Jump to content
Калькуляторы

А вы фильтруете серых юзеров друг от друга? Зачем, почему?

Сеть овер 6к (онлайн) абонентов, IPoE vlan-per-user, по дефолту серые адреса у всех (белые за отдельную денюжку).

Сейчас абонент с серым IP спокойно может достучаться до другого абонента с серым IP, однако официального внутрисетевого p2p нет (даже ретрекера нет).

 

Начальство желает их изолировать друг от друга.

Аргумент один: так безопаснее для самих юзеров.

 

Интересно услышать мнения коллег по этому вопросу.

изолировать или нет?

Если не изолировать, то как обосновать?

Share this post


Link to post
Share on other sites

Тут начальство должно обосновать свой аргумент.

Безопасность чего - сохо роутеров? От кого от чего, от других роутеров?

Share this post


Link to post
Share on other sites

Вероятно от внутренних потенциальных хакеров и вирусов-ботов

Share this post


Link to post
Share on other sites

Фильтруем только ms-netbios и ему родственную фигню между своими хомячками. Остальное им доступно. Да и не дело это, лишать людей локалки

Share this post


Link to post
Share on other sites
Вероятно от внутренних потенциальных хакеров и вирусов-ботов

Нахрена хакерам роутеры 6к абонов, если в интернете их насканить десятки миллионов можно.

А вирусы боты с компа за роутером что сканить будут, сетку .0/24 )

Share this post


Link to post
Share on other sites

Раздача своего инета внутри сети, как вариант.

Изолировать по принципу белого списка.

Share this post


Link to post
Share on other sites

Начальству видимо кто то нассал в уши про безопасность, а сами они не разбираются.

Если у Вас vlan per user - клиенты и так изолированы друг от друга и доступны только на L3 уровне.

Изолировать клиентов имеет смысл, но при другой схеме, на L2.

 

Но - если начальство просит - можно изолировать, это ничего не изменит вообще.

Share this post


Link to post
Share on other sites

ну почему же ничего не изменится.

аплинки начнут нормально "работать") и денежку дополнительную жрать

или не будут?

Share this post


Link to post
Share on other sites

Про "аплинков" тут речи нет. Они может и есть, но их мало и на общем фоне вообще не заметны.

Больше походу боятся вирусов всяких...

Share this post


Link to post
Share on other sites

Heggi я в том контексте что п2п сейчас ходит (а кстати считается этот трафик?) между юзерами внутри, а ломанется в внешку.

Share this post


Link to post
Share on other sites

Фильтруем только ms-netbios и ему родственную фигню между своими хомячками. Остальное им доступно. Да и не дело это, лишать людей локалки

+1

Share this post


Link to post
Share on other sites

Если есть услуги типа IPTV то нужно как-то бороться с тем, что один купит услугу и будет ретранслировать в локалку. Особенно если это например студенческое общежитие, а не дом-новостройка. (Я как раз в общежитии делал фильтрование как раз на этот случай, хотя IPTV мультикастом так и не сделали в итоге).

 

Пока никто из абонентов не возмутился отсутствием локалки - видимо им и не надо.

Share this post


Link to post
Share on other sites

Фильтруем только ms-netbios и ему родственную фигню между своими хомячками. Остальное им доступно. Да и не дело это, лишать людей локалки

+1

 

И в принципе не жалуются...

Share this post


Link to post
Share on other sites

по дефолту серые адреса у всех (белые за отдельную денюжку).

+

изолировать или нет?

Если не изолировать, то как обосновать?

Категорически НЕТ! Можно потерять часть гиков и юрлиц. У нас 99% домов в одном городе подключено, многие юрлица используют локальную сеть для связи между офисами. Плюс многим удобно подключаться на работу с дома или наоборот.

Одно дело, если бы у вас изначально не было доступа или только белые адреса или белые бесплатно... А в такой схеме взять и отобрать - профита 0, а негатив будет, хоть и небольшой. Основной массе, конечно, плевать, но сарафанное радио пострадает.

Share this post


Link to post
Share on other sites
Пока никто из абонентов не возмутился отсутствием локалки - видимо им и не надо.
тут абы решают!

Share this post


Link to post
Share on other sites
Если есть услуги типа IPTV то нужно как-то бороться с тем, что один купит услугу и будет ретранслировать в локалку.

Сколько он там на ретранслирует? одному-двум приятелям, поиграются поглючат и перестанут.

 

В коммерческом масштабе это быстро выявится по всплеску трафика и можно будет персонально разбираться..

 

Категорически НЕТ! Можно потерять часть гиков и юрлиц. У нас 99% домов в одном городе подключено, многие юрлица используют локальную сеть для связи между офисами. Плюс многим удобно подключаться на работу с дома или наоборот.

Это да, сам пользуюсь активно, очень удобно. Локалка 100мбит.

 

Если трафик запустить по белым адресам оно ляжет на процессор бордера, трафикшейпера, НАТ и в карман аплинка пойдет копеечка по сути за локальный трафик, который в идеале должен был бы остаться "внутри дома".

 

Начальство желает их изолировать друг от друга.

Аргумент один: так безопаснее для самих юзеров.

 

1) Личная безопасность юзеров - это их личная головная боль.

 

2) Сейчас не актуально. У каждого дома стоит wifi роутер с мало мальским firewall. Было актуально, во времена прямого подключения провода в комп с XP. Даже если провод воткнут прямо в хост - у каждого установлен в обязательном порядке антивирус и firewall.

 

3) если сейчас есть какой то локальный трафик, DC хабы и еще что-то, оно или сломается (минус репутации), или этот трафик пойдет через вашего аплинка. (минус копеечка)(см выше).

Share this post


Link to post
Share on other sites

1) Личная безопасность юзеров - это их личная головная боль.

 

2) Сейчас не актуально. У каждого дома стоит wifi роутер с мало мальским firewall. Было актуально, во времена прямого подключения провода в комп с XP. Даже если провод воткнут прямо в хост - у каждого установлен в обязательном порядке антивирус и firewall.

У как все плохо-то с фактологией...

 

Безопастность абонента - и наш головняк тоже!

 

Взломаные роутеры некисло могут положить и днс-сервера, и даже аплинки.

 

Полоумных без антивиря с проводом в "мегазащищенный" комп - пруд пруди. По полдюжины с тыщи активных пользователей в месяц натикивает.

Share this post


Link to post
Share on other sites
Раздача своего инета внутри сети, как вариант. Изолировать по принципу белого списка.

Это экономически не выгодно так его раздавать.

А тех кто за инет не заплатил и так нужно отключать / в спец влан сажать.

 

Если есть услуги типа IPTV то нужно как-то бороться с тем, что один купит услугу и будет ретранслировать в локалку. Особенно если это например студенческое общежитие, а не дом-новостройка. (Я как раз в общежитии делал фильтрование как раз на этот случай, хотя IPTV мультикастом так и не сделали в итоге).

Вы эти раздачи видели?

На ущербном роутере udpxy расшаривается в сеть, после 2-5 смотрящего роутер начинает задыхаться и картинка сыпется.

Если это раздача с компа, то аплинк обычно быстро кончается.

 

Взломаные роутеры некисло могут положить и днс-сервера, и даже аплинки.

Их с интернета боты пачками ломают, в локалках ума хватает не гадить, либо ума на гадости не хватает.

 

Полоумных без антивиря с проводом в "мегазащищенный" комп - пруд пруди. По полдюжины с тыщи активных пользователей в месяц натикивает.

Это опять же не коррелирует с локалкой.

Share this post


Link to post
Share on other sites
Безопастность абонента - и наш головняк тоже!

 

Взломаные роутеры некисло могут положить и днс-сервера, и даже аплинки.

 

Полоумных без антивиря с проводом в "мегазащищенный" комп - пруд пруди. По полдюжины с тыщи активных пользователей в месяц натикивает.

 

роутер ломается из lan клиента. с компа клиента. из браузера клиента. яваскриптом во фрейме на страничке или флешбанером 1х1 пиксель. легко и быстро. это еще более легко потому, что обычно в этом же браузере сохранены логин и пароль. никакой провайдерский firewall\dpi не защитит.

 

рассказы про взлом бытовых роутеров по wan я отношу к недобросовестной рекламе от конкурентов производителей железок.

 

полдюжины с тышши - это 6 человек. 0.6 процентов? если так беспокоит их безопасность - подарите им лицензионную винду и антивирус.

Share this post


Link to post
Share on other sites

Мы фильтруем по умолчанию.

Юриков соединяем по Влан за денюжку.

Физиков за так.

Ибо таких только два....

Share this post


Link to post
Share on other sites

рассказы про взлом бытовых роутеров по wan я отношу к недобросовестной рекламе от конкурентов производителей железок.

Ща я ей займусь. Добросовестно. :-)

 

С середины весны. Не менее 5 штук каждого случая:

1) ubnt/ubnt. Крутой-же роутер. Пароль менять не просил, значит, не надо.

2) admin/admin. Таким dns меняют. На что-то, что перенаправляет на фишинговые сайты.

3) ZyNOS и его потомки. Там урлом днс меняются. Просто сходи на адрес и настройка новая.

...

Ко всем на пробу зашел сам. Извне. Коли пускают, чего не зайти-то?

 

Изоляция таких орлов друг от дружки их, конечно, не спасет. Меня просто сам девиз, что "проблемы индейцев шерифа не волнуют" возмутил. Гиков среди пользователей уже мало.

 

Не хотите чтоб убегали - помогайте хотья-бы советом. :-)

Share this post


Link to post
Share on other sites

 

Изоляция таких орлов друг от дружки их, конечно, не спасет.

 

Вот как раз спасет. Ибо если у абона только серый адрес и он изолирован от остальной серой массы (где может оказаться школо-хакер, да не один), то ломать его дырявый роутер будет тупо некому.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this