Jump to content
Калькуляторы

А вы фильтруете серых юзеров друг от друга? Зачем, почему?

Reply to this topic

Heggi   

Heggi
Posted

Сеть овер 6к (онлайн) абонентов, IPoE vlan-per-user, по дефолту серые адреса у всех (белые за отдельную денюжку).

Сейчас абонент с серым IP спокойно может достучаться до другого абонента с серым IP, однако официального внутрисетевого p2p нет (даже ретрекера нет).

 

Начальство желает их изолировать друг от друга.

Аргумент один: так безопаснее для самих юзеров.

 

Интересно услышать мнения коллег по этому вопросу.

изолировать или нет?

Если не изолировать, то как обосновать?

Share this post

Link to post
Share on other sites

disappointed   

disappointed
Posted

Тут начальство должно обосновать свой аргумент.

Безопасность чего - сохо роутеров? От кого от чего, от других роутеров?

Share this post

Link to post
Share on other sites

White_Alex   

White_Alex
Posted

Фильтруем только ms-netbios и ему родственную фигню между своими хомячками. Остальное им доступно. Да и не дело это, лишать людей локалки

Share this post

Link to post
Share on other sites

disappointed   

disappointed
Posted
Вероятно от внутренних потенциальных хакеров и вирусов-ботов

Нахрена хакерам роутеры 6к абонов, если в интернете их насканить десятки миллионов можно.

А вирусы боты с компа за роутером что сканить будут, сетку .0/24 )

Share this post

Link to post
Share on other sites

KaraVan   

KaraVan
Posted

Раздача своего инета внутри сети, как вариант.

Изолировать по принципу белого списка.

Share this post

Link to post
Share on other sites

Negator   

Negator
Posted

Начальству видимо кто то нассал в уши про безопасность, а сами они не разбираются.

Если у Вас vlan per user - клиенты и так изолированы друг от друга и доступны только на L3 уровне.

Изолировать клиентов имеет смысл, но при другой схеме, на L2.

 

Но - если начальство просит - можно изолировать, это ничего не изменит вообще.

Share this post

Link to post
Share on other sites

karpa13a   

karpa13a
Posted

ну почему же ничего не изменится.

аплинки начнут нормально "работать") и денежку дополнительную жрать

или не будут?

Share this post

Link to post
Share on other sites

Heggi   

Heggi
Posted

Про "аплинков" тут речи нет. Они может и есть, но их мало и на общем фоне вообще не заметны.

Больше походу боятся вирусов всяких...

Share this post

Link to post
Share on other sites

karpa13a   

karpa13a
Posted

Heggi я в том контексте что п2п сейчас ходит (а кстати считается этот трафик?) между юзерами внутри, а ломанется в внешку.

Share this post

Link to post
Share on other sites

pppoetest   

pppoetest
Posted

Фильтруем только ms-netbios и ему родственную фигню между своими хомячками. Остальное им доступно. Да и не дело это, лишать людей локалки

+1

Share this post

Link to post
Share on other sites

random7   

random7
Posted

Если есть услуги типа IPTV то нужно как-то бороться с тем, что один купит услугу и будет ретранслировать в локалку. Особенно если это например студенческое общежитие, а не дом-новостройка. (Я как раз в общежитии делал фильтрование как раз на этот случай, хотя IPTV мультикастом так и не сделали в итоге).

 

Пока никто из абонентов не возмутился отсутствием локалки - видимо им и не надо.

Share this post

Link to post
Share on other sites

Tosha   

Tosha
Posted

Фильтруем только ms-netbios и ему родственную фигню между своими хомячками. Остальное им доступно. Да и не дело это, лишать людей локалки

+1

 

И в принципе не жалуются...

Share this post

Link to post
Share on other sites

xcme   

xcme
Posted

по дефолту серые адреса у всех (белые за отдельную денюжку).

+

изолировать или нет?

Если не изолировать, то как обосновать?

Категорически НЕТ! Можно потерять часть гиков и юрлиц. У нас 99% домов в одном городе подключено, многие юрлица используют локальную сеть для связи между офисами. Плюс многим удобно подключаться на работу с дома или наоборот.

Одно дело, если бы у вас изначально не было доступа или только белые адреса или белые бесплатно... А в такой схеме взять и отобрать - профита 0, а негатив будет, хоть и небольшой. Основной массе, конечно, плевать, но сарафанное радио пострадает.

Share this post

Link to post
Share on other sites

stas_k   

stas_k
Posted
Если есть услуги типа IPTV то нужно как-то бороться с тем, что один купит услугу и будет ретранслировать в локалку.

Сколько он там на ретранслирует? одному-двум приятелям, поиграются поглючат и перестанут.

 

В коммерческом масштабе это быстро выявится по всплеску трафика и можно будет персонально разбираться..

 

Категорически НЕТ! Можно потерять часть гиков и юрлиц. У нас 99% домов в одном городе подключено, многие юрлица используют локальную сеть для связи между офисами. Плюс многим удобно подключаться на работу с дома или наоборот.

Это да, сам пользуюсь активно, очень удобно. Локалка 100мбит.

 

Если трафик запустить по белым адресам оно ляжет на процессор бордера, трафикшейпера, НАТ и в карман аплинка пойдет копеечка по сути за локальный трафик, который в идеале должен был бы остаться "внутри дома".

 

Начальство желает их изолировать друг от друга.

Аргумент один: так безопаснее для самих юзеров.

 

1) Личная безопасность юзеров - это их личная головная боль.

 

2) Сейчас не актуально. У каждого дома стоит wifi роутер с мало мальским firewall. Было актуально, во времена прямого подключения провода в комп с XP. Даже если провод воткнут прямо в хост - у каждого установлен в обязательном порядке антивирус и firewall.

 

3) если сейчас есть какой то локальный трафик, DC хабы и еще что-то, оно или сломается (минус репутации), или этот трафик пойдет через вашего аплинка. (минус копеечка)(см выше).

Share this post

Link to post
Share on other sites

snvoronkov   

snvoronkov
Posted

1) Личная безопасность юзеров - это их личная головная боль.

 

2) Сейчас не актуально. У каждого дома стоит wifi роутер с мало мальским firewall. Было актуально, во времена прямого подключения провода в комп с XP. Даже если провод воткнут прямо в хост - у каждого установлен в обязательном порядке антивирус и firewall.

У как все плохо-то с фактологией...

 

Безопастность абонента - и наш головняк тоже!

 

Взломаные роутеры некисло могут положить и днс-сервера, и даже аплинки.

 

Полоумных без антивиря с проводом в "мегазащищенный" комп - пруд пруди. По полдюжины с тыщи активных пользователей в месяц натикивает.

Share this post

Link to post
Share on other sites

Ivan_83   

Ivan_83
Posted
Раздача своего инета внутри сети, как вариант. Изолировать по принципу белого списка.

Это экономически не выгодно так его раздавать.

А тех кто за инет не заплатил и так нужно отключать / в спец влан сажать.

 

Если есть услуги типа IPTV то нужно как-то бороться с тем, что один купит услугу и будет ретранслировать в локалку. Особенно если это например студенческое общежитие, а не дом-новостройка. (Я как раз в общежитии делал фильтрование как раз на этот случай, хотя IPTV мультикастом так и не сделали в итоге).

Вы эти раздачи видели?

На ущербном роутере udpxy расшаривается в сеть, после 2-5 смотрящего роутер начинает задыхаться и картинка сыпется.

Если это раздача с компа, то аплинк обычно быстро кончается.

 

Взломаные роутеры некисло могут положить и днс-сервера, и даже аплинки.

Их с интернета боты пачками ломают, в локалках ума хватает не гадить, либо ума на гадости не хватает.

 

Полоумных без антивиря с проводом в "мегазащищенный" комп - пруд пруди. По полдюжины с тыщи активных пользователей в месяц натикивает.

Это опять же не коррелирует с локалкой.

Share this post

Link to post
Share on other sites

stas_k   

stas_k
Posted
Безопастность абонента - и наш головняк тоже!

 

Взломаные роутеры некисло могут положить и днс-сервера, и даже аплинки.

 

Полоумных без антивиря с проводом в "мегазащищенный" комп - пруд пруди. По полдюжины с тыщи активных пользователей в месяц натикивает.

 

роутер ломается из lan клиента. с компа клиента. из браузера клиента. яваскриптом во фрейме на страничке или флешбанером 1х1 пиксель. легко и быстро. это еще более легко потому, что обычно в этом же браузере сохранены логин и пароль. никакой провайдерский firewall\dpi не защитит.

 

рассказы про взлом бытовых роутеров по wan я отношу к недобросовестной рекламе от конкурентов производителей железок.

 

полдюжины с тышши - это 6 человек. 0.6 процентов? если так беспокоит их безопасность - подарите им лицензионную винду и антивирус.

Share this post

Link to post
Share on other sites

snvoronkov   

snvoronkov
Posted

рассказы про взлом бытовых роутеров по wan я отношу к недобросовестной рекламе от конкурентов производителей железок.

Ща я ей займусь. Добросовестно. :-)

 

С середины весны. Не менее 5 штук каждого случая:

1) ubnt/ubnt. Крутой-же роутер. Пароль менять не просил, значит, не надо.

2) admin/admin. Таким dns меняют. На что-то, что перенаправляет на фишинговые сайты.

3) ZyNOS и его потомки. Там урлом днс меняются. Просто сходи на адрес и настройка новая.

...

Ко всем на пробу зашел сам. Извне. Коли пускают, чего не зайти-то?

 

Изоляция таких орлов друг от дружки их, конечно, не спасет. Меня просто сам девиз, что "проблемы индейцев шерифа не волнуют" возмутил. Гиков среди пользователей уже мало.

 

Не хотите чтоб убегали - помогайте хотья-бы советом. :-)

Share this post

Link to post
Share on other sites

Heggi   

Heggi
Posted

 

Изоляция таких орлов друг от дружки их, конечно, не спасет.

 

Вот как раз спасет. Ибо если у абона только серый адрес и он изолирован от остальной серой массы (где может оказаться школо-хакер, да не один), то ломать его дырявый роутер будет тупо некому.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing У нага