Beeline moscow gprs firewall что это

Обновлено: 02.07.2024

В одном из предыдущих постов мы рассказывали об отражении DDoS-атак при помощи анализа трафика по протоколу Netflow. Само собой, DDoS — далеко не единственная проблема, с которой может столкнуться ресурс. Воображение злоумышленников весьма и весьма велико, да и технических средств у них хватает. Плюс не стоит забывать о том, что какой-то из ваших ресурсов вполне может работать на ПО с zero-day-уязвимостями.

Вот и получается, что веб-приложение может подвергнуться атаке сразу с нескольких фронтов — тут вам и межсайтовый скриптинг, и SQL-инъекции, и обход авторизации, и удаленное выполнение кода, в общем, вы знаете. В извечной борьбе щита и меча против подобного и был придуман защитный экран для веб-приложений, отлавливающий подобные активности и блокирующий их ещё до выполнения на вашем сайте.

В этом посте мы расскажем, как работает WAF от Билайн Бизнес, какие у него есть преимущества и как его оперативно подключить для своей компании.

Зачем вообще нужен WAF

В прошлом году компания Positive Technologies выпустила своё исследование «Уязвимости веб-приложений 2019», согласно которому доля веб-приложений, содержащих уязвимости высокого уровня риска, составила уже 67%. Самые частые проблемы — недостаточно защищенная зона авторизации, SQL-инъекции и чтение произвольных данных. Плюс растёт процент систем, в которых возможна утечка данных.

О важности защиты веб-приложений говорит и один из отчётов аналитиков Gartner:

Межсетевые экраны уровня приложений (WAF) отличаются от экранов нового поколения (NGFW) и систем предотвращения вторжений (IPS). WAF защищает от атак каждое отдельное приложение.
Даже при использовании NGFW и IPS система защиты WAF чаще всего является единственным решением, которое проверяет и зашифрованный, и незашифрованный входящий веб-трафик.
Важнейшим фактором при выборе WAF является четкое понимание объема работы, которое предстоит выполнять сотрудникам. Особое внимание следует обратить на отсутствие ложных срабатываний.
Как правило, предприятия фокусируются на защите общедоступных пользовательских веб-приложений, забывая при этом о не менее важных внутренних приложениях.

Основные различия WAF, IPS и NGFW (Gartner)

Последствия подобных утечек и взломов довольно очевидны и не очень приятны для компаний (и их клиентов особенно): здесь тебе и личные данные, включая платежную информацию, и коммерческие тайны с конфиденциальными документами, и доступы ко внутренним системам. В общем, джекпот, в случае срыва которого компания страдает и репутационно, и материально. Ожидаемо, сильнее всего от подобного страдают финансовые организации, но не только:

По данным Positive Technologies

Для защиты от подобного в компаниях и существуют специалисты по информационной безопасности, определяющие допустимость использования того или иного софта, а также общие политики безопасности. При этом общие тенденции — рост числа самих приложений, активное использование различных API, работа в условиях смешанной среды (in-house-приложения, частные и облачные) активно намекают, что многие процессы стоит автоматизировать.

Особенно в области информационной безопасности.

Основные проблемы для компаний при попытках развернуть подобные решения самостоятельно заключались в том, что время реакции на активную угрозу было довольно большим, как и стоимость владения самим решением. Хотелось, как обычно — чтобы и побыстрее, и подоступнее. А в идеале ещё и с облачной версией решения, которую можно быстро подключить и комфортно администрировать.

Поэтому мы решили предлагать именно автоматизированные механизмы защиты, блокировки и отражения атак с помощью нашего защитного экрана.

Прежде всего, мы взяли список 10 самых главных угроз для веб-приложений 2020 от OWASP и осуществили защиту от них по обеим моделям (позитивная и негативная).

Injection.
Broken Authentication.
Sensitive Data Exposure.
XML External Entities (XXE).
Broken Access Control.
Security Misconfiguration.
Cross-Site Scripting XSS.
Insecure Deserialization.
Using Components with Known Vulnerabilities.
Insufficient Logging & Monitoring.

Кроме того, наш WAF поддерживает уникальный алгоритм автоматического создания политик на базе машинного обучения, который как нельзя лучше подходит для автоматического создания политик безопасности для веб- приложения.

Настроенный WAF будет хорошо знать структуру именно вашего ресурса, поэтому сможет автоматически блокировать любые нетипичные для его работы действия.

Кстати, есть парочка мифов насчёт избыточности самой сути WAF и его необходимости. Обычно приводят в пример вот что:

Тогда точно защитит сетевой сканер защищенности веб-приложений
Не совсем. Сетевые сканеры безопасности предназначены для выявления небезопасных конфигураций, отсутствия необходимых обновлений и наличия уязвимостей серверов и сетевых устройств, а не уязвимостей веб-приложений. Архитектура решений, огромное количество правил и признаков, подлежащих проверке при сканировании сети, все же иногда позволяют производителям сетевых сканеров предлагать дополнительную функциональность по поиску уязвимостей веб-приложений в рамках отдельной лицензии или даже бесплатно.

Но удобство использования и качество их работы далеки даже от среднего уровня профессиональных сканеров веб-приложений, и доверие к таким продуктам не может быть восстановлено после нахождения критических уязвимостей там, где универсальный сканер отработал на 100%.

Как всё работает

Мы построили решение на оборудовании израильской компании Radware, которая долгое время остается лидером в области услуг информационной безопасности. Один из важных плюсов решения — именно автоматическая работа: анализ угроз и оптимизация стандартизированных правил для веб-приложений осуществляются без участия администратора.

Есть три способа подключения, которые определяются тем, где решено проводить анализ трафика:

На наших виртуальных машинах в нашем датацентре
На нашем оборудовании в помещении клиента
На виртуальной машине клиента.

Кроме трёх вариантов подключения, есть и два варианта развертывания:

Inline (только из облака) – мониторинг либо активная блокировка вредоносных запросов.
Out of pass (локально у заказчика) – поддерживается только мониторинг вредоносных запросов.

Преимущества решения

В рамках нашего защитного экрана для веб-приложений мы предлагаем лучшее в своем роде решение, которое:

обеспечивает полную защиту от 10 самых опасных уязвимостей по версии OWASP;
сертифицировано по версии ICSA Labs;
обладает уникальной функцией по автоматическому созданию политик;
и поддерживает модели отрицательной и положительной безопасности.

Обычно единичной услугой считается подключение WAF на определённый сайт клиента. В нашем случае, если у клиента, допустим, два сайта на одном сервере, которые доступны с двух разных IP, мы всё равно считаем это как одну услугу предоставления WAF, просто суммируя общий трафик клиента.

Mr. Pinky, если вы блокируете по каждому IP, толку не будет, нужно всю подсеть блокировать или редиректить куда-то дальше.

Например, у вас на картинке заходы с IP 176.59.44.22 и 213.87.132.207.

Соответствующие подсети для блокировки:

176.59.32.0/19 (176.59.32.0 - 176.59.63.255) - Russian Federation Москва -Tele2 Russia IP Network (MSK)

Конечно, если у вас магазин на Москву, то блокировать по подсетям — не выход. Но, и блокировать по IP тогда тоже не выход, т.к. накрутчики используют IP, по которым и живые люди ходят в интернет.

Если же вы заблокировали именно по подсетям, а заходы с этих IP всё ещё есть, значит это накрутка по счётчику, без заходов на сайт. Других вариантов не знаю.

foxi:
Mr. Pinky, а как конкуренты нашли ваш новый сайт если он еще не раскручен? foxi:
Можно предпринять более качественную накрутку ))) крутить поведенческие, чтоб ваши хорошие превышали по количеству эту ботву.

Если это не тс сам себя крутит , но при этом может делать аналогичную накрутку (знает каналы), то мой совет был бы таким - пройтись по всем конкурентам из топ10. Жестко конечно. Это при условии, что очень больно от несправедливости.

foxi:
Mr. Pinky, а как конкуренты нашли ваш новый сайт если он еще не раскручен?
Можно предпринять более качественную накрутку ))) крутить поведенческие, чтоб ваши хорошие превышали по количеству эту ботву.

Добрый день, Foxi

Найти новый домен - несложно:

1.Редиректы со старого домена с каждого URL на новые URL домена настроены.

2. Набрать в поиске имя компании- отображается новый домен. Старого уже нигде нет.

3. Вся реклама, лендинги, Я.Карты и мн.др. - все переведено на новый домен.

PROCESSING:
Mr. Pinky, если вы блокируете по каждому IP, толку не будет, нужно всю подсеть блокировать или редиректить куда-то дальше.

Да, понял.. Целые подсети?

Компания много льёт платного трафика - Я.Директ,

поэтому блокировки подсетей, в том числе трафик с метро, нам нельзя.

Только что закончили с разработчиком функционал для перенаправления IP адресов на другой домен, а блокировку убрали.

Таким образом,

если указали IP подсеть, которая затрагивает злой-накрученный трафик и платный одновременно,

перенаправляем такой трафик на лендинг на другом домене. Домен, который не жалко.

Санкции не затронут основной продвигаемый домен
Платный трафик не заблокирован

как вы определяете диапазон подсети?

Например, вот два IP адреса по накрутке:

Могли бы помочь понять, пожалуйста?

Mr. Pinky:
Приветствую, PROCESSING
.. Целые подсети?
Компания много льёт платного трафика - Я.Директ,
поэтому блокировки подсетей, в том числе трафик с метро, нам нельзя.

В таком случае, вам нельзя и поштучно IP блокировать, они же динамически присваиваются абоненту.

Mr. Pinky:

PROCESSING,
как вы определяете диапазон подсети?
Например, вот два IP адреса по накрутке:
- 83.220.238.186
- 213.87.129.83
Могли бы помочь понять, пожалуйста?

Ничего сложного. Есть сервисы, которые показывают, к какой сети относится домен или IP.

Название провайдера: Beeline-Moscow GPRS Firewall

Название провайдера: Mobile subscribers pool - Москва

P.S. Они действительно достали уже - эти "накрутчики"

PROCESSING:

P.S. Они действительно достали уже - эти "накрутчики"

А в том, что винда дырявая, виноваты хакеры. Билли тут не при делах.

Mr. Pinky, вряд ли кто-то вас валит умышленно. Боты гуляют и делают переходы рандомно по сайтам. Многим сайтам сейчас такое достается.

Посмотрите динамику ctr в вебмастере, уверен, что вам просто крохи достаются.

От того, что кого-то накруткой тянут в топ, кто-то потеряет топ, а потом будет падать ниже.

Но вот пессимизацию за накрутку вы как-то странно получили.

Mr. Pinky:
Добрый день, Foxi
Найти новый домен - несложно:
1.Редиректы со старого домена с каждого URL на новые URL домена настроены.

То есть вы склеили забаненный домен и новый? 🤪

Или это для Гугл редиректы?

alaev:
Л-Логика 🤣
Mr. Pinky, вряд ли кто-то вас валит умышленно. Боты гуляют и делают переходы рандомно по сайтам. Многим сайтам сейчас такое достается.
вот пессимизацию за накрутку вы как-то странно получили.

Будет здорово, если докажете вашу теорию Яндексу и вытащите домен из санкций

Готов просить у руководства вознаграждение для вас.

Wadim:
То есть вы склеили забаненный домен и новый? 🤪
Или это для Гугл редиректы?

Здесь, на Серче, читал темы - в одной из них автор делился опытом,

в котором сделал аналогичное по склейке и санкции новому домену не передались,

т.е. санкции по имитации действий пользователей присваиваются тому домену, на который льётся зло-накрученный трафик.

Эксперимент подтверждаю - все именно так.

Новый домен без санкций теперь основной сайт, со сторого сайта все перенесли, настроили редиректы и прочее

Ранжируется хорошо и оперативно

Была похожая тема летом год или 2 назад. Но нам яндекс отвечал что не стоит беспокоиться.

Mr. Pinky:
Что нам делать, чтобы не попасть снова под те же санкции из-за тех же самых запросов? Mr. Pinky:
Яндексу уже написал трижды,

Так а вам что нибудь отвечали, какие меры принять например?

Я же правильно понял, сайт бомбили, попал под санкции, вы переехали, но т.к. у вас стоят редиректы то теперь бомбят его (новый). Частично справится с этими ботами вы смогли. При этом новый у вас

Mr. Pinky:

Ранжируется хорошо и оперативно

postavkin:
Была похожая тема летом год или 2 назад. Но нам яндекс отвечал что не стоит беспокоиться.

Так а вам что нибудь отвечали, какие меры принять например?

Добрый день, Postavkin

1. Да, я лично писал в поддержку Yandex с различных форм обратной связи в течение 2-ух недель ежедневно при первых санкциях

Письмо на официальном бланке с подписью и печатью отправлял с просьбой рассмотреть ситуацию и готовностью предоставить любые данные.

Яндексу - все одно,

- "Главное, чтобы меры не принимались с вашей стороны"
- "Беспокоиться не о чем, если эти действия делали не вы"

Потом, когда дали санкции, написали:

- "Мы проверили, санкции применены корректно"

2. По текущей повторяющейся и абсолютно идентичной ситуации (те же запросы, то же время на сайте и страницы посещения) написал трижды в поддержку

Как вы думаете, что ответили? =)

- "Здравствуйте! Я всё повторно проверил, ограничения применены корректно. Увы, больше мне нечего добавить по вашему вопросу.
- "Если меры применяются не с вашей стороны, вам не о чем беспокоиться."

Ничего не напоминает? =)))

Они никому ничего не передают. Ничего не выясняют.

Вы просто получаете санкции ни за что.

Всё пока что идёт к тем же самым санкциями. И у нас уже будет два наших брендовых домена, которым по 10 лет, под санкциями.

Ощущение, что по этой части поддержки Яндекса относительно поведенческих и имитации с поиска сидит девочка с одной кнопкой "Ответить" и тремя готовыми ответами.

Помощи никакой вы не можете получить. От слова "ж*па".

Алгоритмы обновлены, деньги вложены. Как говорится - лес рубится, щепки летят.

Признаки наплыва ботов

Косвенных признаков ботового DDoS на сайт достаточно много. Если у вас в последние дни вырос трафик в разы, обязательно загляните в метрику, чтобы узнать природу такого резкого всплеска.

ДО БОТОВ:

ПОСЛЕ БОТОВ:

ДО БОТОВ:

ПОСЛЕ БОТОВ:

3. Если боты идут с прямых заходов, то проводят на сайте не менее 15 секунд , чтобы метрика не засчитала отказ. В случае поискового трафика обычно по другому (об этом чуть ниже). Таким образом в метрике у нас появляется огромное количество посетителей с 15-секундной сессией и посещением одной страницы

В самых запущенных случаях может быть так:

4. Имитируют действия человека, если судить по Вебвизору. Боты скроллят страницу, даже останавливаются на каком-то участке текста, но, как отмечают многие веб-мастеры этим только палятся, т.к. на человеческие действия это совсем не похоже:

5. В последнее время боты немного переориентируются и идут через поиск (не прямые заходы) по многим топовым запросам. Как мы уже писали выше, боты атакуют в основном страницы по самым конкурентным запросам , причем многие боты из поиска с высокими отказами идут с тех же самых IP-адресов, с которых идёт атака по прямым заходам

6. К прямым заходам добавляются переходы со странных сайтов, на которых, якобы, стоит бэклинк на ваш ресурс. При переходе на этот сайт ссылки на ваш сайт не обнаруживается

7. В основном боты селятся на сайтах с хорошей посещаемостью (от 500 до 1000 в сутки). Но бывают исключения и долбят ресурсы поменьше.

10. Зачастую вместе с ботами растёт количество внешних ссылок с разных спамных и мутных ресурсов

Как посмотреть данные по прямым заходам?

[adace-ad не может распознать ботов?

Даже если вы поставите в настройках счетчика жесткую фильтрацию роботов (Настройка -> Фильтры), то это ничего не изменит

Последствия атаки

Последствия в любом случае будут негативными, но у некоторых сайтов, столкнувшихся с атакой, они умопомрачительно деструктивные:

Зачем это делается?

Однозначного ответа на вопрос нет. Всего есть две версии, каждая из которых имеет право на жизнь:

Кто этим занимается?

Как защищаться?

[adace-ad Ничего не делать

Многие веб-мастера заранее выбрасывают белый флаг, справедливо считая, что Яндекс должен сам разобраться с проблемой. Правда, последний не спешит это делать. В любом случае вариант забить и продолжать работать над сайтом имеет право на существование . Есть примеры, когда боты (а они есть почти у всех сайтов в рунете) никак не мешают развития сайта, не роняют позиции в выдаче, не уменьшают долю поискового трафика. Доля ботов в 10-20% от всего трафика присутствует у многих, так или иначе. Но этот вариант чреват тем, что в один момент может быть поздно принимать какие-либо меры.

Еще один момент: боты могут действительно уйти на некоторое время или снизить атаку до 1-2% от общего трафика, но практически всегда наплыв с прежней, как минимум, силой возвращается. Так же было и у нас.

1. Удалить метрику на конкретных страницах

2. Показывать метрику только пользователям с поиска

Если вы не продвигаетесь в социальных сетях, а оттуда идёт много ботов, то есть смысл фильтровать такой трафик вообще. Да, есть вероятность, что вы зацепите этим самым действительно настоящих пользователей, которые наткнуться на ссылку в социальных сетях, но если в обычном режиме их было немного, то лучше это дело зафильтровать. Тоже самое касается и прямых заходов.

Единственное, что можно сделать через метрику это сделать так, чтобы боты не учитывались в самой метрике (настроить фильтр по IP), но от самих заходов на сайт это не избавит

НО! Возможно, в этом нет никакого смысла, так как сам Яндекс при этом утверждает, что

3. Бан по IP-адресам / подсетям

Повторяем! Это Опасно!

4. Отключение IPv6

Очень много ботов идёт с IP-адресом протокола IPv6 примерно такого вида 2a09:400:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx. Дело в том, что IPv6-адреса можно купить очень дешево и поэтому ботоводы их скупают более охотно, в то время как люди ими почти не пользуются. Таких ботов можно отсечь либо блокировкой, либо отключением в DNS.

Удаление всех AAAA-записей в NS

В вашем регистраторе домена вы прописываете DNS-сервера, которые используются для вашего сайта.

В настройках удалите все АААА-записи, если они есть . Т.е. выглядеть это должно примерно так:

Запрет на IPv6 через Сloudflare

В настройках сайта на Cloudflare настройка DNS вынесена в быстрые действия в правом верхнем углу

Блокировка через панель управления хостинга

Если ваш хостер предоставляет панель управления сайтом Cpanel, то сделать можно следующим образом: зайдите в раздел «Безопасность» -> Блокировка IP. Добавить подсеть можно так 2a09:0400:0000:0000:0000:0000:0000:0000/32 или 2a09:400::/32.

На данный момент использование IPv6 пока не обязательно. Даже с учетом заканчивающихся свободных айпи-адресов в IPv4, операторы связи не торопятся выдавать адреса с шестого протокола (кстати, используя IPv6, поддержка IPv4 никуда не пропадает). Однако, есть мнение, что делать этого не стоит по двум причинам : это может неадекватно воспринять поисковые алгоритмы Google (каких-то подтверждений этому нет) и часть реальных пользователей вы всё равно отсечете, особенно, если сайт международный (в Европе уже достаточно активно используют). Но вы знаете, кто в России использует IP-протокол шестой версии? Вот и мы не знаем.

5. Блокировка/ фильтр по AS

На форумах проскакивает способ отсечения ботов из социальных сетей блокировкой целых автономных систем (AS) с которых идут мусорные заходы.

Блокировка через .htaccess

Блокировка через htaccess ничем не отличается от блокировки IP. Как узнать какие IP содержат конкретные AS? Для этого есть специальный сервис ASN-blocklist. Введите номер автономной системы и сервис выдает вам пул адресов, которые закреплены за ней. Точнее, он сразу выдает вам код, который нужно прописать в .htaccess

Метод крайне обременительный по времени, если у вас есть Cloudflare, то лучше делать через него

Фильтр через Cloudflare

В бесплатной версии можно настраивать всего 5 правил, но нам нужно добавить только одно:

Таким правилом мы не отсекаем этот трафик, а будем показывать ему капчу (JS Challenge). Полный список ASN под спойлером

я уже лет 5 сижу за натом (ростелеком)
и большинство других юзеров тоже
чтобы получить белый ип, нужно:
либо оплатить услугу "постоянный ип" 180 руб/мес,
либо подключиться на любой дорогой тариф (там ип будет динамический, но белый).

я когда-то был в корбине, и сразу убежал оттуда как только билайн поглотил корбину
но я до сих пор помню тот корбиновско-билайновский ужас: чтобы выйти в интернет, нужно в каком-то окошке набирать логин и пароль))))
то есть, вариант минимальной автоматизации вообще исключён, напр: "при включении компа без участии человека автоматически запустить скрипт, который запускает wget и куда-то лезет"

какой же это комфорт - не нужно думать про логины, пароли и вообще про процедуру подключения к инету, интернет просто всегда есть!
рекомендую попробовать такой комфорт

20.02.2021 в 02:57

CD_Eater,
>>чтобы выйти в интернет, нужно в каком-то окошке набирать логин и пароль

В своё время я помучился, чтобы эта штука запускалась на роутере автоматически. И сейчас к ней вернулся, по крайней мере временно.

>>либо подключиться на любой дорогой тариф (там ип будет динамический, но белый).

Там это в условиях договора прописано?

>>рекомендую попробовать такой комфорт

Ты что, забыл, что я люблю страдать?

20.02.2021 в 03:00

Я сделал вывод, что у IPv6 все адреса белые. Но препод не смог мне ответить на вопрос, как в таком случае спрятать мои устройства от внешнего мира. А я бы хотел, чтобы были видны только определённые порты определённых устройств.

адреса и порты - это вещи независимые
нат - это внешний сервер, который закрывает твои порты от интернета
ты хочешь, чтобы адреса ип6 магическим образом избавили тебя от необходимости устанавливать этот сервер? )))

20.02.2021 в 03:10

CD_Eater, а, походу для внутренней адресации ipv6 можно использовать link-local адреса.

20.02.2021 в 14:56

Аргх! Т.е. у них уже столько клиентов, что не хватает места в купленных блоках IPv4, но вместо того, чтобы предложить dual-stack и плавненько перевести народ на IPv6, они костыляют новый layer of indirection. Это должно быть оскорбительным для любого человека, способного отличить IP-адрес от телефонного номера.

(Дальше — аналитика от диванного сетевого инженера, не посещавшего никакие курсы. Можно не читать.)

Белый адрес нужен рядовому пользователю для того, чтобы не глючило, не тормозило и не задалбывало капчами.

Чем больше NAT-ов между тобой и другим концом соединения, тем меньше шансов на успешный NAT traversal и быстрое, устойчивое соединение. Эти техники неплохо вылизаны, так что шансы меняются не драматично, просто иногда что-нибудь будет временно ломаться.

Касательно CAPTCHA: ты когда-нибудь ходил в Интернет через Tor? Бывал на сайтах, защищённых Cloudflare DDoS protection? Тогда ты знаешь, насколько хреново всё работает, когда за одним и тем же IP оказываются десятки, сотни пользователей. А ведь CGN именно к этому и приведёт: если это превентивная мера, то сегодня у каждого абонента всё ещё будет личный белый IP-адрес, пусть и за двумя натами; завтра, по мере переезда клиентов за CGN, ты начнёшь делить адрес с десятком соседей; а после того, как вся абонентская база окажется на CGN, Билайн сообразит, что, во-первых, им уже не нужно так много блоков IPv4, а во-вторых, эти блоки дорожают с каждым днём и их можно выгодно продать.

Сколько у тебя в среднем открыто соединений? 10? 100? 500? NAT позволяет повесить на один адрес как минимум 2^16, по одному на порт (а если они на разные адреса — то даже больше, теоретически до 2^32 * 2^16). floor(2^16 / 500) = 131 клиент может быть спрятан за одним IPv4-адресом. И все они будут непрестанно гуглить, и рано или поздно Гугл начнёт у каждого требовать отметить три светофора и пять велосипедов. А включивший торренты сосед запросто сделает невозможным веб-сёрфинг для пары других пользователей — для них попросту не останется портов.

IPv6, скорее всего, поможет. При желании ты можешь настроить точно такой же NAT с пробросом портов — это будет работать, хоть и идёт вразрез с идеологией IPv6, пытающейся вернуть Интернет обратно во времена до появления NAT, когда все узлы связывались напрямую безо всякой трансляции адресов.

Если же ты хочешь полностью окунуться в прекрасный мир IPv6, ты должен понять, что IPv4 NAT выполнял для тебя полторы функции: 1) он прятал все твои машины за один IPv4-адрес; 2) он не позволял подключаться снаружи на порты, которые не были проброшены. Я говорю «полторы», потому что вторую функцию NAT выполняет плохо, и её лучше переложить на фаерволлы (и на роутере, и на оконечных хостах).

Что касается первой функции, очевидно, что она противоречит идее end-to-end addressability, заложенной в IPv6. Но если задуматься, «все устройства на одном IP-адресе» — это скорее средство, чем цель. Что именно ты хочешь спрятать? Ты хочешь скрыть, сколько у тебя устройств? Ты хочешь скрыть, какое из соединений какому устройству принадлежит? IPv6 предлагает другой способ достижения той же цели: пусть твой компьютер каждые X секунд получает новый IPv6-адрес. Провайдер выдаст тебе /64, /56 или даже /48 — даже в худшем случае (/64) это в 2^32 раз больше адресов, чем весь IPv4-Интернет. «Размазав» свои соединения по этому огромному пространству, ты весьма эффективно скроешь, сколько у тебя устройств и кто чем занимается. (Хотя по мета-информации все равно можно что-то восстановить. Например, DNS-запросы не шифруются, и если запрос послан с одного адреса, а после этого на адреса из ответа были открыты соединения с другого адреса — становится понятно, что первый и второй адреса принадлежат одной машине. Решается с помощью DoH, DoT и рекурсивных резолверов на роутере. Но это уже другой разговор.)

Территория действия VoLTE и Wi-Fi Calling в сети МТС

Услуга "Интернет звонки" в части VoLTE и WiFi-Calling доступен и для абонентов МГТС

г. Москва и Московская область (в том числе и для абонентов МГТС)
г. Абакан и республика Хакасия
г. Архангельск и Архангельская область
г. Барнаул и Алтайский край
г. Белгород и Белгородская область
г. Благовещенск и Амурская область
г. Брянск и Брянская область
г. Владикавказ и Республика Северная Осетия - Алания
г. Владивосток и Приморский край
г. Вологда и Вологодская область
г. Воронеж и Воронежская область
г. Чита и Забайкальский край
г. Иваново и Ивановская область
г. Кострома и Костромская область
г. Калуга и Калужская область
г. Красноярск и Красноярский край
г. Кызыл и республика Тыва
г. Нарьян-Мар и Ненецкий АО
г. Новосибирск и Новосибирская область
г. Омск и Омская область
г. Орел и Орловская область
г. Тверь и Тверская область
г. Майкоп и республика Адыгея
г. Магадан и Магаданская область
г. Махачкала и республика Дагестан
г. Мурманск и Мурманская область
г. Петрозаводск и Республика Коми
г. Сыктывкар, г. Ухта, Печора, г. Воркута и Республика Коми
г. Ставрополь и Ставропольский край
г. Томск и Томская область
г. Тула и Тульская область
г. Уфа и республика Башкортостан
г. Хабаровск и Хабаровский край
г. Челябинск и Челябинская область
г. Якутск и Республика Саха
г. Ярославль и Ярославская область

МГТС
Оператор работает на базе МТС. Поддерживаются технологии VoLTE/VoWiFi

Сотовые сети, поколения сетей, частоты и диапазоны, а также другие технологии, используемые нашими операторами, обсуждаем в теме:
Мониторинг сетей сотовой связи в России

Предлагаю начать обсуждение данной технологии в связи с возможно скорым внедрением VoLTE в России. По слухам, надзорные органы должны будут разрешить использовать данную технологию до конца 2015 года.
Прежде всего, хотелось бы собрать список телефонов, которые гарантированно поддерживают данную технологию. Хотя гарантировать ничего нельзя - тут многое зависит от прошивки телефона. Поэтому прошу называть телефоны, в которых в меню вы видите какие-либо упоминания технологии (например, включатель VoLTE, IMS и т.д.).

Добавлено 07.08.2015, 22:33:

Статус VoLTE в РФ: запрещен для коммерческой эксплуатации из-за требований спецслужб.

yanixxx,
Nexus 5 есть отключатель.

Lumia 830 точно (майки показывали на нем технологию). По данным из вики - все WP аппараты с LTE и WP8.1U1

Добавлено 07.08.2015, 22:34:

yanixxx,
а то, что смысл обсуждать работу технологии в РФ, если она еще не работает?

Читайте также: