Heggi Опубликовано 16 сентября, 2015 Сеть овер 6к (онлайн) абонентов, IPoE vlan-per-user, по дефолту серые адреса у всех (белые за отдельную денюжку). Сейчас абонент с серым IP спокойно может достучаться до другого абонента с серым IP, однако официального внутрисетевого p2p нет (даже ретрекера нет). Начальство желает их изолировать друг от друга. Аргумент один: так безопаснее для самих юзеров. Интересно услышать мнения коллег по этому вопросу. изолировать или нет? Если не изолировать, то как обосновать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 сентября, 2015 Тут начальство должно обосновать свой аргумент. Безопасность чего - сохо роутеров? От кого от чего, от других роутеров? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 16 сентября, 2015 Вероятно от внутренних потенциальных хакеров и вирусов-ботов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
White_Alex Опубликовано 16 сентября, 2015 Фильтруем только ms-netbios и ему родственную фигню между своими хомячками. Остальное им доступно. Да и не дело это, лишать людей локалки Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 16 сентября, 2015 Мы не изолируем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 сентября, 2015 Вероятно от внутренних потенциальных хакеров и вирусов-ботов Нахрена хакерам роутеры 6к абонов, если в интернете их насканить десятки миллионов можно. А вирусы боты с компа за роутером что сканить будут, сетку .0/24 ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KaraVan Опубликовано 16 сентября, 2015 Раздача своего инета внутри сети, как вариант. Изолировать по принципу белого списка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 16 сентября, 2015 Начальству видимо кто то нассал в уши про безопасность, а сами они не разбираются. Если у Вас vlan per user - клиенты и так изолированы друг от друга и доступны только на L3 уровне. Изолировать клиентов имеет смысл, но при другой схеме, на L2. Но - если начальство просит - можно изолировать, это ничего не изменит вообще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 16 сентября, 2015 ну почему же ничего не изменится. аплинки начнут нормально "работать") и денежку дополнительную жрать или не будут? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 16 сентября, 2015 Про "аплинков" тут речи нет. Они может и есть, но их мало и на общем фоне вообще не заметны. Больше походу боятся вирусов всяких... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 16 сентября, 2015 Heggi я в том контексте что п2п сейчас ходит (а кстати считается этот трафик?) между юзерами внутри, а ломанется в внешку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 сентября, 2015 Да что там ходит если ретрекера нет. Мелочь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 16 сентября, 2015 Фильтруем только ms-netbios и ему родственную фигню между своими хомячками. Остальное им доступно. Да и не дело это, лишать людей локалки +1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
random7 Опубликовано 16 сентября, 2015 Если есть услуги типа IPTV то нужно как-то бороться с тем, что один купит услугу и будет ретранслировать в локалку. Особенно если это например студенческое общежитие, а не дом-новостройка. (Я как раз в общежитии делал фильтрование как раз на этот случай, хотя IPTV мультикастом так и не сделали в итоге). Пока никто из абонентов не возмутился отсутствием локалки - видимо им и не надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 16 сентября, 2015 Фильтруем только ms-netbios и ему родственную фигню между своими хомячками. Остальное им доступно. Да и не дело это, лишать людей локалки +1 И в принципе не жалуются... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 16 сентября, 2015 по дефолту серые адреса у всех (белые за отдельную денюжку). + изолировать или нет? Если не изолировать, то как обосновать? Категорически НЕТ! Можно потерять часть гиков и юрлиц. У нас 99% домов в одном городе подключено, многие юрлица используют локальную сеть для связи между офисами. Плюс многим удобно подключаться на работу с дома или наоборот. Одно дело, если бы у вас изначально не было доступа или только белые адреса или белые бесплатно... А в такой схеме взять и отобрать - профита 0, а негатив будет, хоть и небольшой. Основной массе, конечно, плевать, но сарафанное радио пострадает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergoINFOLAN Опубликовано 16 сентября, 2015 Пока никто из абонентов не возмутился отсутствием локалки - видимо им и не надо.тут абы решают! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 16 сентября, 2015 Если есть услуги типа IPTV то нужно как-то бороться с тем, что один купит услугу и будет ретранслировать в локалку. Сколько он там на ретранслирует? одному-двум приятелям, поиграются поглючат и перестанут. В коммерческом масштабе это быстро выявится по всплеску трафика и можно будет персонально разбираться.. Категорически НЕТ! Можно потерять часть гиков и юрлиц. У нас 99% домов в одном городе подключено, многие юрлица используют локальную сеть для связи между офисами. Плюс многим удобно подключаться на работу с дома или наоборот. Это да, сам пользуюсь активно, очень удобно. Локалка 100мбит. Если трафик запустить по белым адресам оно ляжет на процессор бордера, трафикшейпера, НАТ и в карман аплинка пойдет копеечка по сути за локальный трафик, который в идеале должен был бы остаться "внутри дома". Начальство желает их изолировать друг от друга.Аргумент один: так безопаснее для самих юзеров. 1) Личная безопасность юзеров - это их личная головная боль. 2) Сейчас не актуально. У каждого дома стоит wifi роутер с мало мальским firewall. Было актуально, во времена прямого подключения провода в комп с XP. Даже если провод воткнут прямо в хост - у каждого установлен в обязательном порядке антивирус и firewall. 3) если сейчас есть какой то локальный трафик, DC хабы и еще что-то, оно или сломается (минус репутации), или этот трафик пойдет через вашего аплинка. (минус копеечка)(см выше). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 16 сентября, 2015 1) Личная безопасность юзеров - это их личная головная боль. 2) Сейчас не актуально. У каждого дома стоит wifi роутер с мало мальским firewall. Было актуально, во времена прямого подключения провода в комп с XP. Даже если провод воткнут прямо в хост - у каждого установлен в обязательном порядке антивирус и firewall. У как все плохо-то с фактологией... Безопастность абонента - и наш головняк тоже! Взломаные роутеры некисло могут положить и днс-сервера, и даже аплинки. Полоумных без антивиря с проводом в "мегазащищенный" комп - пруд пруди. По полдюжины с тыщи активных пользователей в месяц натикивает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergoINFOLAN Опубликовано 16 сентября, 2015 +1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 16 сентября, 2015 Раздача своего инета внутри сети, как вариант. Изолировать по принципу белого списка. Это экономически не выгодно так его раздавать. А тех кто за инет не заплатил и так нужно отключать / в спец влан сажать. Если есть услуги типа IPTV то нужно как-то бороться с тем, что один купит услугу и будет ретранслировать в локалку. Особенно если это например студенческое общежитие, а не дом-новостройка. (Я как раз в общежитии делал фильтрование как раз на этот случай, хотя IPTV мультикастом так и не сделали в итоге). Вы эти раздачи видели? На ущербном роутере udpxy расшаривается в сеть, после 2-5 смотрящего роутер начинает задыхаться и картинка сыпется. Если это раздача с компа, то аплинк обычно быстро кончается. Взломаные роутеры некисло могут положить и днс-сервера, и даже аплинки. Их с интернета боты пачками ломают, в локалках ума хватает не гадить, либо ума на гадости не хватает. Полоумных без антивиря с проводом в "мегазащищенный" комп - пруд пруди. По полдюжины с тыщи активных пользователей в месяц натикивает. Это опять же не коррелирует с локалкой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 16 сентября, 2015 Безопастность абонента - и наш головняк тоже! Взломаные роутеры некисло могут положить и днс-сервера, и даже аплинки. Полоумных без антивиря с проводом в "мегазащищенный" комп - пруд пруди. По полдюжины с тыщи активных пользователей в месяц натикивает. роутер ломается из lan клиента. с компа клиента. из браузера клиента. яваскриптом во фрейме на страничке или флешбанером 1х1 пиксель. легко и быстро. это еще более легко потому, что обычно в этом же браузере сохранены логин и пароль. никакой провайдерский firewall\dpi не защитит. рассказы про взлом бытовых роутеров по wan я отношу к недобросовестной рекламе от конкурентов производителей железок. полдюжины с тышши - это 6 человек. 0.6 процентов? если так беспокоит их безопасность - подарите им лицензионную винду и антивирус. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
20512 Опубликовано 16 сентября, 2015 Мы фильтруем по умолчанию. Юриков соединяем по Влан за денюжку. Физиков за так. Ибо таких только два.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 17 сентября, 2015 рассказы про взлом бытовых роутеров по wan я отношу к недобросовестной рекламе от конкурентов производителей железок. Ща я ей займусь. Добросовестно. :-) С середины весны. Не менее 5 штук каждого случая: 1) ubnt/ubnt. Крутой-же роутер. Пароль менять не просил, значит, не надо. 2) admin/admin. Таким dns меняют. На что-то, что перенаправляет на фишинговые сайты. 3) ZyNOS и его потомки. Там урлом днс меняются. Просто сходи на адрес и настройка новая. ... Ко всем на пробу зашел сам. Извне. Коли пускают, чего не зайти-то? Изоляция таких орлов друг от дружки их, конечно, не спасет. Меня просто сам девиз, что "проблемы индейцев шерифа не волнуют" возмутил. Гиков среди пользователей уже мало. Не хотите чтоб убегали - помогайте хотья-бы советом. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 17 сентября, 2015 Изоляция таких орлов друг от дружки их, конечно, не спасет. Вот как раз спасет. Ибо если у абона только серый адрес и он изолирован от остальной серой массы (где может оказаться школо-хакер, да не один), то ломать его дырявый роутер будет тупо некому. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...