кто как спасается от "мусора" с клиентских машин ?

[builder]

Добрый день. Подскажите, посоветуйте кто как спасается от "мусора" с клиентских машин, включая всяческие трояны и netbios в том числе?

Можно ли это делать на уровне "подъезда", а не шлюза, чтобы не пускать ЭТО в магистраль, ведь некоторые дома временно подключены по р/каналу и я думаю АР от этого не в восторге!

Коммутаторы 3-его уровня для такой задачи беспредельно дороги, а кокой-нить DI-604/804/808 наверняка заткнётся. Или я много хочу?

[klauska]

... а кокой-нить DI-604/804/808 наверняка заткнётся. Или я много хочу?

Да - заткнется. Проверено, что при большом кол-ве пакетов такие роутеры затыкаются и даже без возможности удаленно на него зайти и перезагрузить. Причем, они просто могут теряться и потом "находиться" сами по себе...

 

Полностью убрать флуд из сети возможно только при условии маршрутизации. В таком случае, на каждом из "центровых" домов придется ставить роутер. Или свичи L2-3, но они дорогие и не полностью спасают от подобных пакостей ...

[Guest]

builder,

Помоему вы проблему не с того конца решать начали. Вопрос первый: Так ли сильно юзверьские машины грузят сеть всякой фигней? Да вирусы да трояны..ну и что? Чем вам нетбиос неугодил? Может надо в сети проповедовать установку антивирусов?

Если вы так боитесь за пропускную способность, то установите магистральные гигабитные линки, уверяю вас не одна машина его в век не загадит :).

[builder]

Чем вам нетбиос не угодил?

В офисных зданиях, где в основном клиенты -юр.лица, понятие "сетевого окружения" крайне раздражает оных. Vlan - конечно решение проблемы, но меня например сильно раздражает количество пакетов по 137, 139 портам, которые приходится дропить маршрутизатору.

Если вы так боитесь за пропускную способность

В основном тех "сегментов" которые подключены в общую сеть посредством р/линков, не думаю что это паранойя :)

то установите магистральные гигабитные линки

Это практически не реально, сейчас, как и пропаганда антивирусов, тем более только ими проблема не снимается, потребуется еще и FW какой-нить. Хорошо конечно было бы взять на работу еще человека, который бы ходил и делал это у клиентов (пропагандировал, устанавливал, настраивал), но боюсь клиенты это не оценят ни морально, ни ввиде денежного эквивалента.

[KD]

В офисных зданиях, где в основном клиенты -юр.лица, понятие "сетевого окружения" крайне раздражает оных.

отключить клиента мелкософт в свойствах соединения.

... практически не реально, сейчас,... пропаганда антивирусов...

отключать клиентов у которых вирус проявляет сетевую активность. Быстро вылечат, поставят файрвол. Если сами не смогут, то вашему спецу заплатят.

[Nag]

В офисных зданиях, где в основном клиенты -юр.лица, понятие "сетевого окружения" крайне раздражает оных.

отключить клиента мелкософт в свойствах соединения.

 

Бегать за каждым? Да и вообще - не дело провайдеру как-то зависить от пользователя. Пусть он хоть что и хоть как включит - сеть должна работать. ;-)

 

... практически не реально, сейчас,... пропаганда антивирусов...

отключать клиентов у которых вирус проявляет сетевую активность. Быстро вылечат, поставят файрвол. Если сами не смогут, то вашему спецу заплатят.

 

Ага. Первое же такое отключение приличного корпоративщика - и проблем будете огребать по полной программе... Начиная от потери серьезного клиента. Отключать - только если это ставит под угрозу работу сети...

[builder]

KD, это все недомеры, думаю вы и сами с этим согласны, или у вас просто этакий радикальный настрой :)

Решение должно быть техническое и на стороне оператора.

отключать клиентов у которых вирус проявляет сетевую активность. Быстро вылечат, поставят файрвол. Если сами не смогут, то вашему спецу заплатят.

Если у вас так, я искренне вам завидую. У меня же даже такой случай был: звонит клиент и кислым голосом заявляет " ой, какой у вас интернет медленный стал, знали бы не подключались..." иду к нему разбираться - первое, что бросилось в глаза - это гигантская сетевая активность при закрытых каких-либо приложениях, позвал на помощь админа, так он несколько часов выковыривал у этих деятелей вирусы. Результат - интернет стал "нормальным", а при попытке выставить счет за работы на сумму 600(!) рублей - крики и фраза "а у вас в договоре не прописано, что безопасность это наша(!) забота"

Прямо противоположные, положительные случаи бывают, но это не правило.

В строительстве сети пришел к твердому убеждению - абонентов надо разделять, ограничивать и фильтровать на уровне доступа к сети. Тока вот чем это делать:

D-Link 2108 - разделяет, но не ограничивает ( в смысле полосы) и не фильтрует.

Vector 1908 - разделяет, ограничивает, не фильтрует.

L3 с нашим бюджетом может быть скорее исключением, чем правилом.

Вот и взываю к коллективному опыту.

[builder]

Тут вот железяку присмотрел http://www.asotel.ru/product.php?product_id=218

Особенности

 

5* LAN портов, 1* WAN порт, 1* DMZ порт. Все поддерживают Auto-MDIX функцию, и 10/100Mbps, Full/Half duplex автоопределение

100Mbps пропускная способность маршрутизации и NAT (размер пакетов от 64 байт до 1518 байт)

QoS регулировка полосы пропускания, реализованная на H/W ускорении для различных IP пользователей и IP услуг

RIP v1/v2 функция маршрутизации

DHCP сервер

Dynamic DNS (DDNS)

IP firewall функция

VPN pass through

PPPoE

Port Trigger

Удаленное SNMP и Web управление (SNMPv2)

UPNP

Поддержка VLAN функции на LAN портах с VLAN Enabled/Disabled переключением

Встроенное питание 90~240 VAC, принадлежности для установки в стойку

Никто не пользовался, заманчиво написано, вот если там еще и NAT можно отключить ваще интересная штуковина получается, да и цена вроде не большая.

[Wildfire]

реально знаю ситуацию когда через гигабитный линк ложилась 36 циска от MsBlast и Sasser червяков, когда дропала пакеты. Может в этом случае L2-4 свитчи помогают ?

[Nag]

реально знаю ситуацию когда через гигабитный линк ложилась 36 циска от MsBlast и Sasser червяков, когда дропала пакеты. Может в этом случае L2-4 свитчи помогают ?

 

Именно они, радимыя... ;-)

[builder]

Это лишний раз подтверждает актуальность вопроса - у меня 1721 циска от этого Blasta в сегменте ложилась втечение 5-6 сек, как вспомню так вздрогну. В двенадцати офисах (около 60 машин) ставили скачанную заплатку, чтобы просто не отключать, спасибо, кажется никто не сказал :), потому что это не тот вирус, который, например гадит в MBR и

Ага. Первое же такое отключение приличного корпоративщика - и проблем будете огребать по полной программе... Начиная от потери серьезного клиента. Отключать - только если это ставит под угрозу работу сети...

[builder]

Может в этом случае L2-4 свитчи помогают ?

А в железе можно пример, чем то чую, что это каталисты какие-нибудь.

[Wildfire]

Allied Telesyn AT-8524M

[Shiva]

builder, D-link DES-3526, ZyXEL ES-3024 EE, ...

[Shiva]

builder,

Тут вот железяку присмотрел http://www.asotel.ru/product.php?product_id=218  

Интересно какой там внутри D-link стоит?

[Guest]

Shiva

Интересно, а кто внутри Д-линка стоит? :)

[Shiva]

Гость, это второй вопрос. Надо быть последовательным.

[builder]

Внутри этой железки (мелькало где-то на форуме правда про коммутаторы Vector) наверно тоже Celan EtherSW 1601, (конструктив один к одному), чипы Broadcom BCM5338MKQM или подобное ему, только мне это ни о чем не говорит.

Я так понял, что в центре "куста" из нескольких домов придется все же ставить что-то из перечисленного

D-link DES-3526, ZyXEL ES-3024 EE, Allied Telesyn AT-8524M

А корректно бы было к этому коммутатору от периферии собирать трафик чем-то подобным Compex PS2216 с "ручным" принудительным виланированием посредством DIP-переключателей и уже на нем фильтровать ? Как у таких аппаратов ведет себя этот "общий" порт, и как воспримет такой поток "старший коммутатор", ведь ему еще и фильтровать надо?

[Палыч]

У меня же даже такой случай был: звонит клиент и кислым голосом заявляет " ой, какой у вас интернет медленный стал, знали бы не подключались..." иду к нему разбираться - первое, что бросилось в глаза - это гигантская сетевая активность при закрытых каких-либо приложениях, позвал на помощь админа, так он несколько часов выковыривал у этих деятелей вирусы. Результат - интернет стал "нормальным", а при попытке выставить счет за работы на сумму 600(!) рублей - крики и фраза "а у вас в договоре не прописано, что безопасность это наша(!) забота"

Изначально неправильный подход.

Надо так: приходишь к клиенту с ноутбуком. Он тебе говорит "очень медленный и-нет". Ты подключаешь ноут к его розетке и демонстрируешь ему, что с его же розетки очень быстрый и-нет. Потом заявляешь примерно следующие:"С каналом всё в порядке, Вы сами видели. Проблемы у вас на машине. Сможете разобраться сами--прерасно. Если нет, то наш сотрудник Вам поможет, но его работа стоит отдельных денег." Далее называете сумму.

Наиболее непонятливым можно пояснить, что провайдер обязуется производить тех. поддержку сети, но не клиентских машин. Далее--см пункт первый.

Вот примерно так.

[Barsick]

А корректно бы было к этому коммутатору от периферии собирать трафик чем-то подобным Compex PS2216 с "ручным" принудительным виланированием посредством DIP-переключателей и уже на нем фильтровать ?

Фильтровать нечего, Компекс тэги вставлять не умеет, для uplink-коммутатора это будет выглядеть как и обычный свич

Разница только для клиентов - они друг друга видеть не будут

[Guest]

D-Link 3226S 309$ 24 порта, умеет фильтровать по IP портам, по типу пакета, по Ethenet адресам и тд

[ALIEN2002]

Палыч,

Правильно! Имхо так и делаю. Еще добавлю, что клиентов надо немного напрягать. Заранее говорить что вызов платный т.е. если проблема со стороны клиента - то пусть он платит определенную сумму за вызов технического специалиста, а если со стороны провайдера, то бесплатно для клиента.

[builder]

То Barsick

А от компекса только этого и требуется, чтобы клиенты друг-друга не видели изначально, захотят - отдельное приложение к договору.

А вот всякие броадкасты, нетбиосы и др. нежелательные элементы будут валом на этом "коллективном" порту, вот их и фильтровать.