Jump to content

А вы фильтруете серых юзеров друг от друга?

Heggi

By Heggi
in У нага

 Share

Recommended Posts

Heggi

Heggi

Posted
Posted

Сеть овер 6к (онлайн) абонентов, IPoE vlan-per-user, по дефолту серые адреса у всех (белые за отдельную денюжку).

Сейчас абонент с серым IP спокойно может достучаться до другого абонента с серым IP, однако официального внутрисетевого p2p нет (даже ретрекера нет).

 

Начальство желает их изолировать друг от друга.

Аргумент один: так безопаснее для самих юзеров.

 

Интересно услышать мнения коллег по этому вопросу.

изолировать или нет?

Если не изолировать, то как обосновать?

  • Replies 51
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

White_Alex

White_Alex

Posted
Posted

Фильтруем только ms-netbios и ему родственную фигню между своими хомячками. Остальное им доступно. Да и не дело это, лишать людей локалки

disappointed

disappointed

Posted
Posted
Вероятно от внутренних потенциальных хакеров и вирусов-ботов

Нахрена хакерам роутеры 6к абонов, если в интернете их насканить десятки миллионов можно.

А вирусы боты с компа за роутером что сканить будут, сетку .0/24 )

Negator

Negator

Posted
Posted

Начальству видимо кто то нассал в уши про безопасность, а сами они не разбираются.

Если у Вас vlan per user - клиенты и так изолированы друг от друга и доступны только на L3 уровне.

Изолировать клиентов имеет смысл, но при другой схеме, на L2.

 

Но - если начальство просит - можно изолировать, это ничего не изменит вообще.

Heggi

Heggi

Posted
  • Author
Posted

Про "аплинков" тут речи нет. Они может и есть, но их мало и на общем фоне вообще не заметны.

Больше походу боятся вирусов всяких...

pppoetest

pppoetest

Posted
Posted

Фильтруем только ms-netbios и ему родственную фигню между своими хомячками. Остальное им доступно. Да и не дело это, лишать людей локалки

+1

random7

random7

Posted
Posted

Если есть услуги типа IPTV то нужно как-то бороться с тем, что один купит услугу и будет ретранслировать в локалку. Особенно если это например студенческое общежитие, а не дом-новостройка. (Я как раз в общежитии делал фильтрование как раз на этот случай, хотя IPTV мультикастом так и не сделали в итоге).

 

Пока никто из абонентов не возмутился отсутствием локалки - видимо им и не надо.

Tosha

Tosha

Posted
Posted

Фильтруем только ms-netbios и ему родственную фигню между своими хомячками. Остальное им доступно. Да и не дело это, лишать людей локалки

+1

 

И в принципе не жалуются...

xcme

xcme

Posted
Posted

по дефолту серые адреса у всех (белые за отдельную денюжку).

+

изолировать или нет?

Если не изолировать, то как обосновать?

Категорически НЕТ! Можно потерять часть гиков и юрлиц. У нас 99% домов в одном городе подключено, многие юрлица используют локальную сеть для связи между офисами. Плюс многим удобно подключаться на работу с дома или наоборот.

Одно дело, если бы у вас изначально не было доступа или только белые адреса или белые бесплатно... А в такой схеме взять и отобрать - профита 0, а негатив будет, хоть и небольшой. Основной массе, конечно, плевать, но сарафанное радио пострадает.

stas_k

stas_k

Posted
Posted
Если есть услуги типа IPTV то нужно как-то бороться с тем, что один купит услугу и будет ретранслировать в локалку.

Сколько он там на ретранслирует? одному-двум приятелям, поиграются поглючат и перестанут.

 

В коммерческом масштабе это быстро выявится по всплеску трафика и можно будет персонально разбираться..

 

Категорически НЕТ! Можно потерять часть гиков и юрлиц. У нас 99% домов в одном городе подключено, многие юрлица используют локальную сеть для связи между офисами. Плюс многим удобно подключаться на работу с дома или наоборот.

Это да, сам пользуюсь активно, очень удобно. Локалка 100мбит.

 

Если трафик запустить по белым адресам оно ляжет на процессор бордера, трафикшейпера, НАТ и в карман аплинка пойдет копеечка по сути за локальный трафик, который в идеале должен был бы остаться "внутри дома".

 

Начальство желает их изолировать друг от друга.

Аргумент один: так безопаснее для самих юзеров.

 

1) Личная безопасность юзеров - это их личная головная боль.

 

2) Сейчас не актуально. У каждого дома стоит wifi роутер с мало мальским firewall. Было актуально, во времена прямого подключения провода в комп с XP. Даже если провод воткнут прямо в хост - у каждого установлен в обязательном порядке антивирус и firewall.

 

3) если сейчас есть какой то локальный трафик, DC хабы и еще что-то, оно или сломается (минус репутации), или этот трафик пойдет через вашего аплинка. (минус копеечка)(см выше).

snvoronkov

snvoronkov

Posted
Posted

1) Личная безопасность юзеров - это их личная головная боль.

 

2) Сейчас не актуально. У каждого дома стоит wifi роутер с мало мальским firewall. Было актуально, во времена прямого подключения провода в комп с XP. Даже если провод воткнут прямо в хост - у каждого установлен в обязательном порядке антивирус и firewall.

У как все плохо-то с фактологией...

 

Безопастность абонента - и наш головняк тоже!

 

Взломаные роутеры некисло могут положить и днс-сервера, и даже аплинки.

 

Полоумных без антивиря с проводом в "мегазащищенный" комп - пруд пруди. По полдюжины с тыщи активных пользователей в месяц натикивает.

Ivan_83

Ivan_83

Posted
Posted
Раздача своего инета внутри сети, как вариант. Изолировать по принципу белого списка.

Это экономически не выгодно так его раздавать.

А тех кто за инет не заплатил и так нужно отключать / в спец влан сажать.

 

Если есть услуги типа IPTV то нужно как-то бороться с тем, что один купит услугу и будет ретранслировать в локалку. Особенно если это например студенческое общежитие, а не дом-новостройка. (Я как раз в общежитии делал фильтрование как раз на этот случай, хотя IPTV мультикастом так и не сделали в итоге).

Вы эти раздачи видели?

На ущербном роутере udpxy расшаривается в сеть, после 2-5 смотрящего роутер начинает задыхаться и картинка сыпется.

Если это раздача с компа, то аплинк обычно быстро кончается.

 

Взломаные роутеры некисло могут положить и днс-сервера, и даже аплинки.

Их с интернета боты пачками ломают, в локалках ума хватает не гадить, либо ума на гадости не хватает.

 

Полоумных без антивиря с проводом в "мегазащищенный" комп - пруд пруди. По полдюжины с тыщи активных пользователей в месяц натикивает.

Это опять же не коррелирует с локалкой.

stas_k

stas_k

Posted
Posted
Безопастность абонента - и наш головняк тоже!

 

Взломаные роутеры некисло могут положить и днс-сервера, и даже аплинки.

 

Полоумных без антивиря с проводом в "мегазащищенный" комп - пруд пруди. По полдюжины с тыщи активных пользователей в месяц натикивает.

 

роутер ломается из lan клиента. с компа клиента. из браузера клиента. яваскриптом во фрейме на страничке или флешбанером 1х1 пиксель. легко и быстро. это еще более легко потому, что обычно в этом же браузере сохранены логин и пароль. никакой провайдерский firewall\dpi не защитит.

 

рассказы про взлом бытовых роутеров по wan я отношу к недобросовестной рекламе от конкурентов производителей железок.

 

полдюжины с тышши - это 6 человек. 0.6 процентов? если так беспокоит их безопасность - подарите им лицензионную винду и антивирус.

snvoronkov

snvoronkov

Posted
Posted

рассказы про взлом бытовых роутеров по wan я отношу к недобросовестной рекламе от конкурентов производителей железок.

Ща я ей займусь. Добросовестно. :-)

 

С середины весны. Не менее 5 штук каждого случая:

1) ubnt/ubnt. Крутой-же роутер. Пароль менять не просил, значит, не надо.

2) admin/admin. Таким dns меняют. На что-то, что перенаправляет на фишинговые сайты.

3) ZyNOS и его потомки. Там урлом днс меняются. Просто сходи на адрес и настройка новая.

...

Ко всем на пробу зашел сам. Извне. Коли пускают, чего не зайти-то?

 

Изоляция таких орлов друг от дружки их, конечно, не спасет. Меня просто сам девиз, что "проблемы индейцев шерифа не волнуют" возмутил. Гиков среди пользователей уже мало.

 

Не хотите чтоб убегали - помогайте хотья-бы советом. :-)

Heggi

Heggi

Posted
  • Author
Posted

 

Изоляция таких орлов друг от дружки их, конечно, не спасет.

 

Вот как раз спасет. Ибо если у абона только серый адрес и он изолирован от остальной серой массы (где может оказаться школо-хакер, да не один), то ломать его дырявый роутер будет тупо некому.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.