Перейти к содержимому
Калькуляторы

А вы фильтруете серых юзеров друг от друга? Зачем, почему?

Сеть овер 6к (онлайн) абонентов, IPoE vlan-per-user, по дефолту серые адреса у всех (белые за отдельную денюжку).

Сейчас абонент с серым IP спокойно может достучаться до другого абонента с серым IP, однако официального внутрисетевого p2p нет (даже ретрекера нет).

 

Начальство желает их изолировать друг от друга.

Аргумент один: так безопаснее для самих юзеров.

 

Интересно услышать мнения коллег по этому вопросу.

изолировать или нет?

Если не изолировать, то как обосновать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тут начальство должно обосновать свой аргумент.

Безопасность чего - сохо роутеров? От кого от чего, от других роутеров?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вероятно от внутренних потенциальных хакеров и вирусов-ботов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Фильтруем только ms-netbios и ему родственную фигню между своими хомячками. Остальное им доступно. Да и не дело это, лишать людей локалки

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вероятно от внутренних потенциальных хакеров и вирусов-ботов

Нахрена хакерам роутеры 6к абонов, если в интернете их насканить десятки миллионов можно.

А вирусы боты с компа за роутером что сканить будут, сетку .0/24 )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Раздача своего инета внутри сети, как вариант.

Изолировать по принципу белого списка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Начальству видимо кто то нассал в уши про безопасность, а сами они не разбираются.

Если у Вас vlan per user - клиенты и так изолированы друг от друга и доступны только на L3 уровне.

Изолировать клиентов имеет смысл, но при другой схеме, на L2.

 

Но - если начальство просит - можно изолировать, это ничего не изменит вообще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну почему же ничего не изменится.

аплинки начнут нормально "работать") и денежку дополнительную жрать

или не будут?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Про "аплинков" тут речи нет. Они может и есть, но их мало и на общем фоне вообще не заметны.

Больше походу боятся вирусов всяких...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Heggi я в том контексте что п2п сейчас ходит (а кстати считается этот трафик?) между юзерами внутри, а ломанется в внешку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да что там ходит если ретрекера нет. Мелочь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Фильтруем только ms-netbios и ему родственную фигню между своими хомячками. Остальное им доступно. Да и не дело это, лишать людей локалки

+1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если есть услуги типа IPTV то нужно как-то бороться с тем, что один купит услугу и будет ретранслировать в локалку. Особенно если это например студенческое общежитие, а не дом-новостройка. (Я как раз в общежитии делал фильтрование как раз на этот случай, хотя IPTV мультикастом так и не сделали в итоге).

 

Пока никто из абонентов не возмутился отсутствием локалки - видимо им и не надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Фильтруем только ms-netbios и ему родственную фигню между своими хомячками. Остальное им доступно. Да и не дело это, лишать людей локалки

+1

 

И в принципе не жалуются...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

по дефолту серые адреса у всех (белые за отдельную денюжку).

+

изолировать или нет?

Если не изолировать, то как обосновать?

Категорически НЕТ! Можно потерять часть гиков и юрлиц. У нас 99% домов в одном городе подключено, многие юрлица используют локальную сеть для связи между офисами. Плюс многим удобно подключаться на работу с дома или наоборот.

Одно дело, если бы у вас изначально не было доступа или только белые адреса или белые бесплатно... А в такой схеме взять и отобрать - профита 0, а негатив будет, хоть и небольшой. Основной массе, конечно, плевать, но сарафанное радио пострадает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пока никто из абонентов не возмутился отсутствием локалки - видимо им и не надо.
тут абы решают!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если есть услуги типа IPTV то нужно как-то бороться с тем, что один купит услугу и будет ретранслировать в локалку.

Сколько он там на ретранслирует? одному-двум приятелям, поиграются поглючат и перестанут.

 

В коммерческом масштабе это быстро выявится по всплеску трафика и можно будет персонально разбираться..

 

Категорически НЕТ! Можно потерять часть гиков и юрлиц. У нас 99% домов в одном городе подключено, многие юрлица используют локальную сеть для связи между офисами. Плюс многим удобно подключаться на работу с дома или наоборот.

Это да, сам пользуюсь активно, очень удобно. Локалка 100мбит.

 

Если трафик запустить по белым адресам оно ляжет на процессор бордера, трафикшейпера, НАТ и в карман аплинка пойдет копеечка по сути за локальный трафик, который в идеале должен был бы остаться "внутри дома".

 

Начальство желает их изолировать друг от друга.

Аргумент один: так безопаснее для самих юзеров.

 

1) Личная безопасность юзеров - это их личная головная боль.

 

2) Сейчас не актуально. У каждого дома стоит wifi роутер с мало мальским firewall. Было актуально, во времена прямого подключения провода в комп с XP. Даже если провод воткнут прямо в хост - у каждого установлен в обязательном порядке антивирус и firewall.

 

3) если сейчас есть какой то локальный трафик, DC хабы и еще что-то, оно или сломается (минус репутации), или этот трафик пойдет через вашего аплинка. (минус копеечка)(см выше).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1) Личная безопасность юзеров - это их личная головная боль.

 

2) Сейчас не актуально. У каждого дома стоит wifi роутер с мало мальским firewall. Было актуально, во времена прямого подключения провода в комп с XP. Даже если провод воткнут прямо в хост - у каждого установлен в обязательном порядке антивирус и firewall.

У как все плохо-то с фактологией...

 

Безопастность абонента - и наш головняк тоже!

 

Взломаные роутеры некисло могут положить и днс-сервера, и даже аплинки.

 

Полоумных без антивиря с проводом в "мегазащищенный" комп - пруд пруди. По полдюжины с тыщи активных пользователей в месяц натикивает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Раздача своего инета внутри сети, как вариант. Изолировать по принципу белого списка.

Это экономически не выгодно так его раздавать.

А тех кто за инет не заплатил и так нужно отключать / в спец влан сажать.

 

Если есть услуги типа IPTV то нужно как-то бороться с тем, что один купит услугу и будет ретранслировать в локалку. Особенно если это например студенческое общежитие, а не дом-новостройка. (Я как раз в общежитии делал фильтрование как раз на этот случай, хотя IPTV мультикастом так и не сделали в итоге).

Вы эти раздачи видели?

На ущербном роутере udpxy расшаривается в сеть, после 2-5 смотрящего роутер начинает задыхаться и картинка сыпется.

Если это раздача с компа, то аплинк обычно быстро кончается.

 

Взломаные роутеры некисло могут положить и днс-сервера, и даже аплинки.

Их с интернета боты пачками ломают, в локалках ума хватает не гадить, либо ума на гадости не хватает.

 

Полоумных без антивиря с проводом в "мегазащищенный" комп - пруд пруди. По полдюжины с тыщи активных пользователей в месяц натикивает.

Это опять же не коррелирует с локалкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Безопастность абонента - и наш головняк тоже!

 

Взломаные роутеры некисло могут положить и днс-сервера, и даже аплинки.

 

Полоумных без антивиря с проводом в "мегазащищенный" комп - пруд пруди. По полдюжины с тыщи активных пользователей в месяц натикивает.

 

роутер ломается из lan клиента. с компа клиента. из браузера клиента. яваскриптом во фрейме на страничке или флешбанером 1х1 пиксель. легко и быстро. это еще более легко потому, что обычно в этом же браузере сохранены логин и пароль. никакой провайдерский firewall\dpi не защитит.

 

рассказы про взлом бытовых роутеров по wan я отношу к недобросовестной рекламе от конкурентов производителей железок.

 

полдюжины с тышши - это 6 человек. 0.6 процентов? если так беспокоит их безопасность - подарите им лицензионную винду и антивирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мы фильтруем по умолчанию.

Юриков соединяем по Влан за денюжку.

Физиков за так.

Ибо таких только два....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

рассказы про взлом бытовых роутеров по wan я отношу к недобросовестной рекламе от конкурентов производителей железок.

Ща я ей займусь. Добросовестно. :-)

 

С середины весны. Не менее 5 штук каждого случая:

1) ubnt/ubnt. Крутой-же роутер. Пароль менять не просил, значит, не надо.

2) admin/admin. Таким dns меняют. На что-то, что перенаправляет на фишинговые сайты.

3) ZyNOS и его потомки. Там урлом днс меняются. Просто сходи на адрес и настройка новая.

...

Ко всем на пробу зашел сам. Извне. Коли пускают, чего не зайти-то?

 

Изоляция таких орлов друг от дружки их, конечно, не спасет. Меня просто сам девиз, что "проблемы индейцев шерифа не волнуют" возмутил. Гиков среди пользователей уже мало.

 

Не хотите чтоб убегали - помогайте хотья-бы советом. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Изоляция таких орлов друг от дружки их, конечно, не спасет.

 

Вот как раз спасет. Ибо если у абона только серый адрес и он изолирован от остальной серой массы (где может оказаться школо-хакер, да не один), то ломать его дырявый роутер будет тупо некому.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.