Heggi Опубликовано 16 сентября, 2015 · Жалоба Сеть овер 6к (онлайн) абонентов, IPoE vlan-per-user, по дефолту серые адреса у всех (белые за отдельную денюжку). Сейчас абонент с серым IP спокойно может достучаться до другого абонента с серым IP, однако официального внутрисетевого p2p нет (даже ретрекера нет). Начальство желает их изолировать друг от друга. Аргумент один: так безопаснее для самих юзеров. Интересно услышать мнения коллег по этому вопросу. изолировать или нет? Если не изолировать, то как обосновать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 сентября, 2015 · Жалоба Тут начальство должно обосновать свой аргумент. Безопасность чего - сохо роутеров? От кого от чего, от других роутеров? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 16 сентября, 2015 · Жалоба Вероятно от внутренних потенциальных хакеров и вирусов-ботов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
White_Alex Опубликовано 16 сентября, 2015 · Жалоба Фильтруем только ms-netbios и ему родственную фигню между своими хомячками. Остальное им доступно. Да и не дело это, лишать людей локалки Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 16 сентября, 2015 · Жалоба Мы не изолируем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 сентября, 2015 · Жалоба Вероятно от внутренних потенциальных хакеров и вирусов-ботов Нахрена хакерам роутеры 6к абонов, если в интернете их насканить десятки миллионов можно. А вирусы боты с компа за роутером что сканить будут, сетку .0/24 ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KaraVan Опубликовано 16 сентября, 2015 · Жалоба Раздача своего инета внутри сети, как вариант. Изолировать по принципу белого списка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 16 сентября, 2015 · Жалоба Начальству видимо кто то нассал в уши про безопасность, а сами они не разбираются. Если у Вас vlan per user - клиенты и так изолированы друг от друга и доступны только на L3 уровне. Изолировать клиентов имеет смысл, но при другой схеме, на L2. Но - если начальство просит - можно изолировать, это ничего не изменит вообще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 16 сентября, 2015 · Жалоба ну почему же ничего не изменится. аплинки начнут нормально "работать") и денежку дополнительную жрать или не будут? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 16 сентября, 2015 · Жалоба Про "аплинков" тут речи нет. Они может и есть, но их мало и на общем фоне вообще не заметны. Больше походу боятся вирусов всяких... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 16 сентября, 2015 · Жалоба Heggi я в том контексте что п2п сейчас ходит (а кстати считается этот трафик?) между юзерами внутри, а ломанется в внешку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 16 сентября, 2015 · Жалоба Да что там ходит если ретрекера нет. Мелочь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 16 сентября, 2015 · Жалоба Фильтруем только ms-netbios и ему родственную фигню между своими хомячками. Остальное им доступно. Да и не дело это, лишать людей локалки +1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
random7 Опубликовано 16 сентября, 2015 · Жалоба Если есть услуги типа IPTV то нужно как-то бороться с тем, что один купит услугу и будет ретранслировать в локалку. Особенно если это например студенческое общежитие, а не дом-новостройка. (Я как раз в общежитии делал фильтрование как раз на этот случай, хотя IPTV мультикастом так и не сделали в итоге). Пока никто из абонентов не возмутился отсутствием локалки - видимо им и не надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 16 сентября, 2015 · Жалоба Фильтруем только ms-netbios и ему родственную фигню между своими хомячками. Остальное им доступно. Да и не дело это, лишать людей локалки +1 И в принципе не жалуются... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 16 сентября, 2015 · Жалоба по дефолту серые адреса у всех (белые за отдельную денюжку). + изолировать или нет? Если не изолировать, то как обосновать? Категорически НЕТ! Можно потерять часть гиков и юрлиц. У нас 99% домов в одном городе подключено, многие юрлица используют локальную сеть для связи между офисами. Плюс многим удобно подключаться на работу с дома или наоборот. Одно дело, если бы у вас изначально не было доступа или только белые адреса или белые бесплатно... А в такой схеме взять и отобрать - профита 0, а негатив будет, хоть и небольшой. Основной массе, конечно, плевать, но сарафанное радио пострадает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergoINFOLAN Опубликовано 16 сентября, 2015 · Жалоба Пока никто из абонентов не возмутился отсутствием локалки - видимо им и не надо.тут абы решают! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 16 сентября, 2015 · Жалоба Если есть услуги типа IPTV то нужно как-то бороться с тем, что один купит услугу и будет ретранслировать в локалку. Сколько он там на ретранслирует? одному-двум приятелям, поиграются поглючат и перестанут. В коммерческом масштабе это быстро выявится по всплеску трафика и можно будет персонально разбираться.. Категорически НЕТ! Можно потерять часть гиков и юрлиц. У нас 99% домов в одном городе подключено, многие юрлица используют локальную сеть для связи между офисами. Плюс многим удобно подключаться на работу с дома или наоборот. Это да, сам пользуюсь активно, очень удобно. Локалка 100мбит. Если трафик запустить по белым адресам оно ляжет на процессор бордера, трафикшейпера, НАТ и в карман аплинка пойдет копеечка по сути за локальный трафик, который в идеале должен был бы остаться "внутри дома". Начальство желает их изолировать друг от друга.Аргумент один: так безопаснее для самих юзеров. 1) Личная безопасность юзеров - это их личная головная боль. 2) Сейчас не актуально. У каждого дома стоит wifi роутер с мало мальским firewall. Было актуально, во времена прямого подключения провода в комп с XP. Даже если провод воткнут прямо в хост - у каждого установлен в обязательном порядке антивирус и firewall. 3) если сейчас есть какой то локальный трафик, DC хабы и еще что-то, оно или сломается (минус репутации), или этот трафик пойдет через вашего аплинка. (минус копеечка)(см выше). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 16 сентября, 2015 · Жалоба 1) Личная безопасность юзеров - это их личная головная боль. 2) Сейчас не актуально. У каждого дома стоит wifi роутер с мало мальским firewall. Было актуально, во времена прямого подключения провода в комп с XP. Даже если провод воткнут прямо в хост - у каждого установлен в обязательном порядке антивирус и firewall. У как все плохо-то с фактологией... Безопастность абонента - и наш головняк тоже! Взломаные роутеры некисло могут положить и днс-сервера, и даже аплинки. Полоумных без антивиря с проводом в "мегазащищенный" комп - пруд пруди. По полдюжины с тыщи активных пользователей в месяц натикивает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergoINFOLAN Опубликовано 16 сентября, 2015 · Жалоба +1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 16 сентября, 2015 · Жалоба Раздача своего инета внутри сети, как вариант. Изолировать по принципу белого списка. Это экономически не выгодно так его раздавать. А тех кто за инет не заплатил и так нужно отключать / в спец влан сажать. Если есть услуги типа IPTV то нужно как-то бороться с тем, что один купит услугу и будет ретранслировать в локалку. Особенно если это например студенческое общежитие, а не дом-новостройка. (Я как раз в общежитии делал фильтрование как раз на этот случай, хотя IPTV мультикастом так и не сделали в итоге). Вы эти раздачи видели? На ущербном роутере udpxy расшаривается в сеть, после 2-5 смотрящего роутер начинает задыхаться и картинка сыпется. Если это раздача с компа, то аплинк обычно быстро кончается. Взломаные роутеры некисло могут положить и днс-сервера, и даже аплинки. Их с интернета боты пачками ломают, в локалках ума хватает не гадить, либо ума на гадости не хватает. Полоумных без антивиря с проводом в "мегазащищенный" комп - пруд пруди. По полдюжины с тыщи активных пользователей в месяц натикивает. Это опять же не коррелирует с локалкой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 16 сентября, 2015 · Жалоба Безопастность абонента - и наш головняк тоже! Взломаные роутеры некисло могут положить и днс-сервера, и даже аплинки. Полоумных без антивиря с проводом в "мегазащищенный" комп - пруд пруди. По полдюжины с тыщи активных пользователей в месяц натикивает. роутер ломается из lan клиента. с компа клиента. из браузера клиента. яваскриптом во фрейме на страничке или флешбанером 1х1 пиксель. легко и быстро. это еще более легко потому, что обычно в этом же браузере сохранены логин и пароль. никакой провайдерский firewall\dpi не защитит. рассказы про взлом бытовых роутеров по wan я отношу к недобросовестной рекламе от конкурентов производителей железок. полдюжины с тышши - это 6 человек. 0.6 процентов? если так беспокоит их безопасность - подарите им лицензионную винду и антивирус. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
20512 Опубликовано 16 сентября, 2015 · Жалоба Мы фильтруем по умолчанию. Юриков соединяем по Влан за денюжку. Физиков за так. Ибо таких только два.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 17 сентября, 2015 · Жалоба рассказы про взлом бытовых роутеров по wan я отношу к недобросовестной рекламе от конкурентов производителей железок. Ща я ей займусь. Добросовестно. :-) С середины весны. Не менее 5 штук каждого случая: 1) ubnt/ubnt. Крутой-же роутер. Пароль менять не просил, значит, не надо. 2) admin/admin. Таким dns меняют. На что-то, что перенаправляет на фишинговые сайты. 3) ZyNOS и его потомки. Там урлом днс меняются. Просто сходи на адрес и настройка новая. ... Ко всем на пробу зашел сам. Извне. Коли пускают, чего не зайти-то? Изоляция таких орлов друг от дружки их, конечно, не спасет. Меня просто сам девиз, что "проблемы индейцев шерифа не волнуют" возмутил. Гиков среди пользователей уже мало. Не хотите чтоб убегали - помогайте хотья-бы советом. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 17 сентября, 2015 · Жалоба Изоляция таких орлов друг от дружки их, конечно, не спасет. Вот как раз спасет. Ибо если у абона только серый адрес и он изолирован от остальной серой массы (где может оказаться школо-хакер, да не один), то ломать его дырявый роутер будет тупо некому. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...