[Heggi]

Сеть овер 6к (онлайн) абонентов, IPoE vlan-per-user, по дефолту серые адреса у всех (белые за отдельную денюжку).

Сейчас абонент с серым IP спокойно может достучаться до другого абонента с серым IP, однако официального внутрисетевого p2p нет (даже ретрекера нет).

 

Начальство желает их изолировать друг от друга.

Аргумент один: так безопаснее для самих юзеров.

 

Интересно услышать мнения коллег по этому вопросу.

изолировать или нет?

Если не изолировать, то как обосновать?

[disappointed]

Тут начальство должно обосновать свой аргумент.

Безопасность чего - сохо роутеров? От кого от чего, от других роутеров?

[Heggi]

Вероятно от внутренних потенциальных хакеров и вирусов-ботов

[White_Alex]

Фильтруем только ms-netbios и ему родственную фигню между своими хомячками. Остальное им доступно. Да и не дело это, лишать людей локалки

[Butch3r]

Мы не изолируем.

[disappointed]

Вероятно от внутренних потенциальных хакеров и вирусов-ботов

Нахрена хакерам роутеры 6к абонов, если в интернете их насканить десятки миллионов можно.

А вирусы боты с компа за роутером что сканить будут, сетку .0/24 )

[KaraVan]

Раздача своего инета внутри сети, как вариант.

Изолировать по принципу белого списка.

[Negator]

Начальству видимо кто то нассал в уши про безопасность, а сами они не разбираются.

Если у Вас vlan per user - клиенты и так изолированы друг от друга и доступны только на L3 уровне.

Изолировать клиентов имеет смысл, но при другой схеме, на L2.

 

Но - если начальство просит - можно изолировать, это ничего не изменит вообще.

[karpa13a]

ну почему же ничего не изменится.

аплинки начнут нормально "работать") и денежку дополнительную жрать

или не будут?

[Heggi]

Про "аплинков" тут речи нет. Они может и есть, но их мало и на общем фоне вообще не заметны.

Больше походу боятся вирусов всяких...

[karpa13a]

Heggi я в том контексте что п2п сейчас ходит (а кстати считается этот трафик?) между юзерами внутри, а ломанется в внешку.

[disappointed]

Да что там ходит если ретрекера нет. Мелочь.

[pppoetest]

Фильтруем только ms-netbios и ему родственную фигню между своими хомячками. Остальное им доступно. Да и не дело это, лишать людей локалки

+1

[random7]

Если есть услуги типа IPTV то нужно как-то бороться с тем, что один купит услугу и будет ретранслировать в локалку. Особенно если это например студенческое общежитие, а не дом-новостройка. (Я как раз в общежитии делал фильтрование как раз на этот случай, хотя IPTV мультикастом так и не сделали в итоге).

 

Пока никто из абонентов не возмутился отсутствием локалки - видимо им и не надо.

[Tosha]

Фильтруем только ms-netbios и ему родственную фигню между своими хомячками. Остальное им доступно. Да и не дело это, лишать людей локалки

+1

 

И в принципе не жалуются...

[xcme]

по дефолту серые адреса у всех (белые за отдельную денюжку).

+

изолировать или нет?

Если не изолировать, то как обосновать?

Категорически НЕТ! Можно потерять часть гиков и юрлиц. У нас 99% домов в одном городе подключено, многие юрлица используют локальную сеть для связи между офисами. Плюс многим удобно подключаться на работу с дома или наоборот.

Одно дело, если бы у вас изначально не было доступа или только белые адреса или белые бесплатно... А в такой схеме взять и отобрать - профита 0, а негатив будет, хоть и небольшой. Основной массе, конечно, плевать, но сарафанное радио пострадает.

[SergoINFOLAN]

Пока никто из абонентов не возмутился отсутствием локалки - видимо им и не надо.

тут абы решают!

[stas_k]

Если есть услуги типа IPTV то нужно как-то бороться с тем, что один купит услугу и будет ретранслировать в локалку.

Сколько он там на ретранслирует? одному-двум приятелям, поиграются поглючат и перестанут.

 

В коммерческом масштабе это быстро выявится по всплеску трафика и можно будет персонально разбираться..

 

Категорически НЕТ! Можно потерять часть гиков и юрлиц. У нас 99% домов в одном городе подключено, многие юрлица используют локальную сеть для связи между офисами. Плюс многим удобно подключаться на работу с дома или наоборот.

Это да, сам пользуюсь активно, очень удобно. Локалка 100мбит.

 

Если трафик запустить по белым адресам оно ляжет на процессор бордера, трафикшейпера, НАТ и в карман аплинка пойдет копеечка по сути за локальный трафик, который в идеале должен был бы остаться "внутри дома".

 

Начальство желает их изолировать друг от друга.

Аргумент один: так безопаснее для самих юзеров.

 

1) Личная безопасность юзеров - это их личная головная боль.

 

2) Сейчас не актуально. У каждого дома стоит wifi роутер с мало мальским firewall. Было актуально, во времена прямого подключения провода в комп с XP. Даже если провод воткнут прямо в хост - у каждого установлен в обязательном порядке антивирус и firewall.

 

3) если сейчас есть какой то локальный трафик, DC хабы и еще что-то, оно или сломается (минус репутации), или этот трафик пойдет через вашего аплинка. (минус копеечка)(см выше).

[snvoronkov]

1) Личная безопасность юзеров - это их личная головная боль.

 

2) Сейчас не актуально. У каждого дома стоит wifi роутер с мало мальским firewall. Было актуально, во времена прямого подключения провода в комп с XP. Даже если провод воткнут прямо в хост - у каждого установлен в обязательном порядке антивирус и firewall.

У как все плохо-то с фактологией...

 

Безопастность абонента - и наш головняк тоже!

 

Взломаные роутеры некисло могут положить и днс-сервера, и даже аплинки.

 

Полоумных без антивиря с проводом в "мегазащищенный" комп - пруд пруди. По полдюжины с тыщи активных пользователей в месяц натикивает.

[SergoINFOLAN]

+1

[Ivan_83]

Раздача своего инета внутри сети, как вариант. Изолировать по принципу белого списка.

Это экономически не выгодно так его раздавать.

А тех кто за инет не заплатил и так нужно отключать / в спец влан сажать.

 

Если есть услуги типа IPTV то нужно как-то бороться с тем, что один купит услугу и будет ретранслировать в локалку. Особенно если это например студенческое общежитие, а не дом-новостройка. (Я как раз в общежитии делал фильтрование как раз на этот случай, хотя IPTV мультикастом так и не сделали в итоге).

Вы эти раздачи видели?

На ущербном роутере udpxy расшаривается в сеть, после 2-5 смотрящего роутер начинает задыхаться и картинка сыпется.

Если это раздача с компа, то аплинк обычно быстро кончается.

 

Взломаные роутеры некисло могут положить и днс-сервера, и даже аплинки.

Их с интернета боты пачками ломают, в локалках ума хватает не гадить, либо ума на гадости не хватает.

 

Полоумных без антивиря с проводом в "мегазащищенный" комп - пруд пруди. По полдюжины с тыщи активных пользователей в месяц натикивает.

Это опять же не коррелирует с локалкой.

[stas_k]

Безопастность абонента - и наш головняк тоже!

 

Взломаные роутеры некисло могут положить и днс-сервера, и даже аплинки.

 

Полоумных без антивиря с проводом в "мегазащищенный" комп - пруд пруди. По полдюжины с тыщи активных пользователей в месяц натикивает.

 

роутер ломается из lan клиента. с компа клиента. из браузера клиента. яваскриптом во фрейме на страничке или флешбанером 1х1 пиксель. легко и быстро. это еще более легко потому, что обычно в этом же браузере сохранены логин и пароль. никакой провайдерский firewall\dpi не защитит.

 

рассказы про взлом бытовых роутеров по wan я отношу к недобросовестной рекламе от конкурентов производителей железок.

 

полдюжины с тышши - это 6 человек. 0.6 процентов? если так беспокоит их безопасность - подарите им лицензионную винду и антивирус.

[20512]

Мы фильтруем по умолчанию.

Юриков соединяем по Влан за денюжку.

Физиков за так.

Ибо таких только два....

[snvoronkov]

рассказы про взлом бытовых роутеров по wan я отношу к недобросовестной рекламе от конкурентов производителей железок.

Ща я ей займусь. Добросовестно. :-)

 

С середины весны. Не менее 5 штук каждого случая:

1) ubnt/ubnt. Крутой-же роутер. Пароль менять не просил, значит, не надо.

2) admin/admin. Таким dns меняют. На что-то, что перенаправляет на фишинговые сайты.

3) ZyNOS и его потомки. Там урлом днс меняются. Просто сходи на адрес и настройка новая.

...

Ко всем на пробу зашел сам. Извне. Коли пускают, чего не зайти-то?

 

Изоляция таких орлов друг от дружки их, конечно, не спасет. Меня просто сам девиз, что "проблемы индейцев шерифа не волнуют" возмутил. Гиков среди пользователей уже мало.

 

Не хотите чтоб убегали - помогайте хотья-бы советом. :-)

[Heggi]

 

Изоляция таких орлов друг от дружки их, конечно, не спасет.

 

Вот как раз спасет. Ибо если у абона только серый адрес и он изолирован от остальной серой массы (где может оказаться школо-хакер, да не один), то ломать его дырявый роутер будет тупо некому.