Подключение и настройка ТВ приставки Ростелеком — пошаговая инструкция

Много споров ведется относительно того, сможет ли Интернет превзойти по популярности телевидение, как это случилось с печатными средствами массовой информации. Благодаря современным IT-технологиям эта тема стала неуместной, особенно после того, как пользователям был предложен новый продукт – интерактивное телевидение. Объединив Интернет и ТВ, поставщики услуги предлагают телевидение иного типа – качественное и надежное. К тому же подключить его просто, а понадобится для этого только ТВ приставка Ростелеком и необходимые комплектующие к ней. Выполнив правильные настройки приставки от Ростелеком, а сделать это может любой, вы получаете массу преимуществ.

Содержание

• 1 Комплектующие для цифрового ТВ
• 2 Как подключить приставку
• 3 Как настроить приставку Ростелеком
• 4 Синхронизация пульта с приставкой
• 5 Частые проблемы с настройкой и работой IPTV
• 6 Заключение

Комплектующие для цифрового ТВ

Ростелеком – крупнейших поставщик телекоммуникационных услуг на рынке РФ, одним из первых предложил услугу цифрового телевидения, которым сегодня ТВ приставки Ростелеком стоят у миллионов россиян. Это означает, что они получили возможность просматривать любимые передачи в формате HD и 3D, самостоятельно использовать ресурсы РТК – могут включить запись или поставить паузу, перемотать трансляцию или достать файл из архива провайдера.

Все это возможно благодаря IP-приставке, а производители сегодня предлагают не менее десятка устройств, включая изделия украинского производства от компании «Инфомир», но самой «продвинутой» считается ТВ-Приставка SML-482 HD от компании Smartlabs. Несмотря на то, что особых проблем с устройством не выявлено, а процент возврата ничтожно мал, при покупке стоит смотреть на наличие комплектующих, без которых даже подключить приставку будет проблематично. Стандартная комплектация выглядит следующим образом:

• Непосредственно STB-приставка.


• Блок питания от Ростелеком, или адаптер на 12В и 1,2А.


• Элемент питания – батарейка ААА.


• Универсальный пульт дистанционного управления.


• Набор кабелей, включая полутораметровый AV-кабель, известный как «тюльпан», 3-метровый Ethernet-кабель для подсоединения к роутеру, HDMI-кабель, без которого проблемно подключить устройство к современным LED и ЖК телевизорам.

Важно! Именно кабель HDMI довольно часто не идет в комплекте с приставкой, поэтому вам придется дополнительно потратиться на его покупку, иначе говорить о четком изображении не приходится.

• Переходник 3xRCA – SCART.


• Руководство к Ростелеком по эксплуатации с понятной инструкцией, как подключить приставку к телевизору и маршрутизатору.


• Пакет необходимых документов, включая гарантийный талон, руководство по настройке ПДУ и справочник кодов пульта.

Понадобится, естественно, телеприемник, а также роутер, оборудованный LAN-портами для подключения ресивера к Интернету. Если расстояние от ТВ-приставки до маршрутизатора превышает 3 метра, придется докупить патч-корд, или удлинитель. Особых проблем возникнуть не должно, так как его вам продадут уже обжатым в любом магазине компьютерной техники и даже на рынке. Убедившись в наличии всех перечисленных элементов, разобравшись с комплектацией ресивера и ТВ приставки, можно приступать к подключению ресивера.

Как подключить приставку

Покупая новое устройство, мы открываем руководство по эксплуатации, где прописан порядок действий по подключению и настройке. В случае с STB-приставкой существует несколько возможных вариантов подключения, и, несмотря на то, что пользуется подавляющее большинство одним способом, стоит рассмотреть и другие возможности. Согласно инструкции, подключить ресивер можно:

• Используя Wi-Fi подключение – способ не самый популярный, но заслуживает внимания. IPTV приставку от Ростелеком в одном из вариантов можно подключить, используя беспроводной медиа-мост Моторола. Среди преимуществ этого способа можно выделить использование редкого диапазона 5 ГГц и большую дальность действия Wi-Fi, а что касается недостатков, то купить медиа-мост может позволить себе далеко не каждый. Есть более доступный вариант – с использованием дополнительного Wi-Fi адаптера, но они подходят не ко всем приставкам, к тому же роутер должен «научиться» отделять адаптер от LAN портов.


• Также для интерактивного телевидения от Ростелеком используется подключение по электросети, с использованием PLC адаптеров. Такое подключение требует наличия дополнительных устройств, которые затем надо настроить для совместной работы. Преимуществом такого способа является надежность передачи данных, а среди минусов стоит выделить риск потери оборудования из-за значительных перепадов напряжения.


• Самым распространенным вариантом, как подключить телевизор к роутеру Ростелеком, является стандартное подключение при помощи Ethernet-кабеля. Для этого достаточно провести кабель от маршрутизатора к телеприставке и выполнить несложные настройки. Единственным недостатком способа можно назвать необходимость прятать провода, но это решается просто.

Помните! Если вы хотите получить самое надежное подключение приставки Ростелеком через роутер к ТВ — вариант подключения через Ethernet-кабель – лучшее решение. К тому же, оно имеет высокую чувствительность к электромагнитным помехам.

Как настроить приставку Ростелеком

После того, как связь с Интернет налажена, остается подключить STB-приставку к телевизору и выполнить необходимые настройки. Для этого, как уже было сказано, в комплекте с устройством идут необходимые кабели. Подключение лучше производить на выключенных приборах, так как из-за возможной разницы потенциалов одно из устройств может выйти из строя. Настройка телевидения Ростелеком не требует больших навыков и специальных знаний, для этого лишь потребуется:

• Настройка Ростелеком на телевизоре начинается с перевода телеприемника при помощи пульта дистанционного устройства телевизора в режим AV. В случае использования HDMI-кабеля на экране надо выбрать соответствующий пульт.


• Если все сделано правильно, на экране появится заставка, означающая, что загрузка цифрового телевидения началась, а длится процесс, как правило, не более минуты.


• После окончания загрузки вам придется ввести логин и пароль, а найти их можно в договоре. Учитывая, что вводятся эти данные не с компьютера, а с пульта, они имеют исключительно цифровые значения.

После того, как идентификация успешно пройдена, на экране появится целый набор настроек телевидения от Ростелеком. Это означает, что подключение прошло успешно и осталось только настроить каналы, провести дополнительные настройки (по вашему желанию), включая обязательную настройку пульта и его синхронизацию с STB-приставкой.

Синхронизация пульта с приставкой

После того, как подключение приставки к роутеру и ТВ-приемнику успешно выполнено, надо проверить синхронизацию пульта с телевизором, ведь без этого вы не сможете выполнить элементарные действия – настроить звук и переключить каналы. Для настройки ТВ приставки Ростелеком придется использовать ПДУ телеприемника, а это, как считают многие пользователи, не очень удобно. Настройка синхронизации пульта приставки с телевизором может производиться, как в ручном, так и в автоматическом режиме. В первом случае коды синхронизации придется вводить вручную, а во втором за вас это сделает ресивер. Для этого надо на пульте IPTV-приставки нажать последовательно кнопки TV и OK, а свидетельством того, что код подобран, будет выключение телевизора. Вам останется лишь сохранить параметры, нажав клавишу OK еще раз. Что касается ручного ввода кода (это придется делать на устаревших моделях телевизоров), то его должны предоставить в Ростелекоме, есть он и на официальном сайте компании.

Частые проблемы с настройкой и работой IPTV

Даже если все настройки вами были выполнены правильно, оборудование может давать сбои, а это проблема любых устройств, к сожалению. Также может возникнуть конфликт приставки и телеприемника, а это может произойти в случае совпадения кодов телевизора и ресивера. В этом случае появляются не каналы, доступные к просмотру с приставкой Ростелеком, а обычное телевидение. Выход из ситуации простой – надо изменить код приставки, для чего придется перевести оборудование в программный режим, удерживая несколько секунд кнопку OK. Далее надо подобрать код в диапазоне 3020-3024. Среди возможных неприятностей также могут быть устаревшая прошивка, о чем свидетельствует заставка с кроликом, а также неправильно выбранный видеовход, о чем скажет синий экран. Не забывайте также своевременно вносить абонентскую плату, а понять, что вы просрочили очередной платеж не сложно – вместо сотни каналов, доступными будут не больше десяти, к примеру.

Заключение

В заключении хотелось бы сказать, что подключение приставки провайдера Ростелеком – задача простая, и справиться с ней могут даже дети. Сложности возникнут, если производитель нарушил комплектацию, поэтому при покупке оборудования надо, в первую очередь, проверить наличие всех кабелей, батареи, блока питания и необходимой документации. Настроить телевидение Ростелеком поможет руководство по эксплуатации, а в случае возникновения проблем, смело обращайтесь в службу техподдержки провайдера, где вам в обязательном порядке дадут профессиональную консультацию, помогут с подключением и настройкой. В случае крайней необходимости можете заказать специалиста на дом или в офис.

Понравилась статья? Поделиться с друзьями:

Телевизионная приставка Wink от Ростелеком

Ростелеком начал продажу премиальных Wi-Fi приставок Wink для интерактивного телевидения. Это устройство работает по технологии OTT, а значит, пользоваться им могут не только абоненты РТК, но и любых других операторов связи. В чем другие преимущества новинки?

«Wink является логическим продолжением предыдущего продукта Ростелекома — «Интерактивное ТВ 2.0»», — говорится в презентации приставки. Но направлен он не только на абонентов компании. Технология OTT позволит пользоваться сервисом клиентам любых других провайдеров.

Новая приставка — универсальна: ей можно воспользоваться везде, где есть интернет. При подключении через другого оператора связи устройство продолжит работать «как дома» и абоненту будет доступен весь контент. Для видеоконтента с высоким разрешением достаточно скорости от 25 мегабит в секунду.

Сервис Wink от Ростелекома объединяет телевидение и онлайн-кинотеатр. Его подписчикам доступны сотни телеканалов, в том числе бесплатный пакет из 20 каналов цифрового ТВ, а также тысячи фильмом и сериалов. Сервис удобен интеллектуальной системой рекомендаций, учитывающей предпочтения пользователя, и опцией «управление просмотром» (пауза, перемотка и запись телепрограмм).

Приставка имеет Wi-Fi и поэтому может работать без лишних проводов. Встроенный двух-диапазонный модуль позволяет использовать ее с роутерами работающими в диапазонах как 2.4 так 5 гигагерц. Частота 5 гигагерц — менее «зашумлена» и поэтому дает гораздо более устойчивый сигнал.

Приставка дает доступ через сервис Wink к более 200 каналам, тысячи фильмам и сериалам в Ultra HD и 4K качестве. Оба термина обозначают поддержку разрешения изображения близкого к 4 тысяч пикселей по вертикали. Разрешение Ultra HD выше HD в четыре раза, и выше SD в 20 раз. Правда, чтобы насладиться таким качеством нужен соответствующий телевизор.

Отличается новое устройство и программной начинкой. Большинство приставок и SmartTV, представленных на рынке, используют стандартный Android TV, оставляющий мало простора для кастомизации.

«Наша приставка получила версию ОС свободную от этих ограничений, так называемый AOSP (Android Open Source Project). Благодаря чему мы можем настраивать внешний вид интерфейса по нашему усмотрению и полностью контролировать наполнение продукта, по сути, создав свой собственный магазин приложений», — отметили в компании.

Источник: www.info.sibnet.ru

Похожие записи:

HD-mediaplayers.ru рекомендует:

Беспроводное телевидение: рабочие лайфхаки для дома

Приветствую, уважаемые читатели! Сегодня я хотел бы поделиться с вами своими мыслями про беспроводное телевидение в России. Именно полностью беспроводное – без антенны, кабеля или приставки. Или приставку все-таки можно? Вот обо всем ниже с конкретными решениями я и расскажу ниже.

Нашли новое интересное решение? Напишите об этом в комментариях к статье – так вы поможете другим ищущим полезную информацию на нашем сайте!

Беспроводное – мои мысли

Сначала давайте обрубим все хвосты и определим, что можно считать беспроводным, а что нельзя:

• Эфирное ТВ – с одной стороны оно само по себе беспроводное на улице, но дома требует прокладки антенны, что не всегда удобно и возможно. Можно, конечно, разместить портативную домашнюю антенну возле телевизора – тогда это будет уже удобнее. Или можно подумать о трансмиттере для внешней антенны. Но обычно, люди ищут все-таки беспроводное решение не для этого типа ТВ.
• Кабельное ТВ – речь идет в чистом виде про кабельное ТВ, которое втыкается именно в антенный разъем, а не в HDMI или тюльпаны. Такое реализовать тоже не просто, если только ресивер провайдера не сделать беспроводным. Но такое чего-то не особо развивается.
• Спутниковое ТВ – и снова нужен будет вход в антенну, а значит без провода не обойтись. Но некоторые ресиверы спутникового ТВ поддерживают Wi-Fi подключение, а значит можно обойтись без проводов. Вот этот тип уже встречается часто, можно решить. Пример – приставки Триколора.
• Интерактивное ТВ и приставки – в чистом виде кабель все равно придется завести в квартиру, но многих беспокоит проведение кабеля во все комнаты. И здесь уже есть классные решения, ведь этот тип ТВ один из самых развивающихся в квартирах обычных людей. Есть и медиацентры, и Wi-Fi приставки, и приложения (но о приложениях отдельно).
• Приложения Smart TV – современный телевизор поддерживает Wi-Fi и установку разных приложения. Некоторые приложения вроде IPTV от Ростелекома уже поставляются в комплекте без лишних морок. Т.е. если у вас оплачен тариф, можно просто запустить это приложение, ввести данные своей учетной записи и спокойно смотреть ТВ без проводов. Способ вообще без проводов, сам пользовался таким.

А теперь чуть более расширенной информации по готовым решениям. Если у вас есть дополнения – пишите их в комментарии, обязательно расширю эти разделы. За всем не уследишь, идеальную статью на все времена не напишешь. Прогресс неизбежен.

Приставка через Wi-Fi мост

Согласитесь, если завести роутер домой придется, то вот к приставке можно и не проводить провод. Если только приставку можно было бы подключить по Wi-Fi к роутеру. Беда в том, что обычно как раз в приставках интерактивного ТВ нет Wi-Fi. Но есть общее проверенное решение (тестировали на Ростелекоме и Билайне) – построить Wi-Fi мост.

Wi-Fi мост – это два отдельных устройство. Одно из них подключается к роутеру, а другое к самой ТВ приставке. Между собой они соединяются по Wi-Fi. Универсальный способ для любых технологий.

Самое доступное и чуть ли не официальное решение – комплект Motorola VAP2400.

Скорее всего сейчас есть и другие решения, моей задачей было больше показать саму доступность идеи организации дома такого моста – ведь можно поставить один передатчик и несколько приемников.

Как вариант, видел решения по организации PLC мостов через электросеть. Но тут уже на свой страх и риск, небольшой опыт пригодится.

Wi-Fi приставка

Еще одно очевидное решение – взять приставку сразу с Wi-Fi. Тогда изначально не нужно заморачиваться с лишними устройствами, а приставка сразу же будет подключаться напрямую к роутеру. Какие тут есть варианты?

• Ростелеком – есть у них новая приставка, которая умеет подключаться по воздуху. Просто спрашивайте при подключении. При этом сама приставка отлично работает не только через интернет Ростелекома, но и через любого другого провайдера.

• Wifire – еще один провайдер ТВ со своей приставкой. Из названия сразу же понятно – кабель не нужен, достаточно завести любой интернет. При желании можно же придумать схемы и вообще с мобильными сетями.

Как подключить эти приставки и быстро настроить показано в видео выше. Как по мне, отдельные инструкции здесь будут лишними.

Приложения

Все современные Smart TV (LG, Samsung, SONY, Philips) могут устанавливать приложения, среди которых есть и сервисы просмотра ТВ. Везде будут небольшие отличия, но если же в магазине приложений набрать слово «ТВ», то можно получить большой список:

Лично мне нравилось пользоваться SPB TV, но у вас наверняка будут свои предпочтения. Так многие даже не догадываются, что если у них подключен пакет ТВ от Ростелекома, то на своем телевизоре у них обычно установлена их официальное приложение, которое позволяет смотреть те же каналы в рамках пакета без приставки.

Спутниковые ресиверы

У нас почему-то очень часто спрашивают про наличие Wi-Fi модулей на ресиверах Триколора. Это тоже интересный вариант для обладателей спутникового ТВ. Основной представитель у них – GS. Компания предлагает как сервер, который делает передачу ТВ сигнала, так и клиента для приема с Wi-Fi:

Итоговые мысли

Даже если вы совсем не можете сверлить стены – выход есть. Все основные методики сводятся к тому, что в квартире нужно просто получить Wi-Fi с интернетом – будь то роутер или 4G модем. А далее уже можно искать варианты. Так что пробуем, ищем конкретно под свою ситуацию, делимся мнениями.

С чего начинается разумность?

«Ра» – это планетарное понятие света, у некоторых народов слово «ра» означает солнце. Разум в первую очередь раскрывает в человеке присутствие двух самостоятельных структур с абсолютно разными целевыми установками – телесная и духовная сущность. И пока люди, а таких множество, не откроют в себе, то есть в своем теле, наличие чего-то непонятного, что, оказывается, способно любить, плакать, радоваться и страдать, то эти люди, по существу, обитают по образу братьев наших меньших (то есть животных).

«Я состою из духа и тела, – писал Марк Аврелий, император Древнего Рима. – Для тела все безразлично, ибо вещество лишено способности различать что бы то ни было. Для духа же все то, что не исходит от духа, тоже безразлично, ибо жизнь духа самостоятельна. Но жизнь духа не имеет ни малейшего значения ни в прошедшем, ни в будущем. Вся ее важность сосредоточена в настоящем времени».

«Ищущий – тот, кто находится в поиске себя. Вскоре он обнаруживает, что не может быть своим собственным телом. Как только убеждённость «я не тело» укореняется так хорошо, что он больше не может чувствовать, думать и действовать от лица тела, он с лёгкостью обнаруживает, что он есть универсальное бытие, познавшее, что в нём сосредоточена реальность всей Вселенной и что она сознательна и активна. Это сердце проблемы самооткрытия. Вы или телесно сознательны и являетесь рабом обстоятельств, или вы есть само мировое сознание и полностью контролируете каждое событие»

(Нисаргадатта Махарадж).

И потому, как утверждает Цезарь Теруэль: «Мирской человек бежит за миром, духовный человек бежит от мира, пробужденный – наслаждается миром».

Обыватели придумали себе некий священный, с их точки зрения, ритуал жизни: построить дом, дать жизнь потомству и посадить дерево. Но если мы присмотримся к жизни существующего животного мира, то абсолютное большинство из них обитают, реализуя этот же принцип – детеныши и жилище (пока гнездо, берлога), ну вот до деревьев пока руки у них не доходят.

И казалось бы, ну и что здесь плохого – в подобном житейском подходе абсолютного большинства народа? И если люди честно трудятся, то, как правило, они и проживают вполне достойную жизнь, говоря при этом: «А что еще нужно?».

Но в таком случае люди не разгадают главную загадку жизни – зачем она дана? Шри Ауробиндо говорил: «Человек получает тело для того, чтобы найти в себе Всевышнее существо. В человеческом существе есть Всевышнее присутствие и душевное существо – вначале загадочное, но в конце развития – полностью сформированное, сознающее, самостоятельное индивидуализированное. В человеке есть Дух (сознание, превосходящее разум) или Высшее «Я». Оно есть вечное истинное существо каждого человека, постоянно пребывающее в единстве с Божественным».

Но все дело в том, что духовная сущность человека не может открываться ни с течением времени, ни с достижением определенного возраста, а также занимаемого положения и прочих внешних обстоятельств. Для этого необходимо очищать свой небожественный ум от его невежественных предложений и открыть духовное сердце сострадательной жизнью.Абсолютное большинство так и проживают свой век, не обнаружив в себе свое большое «Я». Мы ведь даже не подозреваем, что именно ради такого открытия нам и предоставляется жизнь. Кстати, нет никакой гарантии, что регулярное посещение храма и соблюдение религиозных традиций в обязательном порядке откроют внутренний храм своей души. Люди могут стать фанатами веры со спящими душами. Если вы умрёте, так и не осознав Бога, это значит, что ваша жизнь прошла впустую и вы неправильно распорядились полученным от Бога бесценным даром человеческой жизни.

«Не замечать свою душу, значит не замечать свою Божественную природу. Как у розы есть аромат, так и у вас есть душа; как в зеркале есть отражение, так и у вас есть душа.

Не замечать свою душу, значит не замечать полноту своих возможностей» (Бхатжан, американский йог).

Василий Скакун, грани бытия

Как включить ик порт на Xiaomi

В моделях смартфонов китайского производителя Xiaomi, выпущенных за последние 2-3 года, имеется встроенный IrDA (инфракрасный порт), который выполняет отчасти очень даже важную функцию. Если еще 15 лет назад это устройство использовалось для передачи данных, то современные технологии используют инфракрасное излучение для управления посредством смартфона другой техникой. Статья описывает процедуру того, как включить ИК порт на Xiaomi и затем использовать его для управления различной техникой.

Модели Xiaomi с инфракрасным портом

Еще раз стоит сказать, что IrDA на телефонах китайского производителя выполняет единственную функцию по управлению прочей техникой, заменяя, по сути, дистанционный пульт. Передавать данные, как это было раньше, через IrDA нельзя.

На сегодняшний день установлен ИК порт на следующие модели от Xiaomi: Mi4, Mi4C, Mi5, Redmi Note 2, Redmi Note 3 (Pro), Redmi 3 (S). Иные смартфоны от китайского производителя могут также выполнять функции дистанционного пульта через wi-fi соединение, но управлять можно лишь телевизорами на платформе MiTV и приставками MiBox от Xiaomi. Однако перейдем к основному пункту, где опишем особенности работы с ИК портом в смартфонах Xiaomi.

Mi Remote и дистанционное управление

Чтобы задействовать, к примеру, на Xiaomi Mi4 инфракрасный порт, понадобится программа Mi Remote. С ее помощью можно осуществлять управление: телевизорами, кондиционерами, медиаплеерами, а также вышеперечисленными девайсами от Xiaomi. Теперь рассмотрим, как включить, а затем грамотно настроить нужное нам программное обеспечение.

Mi Remote – это совершенно бесплатный софт, который чаще всего предварительно устанавливается производителем еще на этапе прошивки. Если же по какой-то причине данная программа отсутствует, то ее можно скачать на Google Play. Стоит сразу сказать, что, вводя в поиске Mi Remote, пользователь не увидит непосредственно данное название, но озаглавливать список будет программа с названием из китайских иероглифов, под которой будет виднеться наименование разработчика «Xiaomi.Inc».

Скачивать нужно именно описанное приложение и не боятся китайского языка, поскольку после установки и открытия пользователь увидит русскоязычный интерфейс. Если же программа открылась на другом языке, вы всегда сможете найти ее в интернете на русском.

Алгоритм работы с Mi Remote

Теперь рассмотрим, как пользоваться скачанным приложением:

1. Изначально владельцу смартфона предлагается «Добавить пульт», что означает – выбрать устройство, которым будут управлять дистанционно.
2. Из предложенного списка нужно подобрать тип техники.
3. Если, к примеру, управлять нужно мультимедийным проектором, то выбрав соответствующий пункт, следует определить производителя.
4. Затем действия достаточно просты: нужно направить инфракрасный порт на проектор и удерживать красную кнопку на дисплее смартфона, чтобы было произведено считывание информации о кнопках проектора.

Если все сделано правильно, то результатом станет выведенный на экран пульт управления с основными функциональными кнопками. Если этого не произошло, необходимо проверить правильность выбора модели устройства, для чего можно ввести в специальном окне данные о своей технике. Вполне возможно, что выбранный проектор/телевизор/плеер попросту не поддерживается данным софтом.

Итог

Заменить обычный пульт дистанционного управления достаточно просто, если в вашем распоряжении имеется «умнейший» смартфон от Xiaomi. Кто бы мог подумать, что инфракрасный порт обретет вторую жизнь и будет использоваться для организации дистанционного управления самыми разными видами техники. Теперь большую часть медиа- и бытовой техники можно связать при помощи одного смартфона со встроенным IrDA.

Предлагаем вам ознакомиться с видео-инструкцией по настройке программы mi remote.

Информация помогла24Информация не помогла28

интернет, телевидение, телефон в городе Реутов

network_check Реальные скорости

Известно, что только оптическая сеть способна обеспечивать высокоскоростные подключения. Мы не используем хDSL соединения по телефонным проводам. Оптическая сеть, 10 Гбит/с в каждый дом дает нашим Абонентам надежный и быстрый Интернет, телевидение НD качества и надежную телефонную связь.

sentiment_satisfied Честность

Мы против любых сложностей и путаницы. Мы не используем запрещенных приемов, не путаем с помощью хитрых тарифных планов и подводных камней, ничего не скрываем и не навязываем. Поэтому наши тарифы простые а все условия абсолютно понятные. Так вам будет удобнее.

headset_mic Оперативная тех. поддержка

24 часа в сутки, без выходных и перерывов на обед вам готова помочь команда операторов технической поддержки. Вы останетесь довольны быстрым ответом на вопросы и решением ваших проблем.

phonelink Мультиэкран

Возможность одновременного просмотра разных телеканалов на трех разных устройствах. Также вы можете менять устройства во время просмотра, продолжая смотреть с того же момента, где остановились.

cloud_upload Архив 7 дней

Мы храним архив вещания за предыдущую неделю. Теперь у вас хватит времени и на дела, и на любимые программы.

devices_other ТВ работает
на любых устройствах

Наше телевидение работает на любых устройствах (смартфон, планшет, телевизор) и на всех популярных платформах: Компьютер, iOS, Android, Smart TV и ТВ приставки.

shop_two Любимое ТВ возьми с собой

Теперь любимые каналы и передачи всегда с вами везде, где есть Интернет.

settings_remote Управление эфиром

Поставьте эфир на паузу, отложите просмотр или настройте напоминания о важных передачах.

ondemand_video Более 180 ТВ-каналов

Огромный выбор телепрограмм и фильмов в цифровом качестве и HD телеканалы для больших ТВ экранов.

videocam Кинотеатр

Новинки и мировые премьеры, а также 6000 лучших фильмов всегда доступны для просмотра.

94.241.0.0/18 ПАО «Ростелеком» Префикс BGP Сетевая информация

% Это служба запросов к базе данных RIPE.
% Объекты находятся в формате RPSL.
%
% База данных RIPE регулируется Положениями и условиями.
% См. Http://www.ripe.net/db/support/db-terms-conditions.pdf.

% Информация, относящаяся к '94 .241.0.0 - 94.241.63.255 '

% Сообщений о нарушениях для '94 .241.0.0 - 94.241.63.255 ':' [электронная почта защищена] '

inetnum: 94.241.0.0 - 94.241.63.255
сетевое имя: RU-RTK-20080929
страна: RU
org: ORG-JR8-RIPE
админ-c: RTNC-RIPE
tech-c: RTNC-RIPE
статус: ALLOCATED PA
уведомить: [электронная почта защищена]
mnt-by: RIPE-NCC-HM-MNT
mnt-by: РОСТЕЛЕКОМ-МНТ
mnt-lower: MNT-CTC
мнт-нижний: РОСТЕЛЕКОМ-МНТ
мнт-нижний: ТВЕРЬ-ТЕЛЕНЕТ-МНТ
mnt-домены: РОСТЕЛЕКОМ-МНТ
mnt-routes: ROSTELECOM-MNT
создано: 2008-09-29T11: 31: 34Z
последнее изменение: 2018-11-08T16: 09: 30Z
источник: RIPE

организация: ORG-JR8-RIPE
наименование организации: ПАО «Ростелеком»
тип организации: LIR
адрес: ул. Дубовая Роща, 25-2
адрес: 127427
адрес: МОСКВА
адрес: РОССИЙСКАЯ ФЕДЕРАЦИЯ
телефон: +7 495 339 11 22
факс: +74999953619
электронная почта: [электронная почта защищена]
админ-c: RTNC-RIPE
админ-c: DS4715-RIPE
админ-c: EP6706-RIPE
админ-c: OO1522-RIPE
админ-c: NM7547-RIPE
админ-c: AA728-RIPE
админ-c: SVS153-RIPE
админ-c: ASV77-RIPE
админ-c: RVP-RIPE
админ-c: VEV57-RIPE
админ-c: TR4627-RIPE
админ-c: TL4565-RIPE
админ-c: AVB77-RIPE
админ-c: DN216-RIPE
админ-c: DA2353-RIPE
админ-c: ANK2555-RIPE
админ-c: IS111-RIPE
админ-c: VE128-RIPE
админ-c: SS216-RIPE
злоупотребление-c: RTNC-RIPE
mnt-ref: RIPE-NCC-HM-MNT
mnt-ref: РОСТЕЛЕКОМ-МНТ
mnt-by: RIPE-NCC-HM-MNT
mnt-by: РОСТЕЛЕКОМ-МНТ
создано: 2005-03-22T11: 11: 20Z
последнее изменение: 2018-10-03T10: 00: 29Z
источник: RIPE

роль: Техническая команда ПАО «Ростелеком».
адрес: ПАО «Ростелеком»
адрес: Российская Федерация
электронная почта: [электронная почта защищена]
почтовый ящик нарушения: [электронная почта защищена]
админ-c: DS4715-RIPE
admin-c: EEA-RIPE
админ-c: AV3066-RIPE
tech-c: DS4715-RIPE
tech-c: EEA-RIPE
tech-c: AV3066-RIPE
примечания: проблема: ---------------------------------------------- -----------------
примечания: беда: ЦУС Ростелекома доступен 24 часа в сутки, 7 дней в неделю.
примечания: проблема: электронная почта [электронная почта защищена]
примечания: проблема: ---------------------------------------------- -----------------
примечания: ------------------------------------------------ ------------------------
примечания: запросы пиринга: [электронная почта защищена]
примечания: ------------------------------------------------ ------------------------
примечания: http: // www.rostelecom.ru/, зеркало http://lg.ip.rt.ru/
примечания: ------------------------------------------------ ------------------------
уведомить: [электронная почта защищена]
nic-hdl: RTNC-RIPE
mnt-by: РОСТЕЛЕКОМ-МНТ
создано: 2007-11-27T13: 28: 11Z
последнее изменение: 2019-01-22T09: 16: 29Z
источник: RIPE

 

78.36.0.0/15 ПАО «Ростелеком» Префикс BGP Сетевая информация

% Это служба запросов к базе данных RIPE.% Объекты находятся в формате RPSL.
%
% База данных RIPE регулируется Положениями и условиями.
% См. Http://www.ripe.net/db/support/db-terms-conditions.pdf.

% Информация, относящаяся к '78 .36.0.0 - 78.37.255.255 '

% Сообщений о нарушениях для '78 .36.0.0 - 78.37.255.255 ':' [электронная почта защищена] '

inetnum: 78.36.0.0 - 78.37.255.255
сетевое имя: RU-RTK-20070316
страна: RU
org: ORG-JR8-RIPE
админ-c: rcr3-RIPE
tech-c: rcr3-RIPE
статус: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-by: РОСТЕЛЕКОМ-МНТ
mnt-нижний: AS8997-MNT
мнт-нижний: РОСТЕЛЕКОМ-МНТ
mnt-домены: РОСТЕЛЕКОМ-МНТ
mnt-routes: ROSTELECOM-MNT
создано: 2007-03-16T09: 31: 31Z
последнее изменение: 2018-09-28T11: 47: 45Z
источник: RIPE

организация: ORG-JR8-RIPE
наименование организации: ПАО «Ростелеком»
тип организации: LIR
адрес: ул. Дубовая Роща, 25-2
адрес: 127427
адрес: МОСКВА
адрес: РОССИЙСКАЯ ФЕДЕРАЦИЯ
телефон: +7 495 339 11 22
факс: +74999953619
электронная почта: [электронная почта защищена]
админ-c: RTNC-RIPE
админ-c: DS4715-RIPE
админ-c: EP6706-RIPE
админ-c: OO1522-RIPE
админ-c: NM7547-RIPE
админ-c: AA728-RIPE
админ-c: SVS153-RIPE
админ-c: ASV77-RIPE
админ-c: RVP-RIPE
админ-c: VEV57-RIPE
админ-c: TR4627-RIPE
админ-c: TL4565-RIPE
админ-c: AVB77-RIPE
админ-c: DN216-RIPE
админ-c: DA2353-RIPE
админ-c: ANK2555-RIPE
админ-c: IS111-RIPE
админ-c: VE128-RIPE
админ-c: SS216-RIPE
злоупотребление-c: RTNC-RIPE
mnt-ref: RIPE-NCC-HM-MNT
mnt-ref: РОСТЕЛЕКОМ-МНТ
mnt-by: RIPE-NCC-HM-MNT
mnt-by: РОСТЕЛЕКОМ-МНТ
создано: 2005-03-22T11: 11: 20Z
последнее изменение: 2018-10-03T10: 00: 29Z
источник: RIPE

роль: ru.контактная роль spbnit
адрес: ОАО «Ростелеком»
адрес: Макрорегиональный филиал Северо-Западный
адрес: ул. Гороховая, 14/26 (Ул. Большая Морская, 26)
адрес: 191186, г. Санкт-Петербург
адрес: Россия
телефон: +7 812 595 45 56
электронная почта: [электронная почта защищена]
примечания: --------------------------------------------
админ-c: AA728-RIPE
админ-c: VE128-RIPE
tech-c: IS111-RIPE
tech-c: AA728-RIPE
tech-c: VE128-RIPE
tech-c: TR4627-RIPE
nic-hdl: RCR3-RIPE
примечания: --------------------------------------------
примечания: Спам и злоупотребления: abuse (at) dtd.ptn.ru
примечания: Общие вопросы: ip-noc (at) nw.rt.ru
примечания: Маршрутизация и пиринг: ip-noc (at) nw.rt.ru
примечания: --------------------------------------------
почтовый ящик нарушения: [электронная почта защищена]
mnt-by: AS8997-MNT
создано: 2002-09-04T09: 29: 24Z
последнее изменение: 2020-09-18T09: 12: 36Z
источник: RIPE

 

Утечка на маршруте Ростелекома нацелена на услуги электронной торговли

На прошлой неделе «Ростелеком», один из крупнейших российских провайдеров Интернет-услуг, частично принадлежащий государству, утек в сеть десятки маршрутов, относящихся к IP-адресам, принадлежащим крупным компаниям, предоставляющим финансовые услуги.Эта утечка маршрута перенаправляла интернет-трафик, предназначенный для этих финансовых фирм, в Ростелком, поскольку некоторые маршрутизаторы в Интернете решили, что новые, просочившиеся маршруты предпочтительнее законных.

После многочисленных запросов от наших клиентов, некоторые из которых были затронуты этим событием, мы решили добавить дополнительную информацию. Что наиболее важно, затронутые префиксы (диапазоны IP-адресов) принадлежали не только компаниям, оказывающим финансовые услуги, но и включали префиксы, в которых размещены критически важные сервисы электронной коммерции и платежей.И не только произошла утечка маршрутов, мы также можем подтвердить, что трафик проходил через сеть Ростелекома по пути к предполагаемому пункту назначения.

Хотя трудно подтвердить, что утечка маршрутов в Интернет была преднамеренной (например, для проверки трафика, который должен идти в сети компаний, предоставляющих финансовые услуги), целевой выбор услуг электронной коммерции не может быть случайным. .

Влияние на услуги электронной торговли

Что настолько интригует в этой утечке маршрута, так это набор затронутых служб, которые используют префиксы или диапазоны IP-адресов, которые были утечкой.Мы выполнили обратный DNS-поиск затронутых префиксов, чтобы определить, какие домены и службы были затронуты.

Включено затронутых услуг:

• Mastercard SecureCode, Smart Data и MasterPass
• Проверено Visa и принадлежащим Visa CardinalCommerce
• Symantec WebSecurity и Geotrust
• Серверы электронной почты RSA
• Сайты онлайн-банкинга для французских банков BNP Paribas и CIT, а также польского банка Zachodni, принадлежащего Santander
• Торговые и депозитарные сайты для HSBC и MoneyPort MUFG
• Обработка платежей для служб HSBC EPS и PPS, UBS CardCenter, Redsys и Atos Worldline

Некоторые из этих сервисов составляют основу инфраструктуры онлайн-платежей.SecureCode и Verified by Visa, например, аутентифицируют держателей карт во время покупки в электронной коммерции, чтобы снизить вероятность мошенничества. Symantec GeoTrust — крупный поставщик цифровых сертификатов для шифрования TLS / SSL, который, помимо прочего, защищает платежный трафик.

Независимо от того, была ли эта утечка маршрута преднамеренной или нет, выбор префиксов кажется очень преднамеренным и предполагает, что Ростелеком пытался направить платежный трафик электронной коммерции, по крайней мере, в свою собственную сеть.

Утечка на маршруте Ростелекома

Вечером среды, 26 апреля, с 22: 36-22: 43 UTC (3: 36-15: 43 по тихоокеанскому времени), Ростелеком отправил 137 префиксов в Интернет через одноранговые узлы, такие как Telecom Italia, Telstra, Hurricane Electric, KDDI, Cogent, Telia и Tata. Из этих 137 префиксов примерно 100 принадлежат организациям в России и, как таковые, вероятно, являются частью обычных сетевых операций. Однако 36 префиксов принадлежали таким компаниям, как Symantec, Visa, Mastercard, BNP Paribas и EMC.Эти цифры согласуются с отчетом BGPmon о мероприятии.

В течение 7 минут трафик, предназначенный для служб электронной коммерции и обработки платежей, предоставляемых этими финансовыми компаниями, а также служб веб-безопасности и безопасности в Интернете, был перенаправлен в сеть Ростелеком. Утечка маршрута затронула значительную часть интернет-трафика, хотя и не всю, поскольку не все сети принимали или предпочитали маршруты Ростелекома законным.

Что такое утечки на маршруте?

Интернет-трафик

доставляется по назначению, представленному IP-адресом, после прохождения через серию сетей, называемых автономными системами.Эти автономные системы (AS) представляют собой сети таких компаний, как Comcast, Verizon, GE или Coca-Cola. Каждая AS имеет диапазоны IP-адресов, называемых префиксами, которые зарегистрированы в этой организации. Чтобы помочь маршрутизаторам в Интернете определить, через какой трафик AS должен проходить, протокол пограничного шлюза (BGP) используется для передачи новых или измененных маршрутов для каждого префикса.

Утечка маршрута происходит, когда AS объявляет незаконные маршруты, случайно или намеренно.Маршруты могут быть нелегитимными, если:

• AS угонщика утверждает, что является источником префикса, когда это не так (как в этом случае с Ростелеком)
• AS угонщика рекламирует новый, более конкретный префикс, который маршрутизаторы предпочтут
• AS угонщика объявляет более короткий путь AS, чем существует на самом деле, поэтому его маршруты кажутся предпочтительными

В любом случае Интернет-трафик может быть направлен в сторону AS-нарушителя, что позволяет ей проверять трафик или отказывать в обслуживании.

Анатомия утечки маршрута

Давайте посмотрим, что на самом деле показывают данные об этой утечке маршрута. ThousandEyes собирает информацию о маршрутах из более чем сотни точек обзора (мы называем их мониторами маршрутов) в Интернете.

На рисунке 1 мы можем видеть маршруты из подмножества этих точек обзора. Визуализация маршрута BGP показывает, как Ростелеком (AS 12389) объявляет, а затем удаляет маршруты. Одноранговые узлы, такие как Cogent (AS 174), Hurricane Electric (AS 6939) и Tata (AS 6453), принимали эти маршруты и распространяли их через Интернет.Были затронуты мониторы маршрутов, отмеченные оранжевым и красным цветом, в то время как зеленые продолжали отправлять трафик в легитимную исходную сеть.

Рисунок 1: Ростелеком (синий пунктирный круг) объявил, а затем отозвал маршруты (красные пунктирные линии). Были затронуты мониторы маршрутов (ромбы) оранжевого и красного цветов
, в то время как зеленые продолжали отправлять трафик в легитимную исходную сеть (зеленый кружок).

Корреляция трафика с маршрутами

Данные

ThousandEyes включают не только информацию о маршрутизации, но и путь трафика, принимаемый IP-пакетами через Интернет в представлении, называемом «Визуализация пути».На Рисунке 2 видно, что трафик поступал в сеть Ростелекома, а затем возвращался обратно в сеть назначения, в данном случае через Cogent в Стокгольме. Но «Ростелеком» испытал трафик через 60+ интерфейсов, что было либо непреднамеренной петлей маршрутизации, либо очень преднамеренной серией устройств для проверки трафика. Вы можете видеть их в визуализации как белые, не отвечающие на запросы интерфейсы.

Рисунок 2: Трафик из Торонто, предназначенный для затронутой услуги электронной коммерции, входит в сеть Ростелеком, проходит через
60+ не отвечающих (белые) интерфейсы и возвращается обратно в сеть Cogent, а затем в сеть назначения.

Предупреждение и устранение утечек на маршруте

Утечки маршрутов вызывают особую озабоченность, потому что сетевой оператор не может полностью контролировать распространение маршрутов через Интернет. Распространение маршрутов основано на доверии и зависит от предпочтений и политик, которые каждая сеть размещает на маршрутах, которые они принимают от одноранговых узлов и объявляют сами.

В краткосрочной перспективе вы можете отслеживать утечки маршрутов с помощью сервисов, которыми вы управляете, или сервисов, на которые вы полагаетесь в критических операциях (например,g., платежный шлюз). В ThousandEyes можно обнаружить три типа перехвата и утечки маршрутов:

• Ваш префикс исходит из другой сети (хороший пример — утечка Ростелекома). Установите оповещение для Origin AS не в [Your ASN].
• Другая сеть создает более конкретный префикс в вашем адресном пространстве. Установите предупреждение для Покрытого префикса [Существует] или Покрытого префикса не в [Ваши префиксы].
• Другая сеть вставляет свой ASN в путь AS.Установите оповещение для ASN следующего перехода не в {Your Upstream ASNs]. Обратите внимание, это не будет включать угоны, которые находятся на расстоянии более одного прыжка.

См. Подробную статью о предупреждении об утечках и захватах маршрутов.

Рисунок 3: Параметры предупреждений для обнаружения утечки маршрутов ваших префиксов.

Помимо предупреждений, вы можете выполнять такие действия, как связываться с вышестоящими интернет-провайдерами, объявлять покрытые префиксы, объявлять более предпочтительные маршруты, изменять используемые IP-адреса или публиковать ROA.Ознакомьтесь с нашими лучшими практиками по борьбе с утечками и захватами маршрутов, чтобы получить более подробную информацию, а также о долгосрочных общих стратегиях смягчения последствий, таких как фильтрация маршрутов, RPKI, RPSL, BGPSEC и TCP MD5.

Не пропустите наш предстоящий веб-семинар по обнаружению перехвата и утечки BGP, где мы поговорим о том, как вы можете диагностировать и предотвращать эти явления маршрутизации.

Российская телекомпания Ростелеком перехватывает трафик ИТ-гигантов, в том числе GoogleSecurity Affairs

Российский оператор связи Ростелеком был причастен к инциденту с захватом BGP, от которого на прошлой неделе пострадали сотни CDN и облачных провайдеров.

На прошлой неделе российская государственная телекоммуникационная компания «Ростелеком» была вовлечена в очевидный инцидент, в результате которого был перехвачен трафик более чем 200 сетей доставки контента (CDN) и провайдеров облачного хостинга, включая таких гигантов, как Google, Amazon, Facebook, Akamai, Cloudflare, GoDaddy, и Цифровой океан.

Более 8 800 маршрутов интернет-трафика из более чем 200 сетей были затронуты примерно за час.

В крупномасштабном инциденте с захватом BGP был задействован AS12389 (Ростелеком), затронувший более 8000 префиксов.

Согласно BGPmon.net, начиная с 2020-04-01 19:27:28 его служба обнаружила возможный захват BGP, задействованный префикс — 31.13.64.0/19, который обычно объявляется AS32934 FACEBOOK, США.

Префикс 31.13.69.0/24 вместо этого был объявлен ASN 12389.

Явление также контролировалось охранной фирмой Qrator Labs, ниже и отрывком из ее анализа.

«Вот начало: примерно в течение часа, начиная с 19:28 UTC 1 апреля 2020 года, крупнейший российский интернет-провайдер — Ростелеком (AS12389) — анонсировал префиксы, принадлежащие известным интернет-игрокам: Akamai, Cloudflare, Hetzner, Digital Ocean, Amazon AWS и другие известные имена.»- говорится в анализе.

«До того, как проблема была решена, пути между крупнейшими облачными сетями были несколько нарушены — мигал Интернет. Утечка маршрута довольно хорошо распространилась по миру через Rascom (AS20764), затем через Cogent (AS174) и через пару минут через Level3 (AS3356). Проблема внезапно стала настолько серьезной, что перегрузила процесс принятия решения о маршруте для нескольких провайдеров Tier-1 ».

Инциденты, связанные с перехватом

BGP, являются опасными событиями, большая часть трафика может быть перенаправлена, что позволит злоумышленникам проанализировать и расшифровать его.

«Однако, что отличает ситуацию от других, так это то, что« Ростелеком »получил предупреждение из ленты Qrator.Radar в режиме реального времени и обратился за помощью в устранении неисправностей. Учитывая простоту ошибок BGP, во время кризиса с коронавирусом очень легко допустить ошибку. Однако с предоставлением данных мониторинга инцидент довольно быстро прекратился, и правильная маршрутизация была восстановлена ​​». — заключает Qrator.Radar.

«Мы настоятельно рекомендуем другим интернет-провайдерам, не являющимся Ростелекомом, начать мониторинг своих объявлений BGP для предотвращения масштабных инцидентов.И, конечно же, RPKI Origin Validation — это то, о чем каждый должен не просто думать, а внедрять ».

Похожий инцидент произошел в декабре 2018 года, когда подозрительное событие направило трафик для крупных технологических компаний (например, Google, Facebook, Apple и Microsoft) через ранее неизвестного российского интернет-провайдера. Исследователи, расследовавшие инцидент, считают, что это был результат атаки с захватом BGP.

В мае 2017 года Ростелеком был причастен к еще одному подозрительному инциденту, который затронул финансовых гигантов Visa, Mastercard, HSBC и других.

В ноябре 2018 года исследователи безопасности Крис Демчак и Юваль Шавитт опубликовали статью, в которой подробно описываются атаки с перехватом BGP, осуществленные China Telecom за последние годы.

China Telecom была торговой маркой государственной Китайской телекоммуникационной корпорации, но после вывода предприятия на рынок сбыта бренд и операционные компании были выделены в отдельную группу.

China Telecom в настоящее время присутствует в сетях Северной Америки с 10 точками присутствия (PoP) (восемь в США и две в Канаде), охватывающих основные точки обмена.

Два исследователя указали, что телекоммуникационная компания использует PoP для перехвата трафика через Китай, это происходило несколько раз за последние годы,

Пьерлуиджи Паганини

( SecurityAffairs — BGP Hijacking, Россия)

[adrotate banner = ”13 ″]

---

Поделиться

Не просто очередной перехват BGP

1 апреля 2020 года многие сети стали свидетелями массового перехвата BGP со стороны AS12389 (Ростелеком).В этом посте мы подробно рассмотрим этот инцидент с маршрутизацией и объясним, почему внедрение строгих методов сетевой фильтрации и соблюдение принципов MANRS жизненно важно для безопасной и отказоустойчивой глобальной системы интернет-маршрутизации.

Перехваты

BGP, к сожалению, обычное дело, но большинство из них очень недолговечны и не вызывают сбоев в обслуживании на глобальном уровне. Большинство (не все) инцидентов маршрутизации происходят из-за ошибок конфигурации, но, как мы неоднократно узнавали, реализация строгой фильтрации резко снижает вероятность того, что эти ошибки распространятся дальше в сети и вызовут дополнительные сбои.

К сожалению, взлом на этой неделе привел к перебоям в обслуживании многих пользователей по всему миру.

Что случилось?

В этом сообщении блога QRATOR Labs содержится краткий обзор. QRATOR Labs предоставляет услуги сетевой аналитики и мониторинга под названием Radar.

Согласно сообщению в блоге QRATOR, первое неверное происхождение маршрута — когда сеть объявляет маршруты одноранговым узлам, которые фактически не являются частью их сети, — было зарегистрировано в 19:28 UTC 1 апреля 2020 года.Показали скриншот со своего система мониторинга со списком IP-префиксов, захваченных AS12389 (Ростелеком):

• 104.18.216.0/21
• 104.17.128.0/21
• 104.18.184.0/21
• 95.100.200.0/24
• 104.18.168.0/21
• 104.107.217.0/24
• 95.101.181.0/24
• 95.216.178.0/24
• 104.17.232.0/21
• 95.101.82.0/23

Когда я просмотрел каждый префикс выше в представлениях маршрута, я не нашел ни одного совпадения для этих конкретных префиксов.BGPMon также предоставил список, содержащий более 8800 префиксов.

Но произошел массовый захват, поскольку его разделяли многие видные члены сообщества, и он повлиял, по крайней мере, на Amazon и Akamai, о которых мы знаем. В блоге также была ссылка на RIPE Bgplay, которая показывала 2.17.123.0/24.

Чтобы получить дополнительную информацию, я просмотрел все объявления от AS12389 с AS_PATH «20764 12389». Я использовал Isolario.it bgpdump, так как у него больше пиров, чем просмотров маршрутов.Мгновенно было несколько обращений (4569 уникальных анонсов), и ни одно из них не принадлежало AS12389. BGP Toolkit компании Hurricane Electric также отметил похожее число (4567).

Из этих 4569 префиксов 4255 принадлежат Amazon (AS16509 и AS14618), 85 принадлежат Akamai (AS20940, AS16625), а остальные принадлежат нескольким различным поставщикам услуг, включая Level3, Alibaba, Digital Ocean, Linode и другие.

У этих префиксов есть несколько интересных моментов; Давайте в качестве примеров возьмем эти пять префиксов Akamai (AS20940).

• 2.16.100.0/24:20940 | 2.16.100.0 | AKAMAI-ASN1, US
• 2.16.101.0/24:20940 | 2.16.101.0 | AKAMAI-ASN1, US
• 2.16.106.0/24:20940 | 2.16.106.0 | AKAMAI-ASN1, US
• 2.16.115.0/24:20940 | 2.16.115.0 | AKAMAI-ASN1, US
• 2.16.186.0/24:20940 | 2.16.186.0 | AKAMAI-ASN1, США

Согласно RIPE RIS Routing Status, эти префиксы с их точной длиной префикса никогда не были видны в глобальной таблице маршрутизации до того, как это было объявлено AS12389 во время взлома.Тот же результат для остальных четырех префиксов (интересно отметить временную метку). Статус 2.16.100.0/24

Я проверил более 100 префиксов с таким же результатом. Это поведение может быть похоже на другие виды поведения маршрутизации, которые вы, возможно, видели в прошлом. Это потому, что это похоже на поведение оптимизаторов BGP. (В данном случае неясно, было ли это сделано оптимизатором BGP или какой-то внутренней инженерией трафика.)

Кроме того, если вы вернетесь на три года назад, там был очень похожий инцидент с AS12389, который был очень хорошо задокументирован BGPMon в «BGPStream and The Curious Case of AS12389».Пятьдесят (50) префиксов были перехвачены из 37 различных ASN путем объявления более конкретных префиксов (/ 24s).

Почему важна фильтрация

Всего этого можно было бы избежать, если бы AS20764 (Rascom) реализовал строгую фильтрацию, гарантирующую, что они не объявляют маршруты для адресов, которые они или их клиенты фактически не контролируют. Еще один интересный момент заключается в том, что AS12389 также напрямую взаимодействует с AS3356 (Level3), AS1299 (Telia) и другими, но ни один из них не позволял распространяться этим плохим объявлениям, кроме AS20764, который также взаимодействует с AS174 (Cogent Co) и, к сожалению, AS174 не фильтрует эти плохие объявления и распространились дальше.Это прямо показывает, как сети, которые строго фильтруют исходящий трафик, помогают бороться с распространением поддельных объявлений о маршрутах, злонамеренных или иных. RPKI значительно упростил фильтрацию ложного источника (взлома). Из 4569 перехваченных префиксов 4040 имели ДЕЙСТВИТЕЛЬНЫЕ ROA для соответствующих ASN. Например, вот один из похищенных префиксов Amazon 3.93.187.0/24.

Job Snijders также провел действительно хороший анализ этого инцидента с точки зрения RPKI, поскольку RIPE NCC случайно удалил около 4100 ROA за тот же период времени, о котором здесь говорится.Его анализ можно найти в списке рассылки RIPE routing-wg.

Важно отметить, что AS174 (Cogent Co) и AS3356 (Level3) должны были лучше справиться с фильтрацией на всех уровнях. В прошлом мы были свидетелями того, что все они используют префиксную фильтрацию (помните Amazon Route53 Hijack? Они хорошо отфильтровали его). Фильтрация одного партнера и уход от другого совершенно не служат цели. Ошибки случаются, но мы все должны извлекать уроки из этих ошибок и принимать меры, чтобы не повторять их снова.

Я все еще ищу дамп bgp rib, чтобы он соответствовал префиксу QRATOR Labs и префиксу bgpmon 8800+, и почему это длилось почти 1 час, как указано в сообщении блога их QRATOR? RIPE RIS и bgpdumps из isolario показывают, что это длилось почти 10 минут или около того. Это наверняка сильно зависит от точки обзора.

Где точки обзора, с которых были замечены эти 8800+ анонсов? Были ли эти дополнительные объявления сделаны только для какой-либо конкретной IX? Произошло ли все это из-за оптимизатора BGP? Или что-то другое? Было ли это попыткой украсть эти префиксы из-за аналогичного поведения и в 2017 году? Это может и дальше оставаться загадкой.

Итог — Сеть Операторы должны защищать глобальную маршрутизацию

Я не могу этого особо подчеркнуть — это может повториться в любой момент. время. Сетевые операторы несут ответственность за обеспечение глобальной надежности и безопасная инфраструктура маршрутизации. Безопасность вашей сети зависит от маршрутизации инфраструктура, которая останавливает злоумышленников и предотвращает случайные ошибки конфигурации которые сеют хаос в Интернете. Чем больше операторов сети работают вместе, тем будет меньше инцидентов и тем меньше ущерба они могут нанести.

Если вы оператор сети, мы рекомендуем вам внедрить MANRS Actions и присоединиться к сообществу MANRS. Если вы уже являетесь MANRS член (как некоторые ASN, которые пересылали эти плохие объявления), затем учиться у это и убедитесь, что это больше не повторится. Вы обязаны сохранять глобальную таблица маршрутизации чистая.

Только вместе мы сможем защитить ядро!

Узнать больше о MANRS и присоединяйтесь к нам в качестве оператора сети, точки обмена интернет-трафиком или службы доставки контента. Сетевой / облачный провайдер.

BGPstream и любопытный случай AS12389

Мир маршрутизации BGP — это увлекательное место, где каждый день происходит множество интересных событий BGP. Отслеживать все это может быть непросто, поэтому два года назад мы запустили веб-сайт BGPstream, на котором мы отслеживаем крупномасштабные сбои и перехваты BGP. Мы перечисляем события, основную информацию и визуализируем ее с помощью одного из моих любимых инструментов: BGPlay. Для тех, кто следит за @bgpstream, вы, вероятно, заметили любопытную серию перехватов BGP сегодня одной и той же автономной системой, затрагивающих многие хорошо известные сети. С 22:36 26 апреля до 22:43 UTC AS12389 (ПАО «Ростелеком») начал генерировать 50 префиксов для множества других автономных систем. 50 перехваченных префиксов включали 37 уникальных автономных систем, а полный список затронутых сетей можно найти ниже. Если ваша организация находится в этом списке, не стесняйтесь обращаться к нам, и мы можем предоставить более подробную информацию, если это необходимо. Имейте в виду, что многие из этих перехватов уже опубликованы на BGPstream.com. Итак, вернемся к этому инциденту, что здесь произошло? Что делает список затронутых сетей «любопытным», так это большое количество финансовых учреждений, таких как, например, MasterCard, Visa, Fortis, Альфа-Банк, Card Complete Service Bank и другие.Другая любопытная вещь заключается в том, что здесь было несколько более специфических префиксов. Одним из примеров является HSBC https://bgpstream.com/event/ 80330 Это означает, что это не обычная «утечка» (например, BGP> OSPF> BGP). Потому что префикс обычно существует как 203.112.90.0/23, а не как / 24, объявленный Ростелекомом. Значит, кто-то (вероятно, 12389 Ростелеком) сам вставляет его в свои таблицы маршрутизации. Вопрос в том, почему? Один из типичных сценариев, при которых это обычно происходит, связан с какой-либо организацией трафика или перенаправлением трафика.Также стоит отметить, что одновременно с угонами мы видели много (78) новых рекламных объявлений , созданных с на 12389 для префиксов «других» телекоммуникационных АС Ростелекома (29456,21378,13056,13118,8570). Так что, вероятно, что-то пошло не так внутри компании, из-за чего Ростелеком начал создавать эти новые префиксы. Никогда не приписывайте злому умыслу то, что адекватно объясняется … ну, скажем так, невинной неверной конфигурацией. Если на самом деле это была попытка преднамеренного перенаправления трафика для некоторых из этих финансовых учреждений, то это было сделано очень заметным и крупномасштабным образом, так что с этой точки зрения, возможно, маловероятно.Опять же, учитывая количество префиксов высокой ценности из одной и той же категории (финансовые учреждения и обработчики кредитных карт), это кажется немного большим, чем невинный случайный захват, особенно с учетом того факта, что были введены новые более конкретные префиксы. Конечно, это интересный и любопытный случай, поэтому следите за @bgpstream или подпишитесь на нашу службу мониторинга BGP, и будьте осторожны, как только это произойдет! Ниже списка затронутых сетей (за исключением других сетей Ростелекома)

AS	Название автономной системы
49002	ФГУП Россия
3561	Savvis
41268	ООО «ЛАНТА»
2559	Международная виза
8255	Euro-Information-Europeenne de Traitemen
31627	Servicios Para Medios De Pago S.А.
701	MCI Communications Services, Inc. d / b / a
3259	Docapost Bpo SAS
3303	Swisscom (Switzerland) Ltd
3741	IS
5553	Государственное образовательное учреждение высшего образования
5630	Worldline SA
8291	Федеральная служба охраны РФ
8677	Worldline SA
9162	Государственное образовательное учреждение высшего образования
9221	HSBC Гонконг
9930	ВРЕМЯ dotCom Berhad
11383	Xand Corporation
12257	Корпорация EMC
12578	SIA Lattelecom
12954	SIA S.П.А.
15468	ул. Театральная, 38
15632	АО «Альфа-Банк»
15742	ПАО КБ ПриватБанк
15835	РОСНИИРОС Российский институт общественности N
15919	Servicios de Hosting en Internet S.A.
18101	Reliance Communications Ltd. DAKC MUMBAI
25410	Банк Zachodni WBK S.А.
26380	MasterCard Technologies LLC
28827	Fortis Bank N.V.
30060	Инфраструктура и операции VeriSign
34960	Netcetera AG
35469	ОАО Банк Авангард
50080	Provus Service Provider SA
50351	карта в комплекте Service Bank AG
61100	Norvik Banka AS
200163	Итера Норге АС

Почему перехват BGP все еще представляет угрозу

Когда Интернет выходит из строя, делая все недоступным, от критически важных бизнес-сервисов до критически важных для ментальной стабильности генераторов мемов, это из-за несчастного случая или злонамеренных хакеров? В случае взлома BGP это может быть одно, а иногда и то и другое.

Рассмотрим инцидент с захватом BGP в День дурака в прошлом году, который вызвал массовые сбои в работе Интернета как раз в тот момент, когда мир начинал бороться с последствиями пандемии COVID-19. Интернет-трафик, который должен был проходить через более 200 крупнейших облачных веб-провайдеров и сетей доставки контента, был перенаправлен через российского государственного телекоммуникационного провайдера «Ростелеком». Более чем 8 800 маршрутов интернет-трафика были затронуты в течение почти двух часов, что замедлило — а во многих случаях остановило — трафик на Amazon, Google, Facebook, Akamai, Digital Ocean, Cloudflare, Heztner и другие, из них и через них.

«Они продолжали заниматься этим два часа», — говорит Афтаб Сиддики, старший менеджер Интернет-технологий Internet Society. «Мы не знаем, чего они достигли, но мы знаем, что в течение этих двух часов вы не могли получить доступ к этим услугам».

Хотя этот инцидент был заметен по своему масштабу и влиянию, это далеко не единственный случай, когда перехват BGP затронул интернет-сервис в 2020 году. Это настолько распространено, что по оценкам коллег Siddiqui Internet Society, в прошлом году произошло 2477 инцидентов перехвата BGP, почти семь в день. .По его словам, большинство из них длится недолго, но некоторые длятся часами. Если это сделано намеренно, его можно использовать для крупномасштабного наблюдения, атак типа «отказ в обслуживании» и шпионажа.

«И даже если бы 10 процентов были преднамеренными, это много», — предупреждает он. Проблема в предотвращении перехвата BGP состоит в том, что он использует недостаток конструкции в том, как устроен Интернет, и чтобы остановить это, потребуется подавляющему большинству мировых интернет-провайдеров изменить методы своей работы.

Что такое перехват BGP?

Перехват BGP — это когда протокол пограничного шлюза, который создает таблицы маршрутизации, которые формируют критически важную основу данных в Интернете, дает сбой, потому что путь, по которому должны были идти данные, был изменен с намеренно неточной информацией.Конечным результатом может быть то, что веб-сайты и приложения не загружаются должным образом или вообще не загружаются.

BGP был изобретен в 1980-х годах и полностью внедрен к 1994 году для автоматической передачи данных между поставщиками Интернет-услуг. В простейшем случае захват BGP — это неправильная конфигурация маршрутизаторов, направляющих эти данные. Кража относится не только к тому, что объект берет на себя контроль над маршрутизацией данных, но также к вмешательству, заставляющему данные маршрутизироваться неправильно.

Уникальные объекты в таблицах маршрутизации, которые определяют правильную маршрутизацию BGP, известны как автономные системы (AS), которые объявляют маршруты, на которые должны полагаться другие AS для связи с поставщиками интернет-услуг в различных географических регионах.Как правило, BGP по умолчанию использует кратчайшие возможные маршруты, но люди и компьютеры могут создавать помехи автономным системам — намеренно, по коммерческим причинам, случайно или со злым умыслом.

Если маршрут данных был нарушен злонамеренно, хакеру нетрудно шпионить за данными, если они не были зашифрованы. Если маршрутизации в конечном итоге разрешено завершить свое путешествие, получатель данных может даже не заметить.

Что больше всего беспокоит в перехвате BGP, так это то, что, хотя это может быть сделано случайно, его также могут использовать в качестве цифрового оружия национальные государства или группы, связанные с ними.Хотя перехват BGP был печально известной проблемой в 2000-х годах, громкие и злонамеренные перехваты BGP происходят и по сей день. К ним относятся инцидент, охватывающий 2017 и 2018 годы, который принес хакерам 29 миллионов долларов; перенаправление трафика MyEtherWallet до $ 160 000 в 2018 году; Трафик Google, Facebook, Twitch и Apple в течение часа перенаправляется через малоизвестную российскую сеть; и совсем недавно группа федеральных правительственных агентств рекомендовала, чтобы FCC лишила China Telecom права предоставлять международные услуги в США и из США.S. из-за неправильной маршрутизации интернет-трафика в США.

Хорошая новость заключается в том, что коллеги Сиддики из Internet Society и другие разработали способ навсегда исправить маршрутизацию BGP и сделать ее более безопасной. Известный как MANRS , Взаимно согласованные нормы безопасности маршрутизации изобрели новые ограждения, удерживающие поток Интернет-трафика по назначению. Одним из наиболее важных решений, которое продвигает MANRS, является Routing Public KeyInfrastructure, общедоступная база данных маршрутов BGP с криптографической аутентификацией.Сиддики, руководитель проекта в MANRS, считает, что примерно от четверти до одной трети провайдеров Интернет-услуг во всем мире являются сторонниками RPKI.

Как минимизировать перехват BGP сегодня

Плохая новость заключается в том, что каждый интернет-провайдер должен внедрять RPKI самостоятельно, что требует затрат на рабочую силу и обслуживание. Хотя инциденты с перехватом BGP в 2020 году побудили Cloudflare запустить вопрос «Безопасен ли BGP?» Служба, которая позволяет пользователям Интернета узнать, обновил ли их провайдер безопасности BGP, и Google планирует удвоить свои усилия в качестве партнера MANRS для более быстрого исправления BGP, эксперты говорят, что до универсального внедрения RPKI еще несколько лет.

Хотя широко распространенная реализация RPKI является золотым стандартом, к которому стремятся эксперты по архитектуре Интернета и безопасности, они говорят, что есть важные улучшения, которые можно сделать сегодня при относительно небольших затратах. По словам Мельхиора Альманса, эксперта по Интернет-маршрутизации и инженера-консультанта в Juniper Networks, отчасти проблема в том, что она поощряет его внедрение, заключается в том, что RPKI противоречит текущим бизнес-моделям Интернет-маршрутизации.

«В настоящее время основная цель поставщиков услуг — иметь как можно больше маршрутов, что обеспечит лучшую связь.Чем больше у вас маршрутов, тем проще вашим клиентам добраться до пунктов назначения в Интернете. Проблема с проверкой происхождения RPKI заключается в том, что вы фильтруете маршруты из таблицы маршрутизации, что противоречит наличию как можно большего количества маршрутов », — говорит он.

«Как только вы включите проверку происхождения RPKI, вы потеряете около 5000 маршрутов из глобальной таблицы маршрутизации. Это очень страшно, если ваш бизнес основан на продаже лучших возможностей подключения. Что определенно помогает в разговорах о развертывании RPKI с поставщиками Tier 1 и облачными провайдерами, так это то, что они получают всего от пяти до десяти жалоб в первый год из-за невозможности добраться до пункта назначения — и они обычно могут быть решены в течение дня или двух.”

Хотя есть некоторые начальные финансовые затраты на обновление до RPKI, включая возможность обновления до поддерживающего его оборудования маршрутизации и потенциальных новых сотрудников, которые помогут внедрить обновление и управлять им, основные вложения носят культурный характер, — говорит Флавио Лучани, главный технический специалист. сотрудник итальянской точки обмена Интернет-трафиком NameX. В то время как примерно 60 процентов поставщиков услуг уровня 1 по всему миру внедрили RPKI, только около одной трети всех интернет-провайдеров и облачных провайдеров внедрили его.

«Пытаться облегчить RPKI у небольших интернет-провайдеров очень сложно. Я предлагаю им это бесплатно, я предлагаю бесплатную поддержку, я предлагаю бесплатные семинары. На данный момент я убедил 20, может быть, 25 провайдеров беспроводной связи присоединиться к этой инициативе.

Существуют способы защиты маршрутов BGP от перехвата, которые требуют меньше усилий, но менее эффективны. Одна из этих инициатив — это попытка, также инициированная MANRS, сделать фильтрацию маршрутов более согласованной с помощью уже используемых общедоступных реестров маршрутизации в Интернете.По словам Элманса, заставить интернет-провайдеров и поставщиков облачных услуг сосредоточиться на определении приоритетов хорошо известных и проверенных маршрутов, это поможет снизить влияние крупномасштабных отключений, которые мы наблюдали прошлой весной.

«Фильтрация реестра маршрутизации Интернета является предшественником инфраструктуры открытых ключей маршрутизации. Это менее поддается проверке, но все же довольно надежно. Если вы не можете развернуть RPKI, по крайней мере, используйте фильтрацию реестра Internet Routing Registry », — говорит он.

Aelmans рекомендует, чтобы вместо RPKI и в дополнение к фильтрации реестра маршрутизации Интернета поставщики услуг внесли по крайней мере три дополнительных изменения, чтобы лучше обезопасить себя от взлома BGP.

— «Подпишите свои префиксы с помощью ROA». Авторизация Route Origin Authorization управляет всем публичным IP-пространством. Их можно загрузить с помощью программы-валидатора и использовать для создания списка префиксов.

— «Апстрим ваших агрегатов». По его словам, используйте исходящую фильтрацию, чтобы контролировать префиксы, отправляемые одноранговым узлам сети AS и Интернету. Таким образом, экспортируются только префиксы, явно разрешенные политикой.

— «Не забывайте фильтровать входящие потоки». Входящая фильтрация должна быть синхронизирована с исходящей политикой, в том числе в собственном пространстве RC19 сервисов.

Без устранения этих уязвимостей с помощью RPKI или временных мер перехват BGP сможет продолжаться. Хакеры из национальных государств научились использовать эту хрупкую технологию, от которой зависит Интернет, для шпионажа, вмешательства и разрушения.