правила файрвола очищаются, вместо этого добавляется REJECT для всех видов трафика. Это сделано с целью исключить пропуски фильтрации в процессе обновления Carbon Reductor. Такие сложные обновления бывают достаточно редко, раз в 3 месяца, и будут не заметны ни для Вас, ни для Ваших абонентов.

Ускорено внедрение за счёт автоматической оценки сервера

Пригодится на случай установки дополнительного или резервного серверов фильтрации.

Автоматизированы и значительно улучшены следующие задачи:

  • Сбор информации о сервере.
  • Оценка этой информации для выявления узких мест, способных приводить к проблемам фильтрации.
  • Автоматическая оптимизация производительности.
  • Принятие более рациональных решений для оптимизации производительности.
  • Созданы утилиты для упрощения отладки и настройки оборудования на сервере.

Больше возможностей при интеграции с маршрутизаторами

Добавлена встроенная возможность использования BGP.

Добавлена интеграция с маршрутизаторами по OSPF для получения кратчайших маршрутов до абонентских машин. Благодаря этому ответный пакет от Carbon Reductor дойдёт в несколько раз быстрее до машины абонента, запрашивающей запрещённый ресурс.

Для снижения нагрузки на маршрутизаторы мы ввели возможность работы с целыми подсетями IP-адресов. Из-за повышения количества заблокированных IP-адресов в реестре запрещённых сайтов у многих маршрутизаторов возникали проблемы с производительностью – теперь проблема решена.

Добавлена система проверки статуса BGP сессии при интеграции с маршрутизаторами сети. Если BGP сессия не активна (например, маршрутизатор не отвечает), Carbon Reductor оповестит администратора о сбое в сети.

Улучшены надёжность, безопасность, отказустойчивость

Нагрузка на систему фильтрации может со временем повышаться, например, при росте абонентской базы. Для того чтобы Вы и техподдержка могли более полноценно контролировать актуальность Вашего сервера, в вывод информации о сервере добавлена оценка аппаратной части по шкале от 1 до 10.

Бывают случаи, когда локальная сеть не очень хорошо защищена, поэтому мы добавили пару вещей, которые дополнительно напомнят о безопасности Вашего сервера фильтрации:

  • Проверка смены пароля пользователя root в диагностике. Теперь отображается ошибка в случае использования стандартного пароля.
  • В мастере настройки предлагается использовать нестандартный порт для SSH. При использовании стандартного, диагностика будет выводить ошибку.

Появилась возможность ограничивать действия в веб-интерфейсе. Настройка, выключение и управление сервером теперь разграничиваются правами доступа. Может быть 2 роли: уровень доступа администратор – редактирование, настройка, перезагрузка и т.д., менеджер – просмотр результатов работы системы фильтрации. Пригодится на тот случай, если у Вас несколько человек, которые контролируют работу системы фильтрации и один ответственный - например, главный инженер, имеющий доступ к настройкам системы.

Система бэкапов Carbon Reductor теперь позволяет скачать бэкап и восстановить работу сервера фильтрации из резервной копии с FTP-сервера с помощью одной команды, что позволит быстро развернуть настроенный Carbon Reductor в случае если выйдет из строя аппаратная часть сервера фильтрации.

В заключение

Помимо вышеописанного внедрено более 250 улучшений продукта, которые в неменьшей степени влияют на качество фильтрации и Ваше спокойствие, но уместить их в эту статью, к сожалению, не удалось =).

Скачать Carbon Reductor DPI можно на сайте в разделе скачать. В том числе и для установки резервного сервера.

Техническая документация.

Подробное видео по установке.

Спасибо, что пользуетесь Carbon Reductor!

www.carbonsoft.ru

Релиз Carbon Reductor 7.0.0 | Carbon Soft

Carbon Soft

Фильтрация HTTPS-ресурсов с активной динамической сменой IP адресов

Мы почти две недели готовили решение проблемы с ресурсами, часто меняющими IP адрес и, наконец, готовы выпустить новую мажорную версию 7.0.0! (На CentOS 7 она работать не будет, если что, а то мало ли, что подумаете).

  • Благодаря этому появляется возможность заредиректить пользователя на заглушку при обращении к HTTPS ресурсу
  • Помимо этого решается проблема с ресурсами, часто меняющими IP адреса
  • Возможно, благодаря этому можно будет отключить резолвер
  • На текущий момент поддерживается только A и AAAA записи для IPv4 запросов по UDP
  • На текущий момент генерируется пакет с TTL = 1 минуте, чтобы абоненты с кэшированием DNS не страдали долго из-за теоретических ошибочных блокировок.
  • Проверено: 100% юнит-тестов проходят, а модуль обкатан на серверах 5 провайдеров размером от 500 до 100000 абонентов.
  • Модуль интеграции с биллингом теперь тоже поддерживает использование нового модуля, что особенно важно для блокировки youtube.com / google.com и других ресурсов, использующих QUIC (HTTPS over UDP).

По умолчанию после обновления модуль отключен, включить можно в настройках алгоритма фильтрации. Проверка утилитой Роскомнадзора прошла успешно, данные о проверке ревизором получим завтра с утра.

Из задумок, что сделать дальше:

  • Поддержка IPv6-запросов
  • Поддержка ответа с несколькими IP адресами
  • «Рандомизация» TTL чтобы не вызывать лишних подозрений
  • Поддержка TCP’шных DNS-запросов

Типовое решение для веб-сервера-заглушки

Поскольку модуль подмены DNS-ответов может редиректить абонентов только на IP, а не на конкретный URL, приходится немного модифицировать веб-сервера с заглушками. Поскольку клиентов много, мы постарались максимально автоматизировать этот процесс, а также учли несколько нюансов и проблем, возникающих при большом количестве обращений к серверу. Подробная инструкция по настройке и установке: https://github.com/carbonsoft/reductor_blockpages

P.S: Мы в скором времени сделаем поддержку такой заглушки прямо на Carbon Reductor, пока релизим так, чтобы те, кто ждал этой возможности не ждали её ещё несколько дней. Праздники же скоро, всё такое. Скорее всего необходимо будет добавить на Carbon Reductor ещё один IP адрес, доступный всем абонентам.

Упрощение файрвола и ненадобность части хуков

Теперь оптимизация подсистемы роутинга отключена по умолчанию, а при включении затрагивает только трафик, который попадает на интерфейсы, находящиеся в бриджах. Иными словами, чтобы разрешить доступ к какому-либо порту редуктора по интерфейсу для менеджмента достаточно просто добавить правило в filter INPUT с помощью хука, а mangle PREROUTING трогать не надо. Отрезание лишнего трафика происходит там же, где и применение правил NOTRACK (если опция включена) — в raw PREROUTING, цепочка — mirror_traffic.

Примечание — работает только с L2-зеркалами. L3 нужно будет настраивать вручную с помощью хуков. (пока что).

Веб-интерфейс

Помимо самого редуктора мы обновили веб-интерфейс до версии 1.1.8. Там много мелких улучшений в удобстве использования.

  • Видно какая вкладка/список сейчас открыты.
  • Вывод информации о сервере более стал унифицированным и читаемым.
  • У части графиков удалена ненужная легенда
  • И вообще местами текст переработан, исправлена куча орфографических ошибок (которых от себя даже не ожидали, очень стыдно), каша из английского и русского текста.

Иными словами смотреть в вебку стало немного приятнее. Обновить её нужно вручную, автоматическое обновление для неё мы пока не прикрутили, но в скором времени запилим и это.

Прочее

  • Для того чтобы диагностика и выгрузки не ругались на отсутствие сертификата теперь достаточно указать, что выгрузка идёт с собственного сервера (не нужно указывать дополнительно опцию skip_sign_request).
  • Диагностика при исправлении проблемы с актуальностью списков запускает выгрузку списков с timeout (≈55 минут) аналогично cron, в результате это защищает от зависания этого процесса.
  • Устранён небольшой Warning по поводу использования устаревшего BaseException в резолвере.
  • Увеличены TTL для записей нерезолвящихся доменов с 1 до 3 часов (для резолвящихся максимальный TTL остаётся 1 час). Ранее из-за большого числа таких доменов резолвер циклился. Впрочем, скоро он скорее всего всё равно станет не нужен.
  • Число тредов резолвера можно задать через QDNS_THREADS=8 ./bin/reload_ip.sh Повышена отказоустойчивость в случае проблем с /var/log/
  • Удалён fallback-режим (-134 строчки кода, ура).
Отдел продаж

Тел: 8 (800) 777-83-70 Skype: call.carbonsoft

www.carbonsoft.ru

Релиз Carbon Reductor 7.1.2 | Carbon Soft

Carbon Soft

Ежемесячное обновление Carbon Reductor уже подоспело. Добавлен новый функционал и исправлены ошибки. Чтобы разобраться в новых фичах, пойдем по порядку.

Новая система обновления

Теперь вопрос «нужно ли обновляться и на какую версию» решается на стороне сервера. Благодаря этому мы лучше контролируем массовые обновления.

Текущая логика работы такова: на свежую версию обновляются 10 случайных (вероятность 30%) серверов в период первой половины рабочего дня отдела технической поддержки с понедельника по четверг. После этого версия «замораживается» на 24 часа в случае минорных изменений и на 120 часов в случае мажорных изменений, а обращающимся за обновлением отдаётся ссылка на последнюю “обкатанную” версию.

Carbon Reductor Satellite 2.0

Реализация «Ревизора», которая отправляет данные о проверках фильтрации только туда, куда Вы попросите, обновилась.

  • Система умеет проверять фильтрацию HTTP, HTTPS и DNS ресурсов;
  • Поддерживает хуки, так что можно отправлять результаты проверки в собственные системы мониторинга. То есть Вы сможете заблаговременно узнать о проблемах на сервере;
  • Время работы полной проверки сокращено с 5-ти до 1-го часа;
  • Теперь для обновления достаточно одной команды.

Доработки DNS-спуфинга

Теперь DNS-спуфинг работает сразу после установки и дополнительно разработана система интеграции с DNS-серверами провайдера. Поддерживаются bind/named и unbound.

Резолвер

Исправления:

  • Благодаря правильному анализу опции «поддержка IPv6» меньше проблем при использовании интеграции с маршрутизатором;
  • Редуктор не блокирует страницу-заглушку при неправильной настройке зеркала.

Файрвол и веб-интерфейс

Новое:

  • Веб-интерфейс недоступен, если не указан IP администратора;
  • Можно указать конкретные IP-адреса и порты на которых будет доступен веб‑интерфейс. По умолчанию он работает на 0.0.0.0:8080.

Исправления:

  • Исправлена проблема проверки доступности при использовании некоторых систем мониторинга. Проверка TTL=1 переехала из «mangle PREROUTING» в «raw PREROUTING» в цепочку «mirror traffic»;
  • Кастомные редиректы HTTP теперь наследуют опции «--log» и «--save-domain».

Прочее

Новое:

  • На случай внезапно возникшей необходимости доработки системы обращений url‑списков внедрена поддержка черных и белых «Хотфикс-списков». Они страхуют Вас на время, пока Вы не обновитесь на версию с доработками. Отключаемая опция;
  • Адрес дефолтной заглушки для демонстрации работы редиректа переехал с deny.carbonsoft.ru на denypage.ru.

Исправления:

  • Упрощена система обработки списков. Кэш сигнатур изменил формат, благодаря этому теперь нет проблем и специальной обработки URL с некоторыми спецсимволами;
  • Система мониторинга путалась при создании тикетов между несколькими Carbon Reductor, зарегистрированными на одну компанию. В результате периодически возникала ситуация, когда по одному серверу создавалась заявка, а потом сразу же закрывалась по данным, поступившим от другого сервера;
  • Просроченная оплата теперь не плодит несколько тикетов в хелпдеске.
Отдел продаж

Тел: 8 (800) 777-83-70 Skype: call.carbonsoft

www.carbonsoft.ru