Jump to content

Основные проблемы неуправляемых домашних сетей

Reanimator++
 Share

Recommended Posts

Reanimator++

Reanimator++

Posted
Posted

Уважаемые гуру, расскажите пожалуйста что будет происходить с сетью в следующих случаях:

 

1) Петля. Если юзверь на свой абонентский хвост подрубит коммутатор и засунет в него патч-кордик петлей.

Как будет вести себя сеть?

 

2) DHCP. ИП-адреса раздаются ДХЦП сервером с резервированием IP-MAC. Что будет если какой-нибудь юзверь настроит у себя другой ДХЦП с другими параметрами? (и скажем раскидает всех в разные подсети)

 

3) MAC. Для выхода в инет используется авторизация MAC + пароль (Traffic inspector). Не зная пароля подменивший МАК не сможет авторизоваться, однако что будет если в данный момент какой-либо пользователь уже авторизован и в сети появляется вторая машина с таким же MAC? и как это отразиться на работе сети? как будут вести себя коммутаторы?

 

4) IP. Пользователь может вручную вписать себе IP-адрес, наплевав на DHCP. В таком случае когда включится пользователь с этим ИП-адресом, то он получит конфликт ИП-адресов. Что будет дальше? Что сделает ДХЦП? узнает ли оно об этом?

 

Наверняка список неполный. Добавляйте еще пункты, если вас это не затруднит.

Barsick

Barsick

Posted
Posted

1. Упадет

2. "Кто первый встал - того и тапки"

3. Будут тормоза у обоих, и у злыдня, и у жертву

4. DHCP, емнимс, пишет Bad MAC Address

Наверняка список неполный. Добавляйте еще пункты, если вас это не затруднит.

Кто-нибудь настроит себе IP сервера (и MAC тоже, в тяжелом случае).

Ugnich Anton

Ugnich Anton

Posted
Posted
3) MAC. Для выхода в инет используется авторизация MAC + пароль (Traffic inspector). Не зная пароля подменивший МАК не сможет авторизоваться, [skip]

А каким способом шифруется пароль в Traffic Inspector? Есть такие добрые программы, называются "снифферы".

Кстати, есть ли в Traffic Inspector защита от подбора пароля? А то обычно у юзеров они не такие уж и сложные. Ну при условии, что вы им не выдаете случайную 10-символьную последовательность. :)

puh

puh

Posted
Posted

от снифферов Traffic Inspector вроде бы как защищён - пароль там шифруется. С точки зрения криптографии неправильно шифруется (никакого обмена ключами между клиентом-сервером не производится, разработчики логику скрывают, но подозреваю, что просто шифрование фиксированным ключём, зашитым в агента). Но ломанием этой системы вроде бы никто не занимался :)

Защиты от перебора паролей нет, но все попытки логина пишутся в лог. Правда пользы от него мало, если злоумышленник выставил себе правильные мак и ip

Reanimator++

Reanimator++

Posted
  • Author
Posted

В трафик инспекторе есть подробная статистика доступная юзерам через веб. Они могут смотреть каждый байт....

Шифрование нормальное они обещались сделать в ближайших версиях.

Насчет защиты от перебора ничего не знаю... в принципе особых препятствий в реализации не вижу.

 

А вот понятия "Упадет", "Тормозить", и "кто вперед" очень растяжимы и не совсем понятны...

Эх, пойду мучать сетку...

alcool

alcool

Posted
Posted
А вот понятия "Упадет", "Тормозить", и "кто вперед" очень растяжимы и не совсем понятны...

Эх, пойду мучать сетку...

 

ничего растяжимого. при любом раскладе сеть перестает быть услугой которую можно продавать..

Reanimator++

Reanimator++

Posted
  • Author
Posted

Мдаааа, падает обалденно... (я про пункт 1).

Я даже не ожидал подобного эффекта. ну флудит этот коммутатор, но не настолько же чтобы все совсем не работало...

 

Barsick, Спасибо большое за ответы.

Пойду экспериментировать. (набираться опыта и копить деньги на нормальные свичи :)

 

Ветку от юзеров засекретить... :)

San

San

Posted
Posted
Demid_СПб, пользователь заорет в любом случае. Ну вот не сможет он поверить, что столько накачал...Причем орут в полностью управляемых сетях, показываешь лог - не верят. Как же, говорят, я столько слить не мог, я все то музычки, фильмиков и из чатиов не вылезал.... Не панацея. В каждом случае разбираться, это надо выдавать на абонента по работнику саппорта...
Vovik

Vovik

Posted
Posted

по пункту 4: насколько я помню DHCP сначала проверит, есть ли такой IP уже в сети у кого-то. Если ниукого такого IP нет, то выдаст его. Если у кого-то есть (даже если в lease файлах указано, что никому не выдавался), то будет пробовать выдать другой IP.

desperado

desperado

Posted
Posted

Обобщаем так:

неуправляемая сеть подвержена полному или частичному DoS сегмента различными способами.

 

по поводу выдачи адреса который уже есть в сети по какой либо причине....

1. клиент запрашивает адрес.

2. DHCP выдает адрес

3. клиент получает адрес и посылает АРП 3 раза у кого такой адрес.

4. если ответа нет - адрес юзается, если есть - запрашивается другой адрес

так пока не переберутся все адреса.

можно отвечать на все арпы тем самым вырубив ДШЦП.

PleskovGrad

PleskovGrad

Posted
Posted

А можно вопросик, чтоб новую тем не открывать - если в витуху клиент пустит 220В - что будет? Выгорит один свитч или еще что? И как это определить, что свитч был убит, а не умер сам от грозы?

Reanimator++

Reanimator++

Posted
  • Author
Posted

Гм гм, все мое ИМХО.

если пустит на одну пару то по идее должна выгореть развязка этого порта (этой пары), если на разные, то имхо ничего не будет... (50 гц пройдет через развязку? имхо нет...)

Nallien

Nallien

Posted
Posted

есть большая вероятность того, что витая пара просто сплавится, ну исоответственно коротнет... правда так же вероятно так же, что портвыгорит. но скорее всего - только один. и еще "результат" будет зависить от конкретного свитча, его заземления/зануления, и тому, по каким именно парам будет пускаться ток... (в 100 мегабитных свитчах, часто неиспользуемые пары просто коммутируются на корпус..)

BSB

BSB

Posted
Posted
А можно вопросик, чтоб новую тем не открывать - если в витуху клиент пустит 220В - что будет? Выгорит один свитч или еще что? И как это определить, что свитч был убит, а не умер сам от грозы?

А что - разве у провов ДС мало коммутаторов с 1-2 живыми портами из, скажем, 24-х?=)))

Попробуйте, и будет Вам щастье=))))))

melan@elec.ru

melan@elec.ru

Posted
Posted

Могу добавить хохму в этот мега раздел:

Как то раз - я и еще один Админ - сидим настраиваем новую тачку, ну дошло дело до сетевки - втыкаем, в новый аппарат D-Link (дерьмо конечно - но больше ничего небыло.). Так вот только воткнули - а у меня на рабочей машине IRC - показывает глобальный выход из сети - блин - думаю - неужто линк пропал. - Ну пропарились мы долго пока ответ нашли....

Оказывается - Дело дохло до бреда - Сетевка - моего Админа (3com) совпала MAC адресами с сетевкой (D-link). Гыыыыы Бывает же такое...

Andy52280

Andy52280

Posted
Posted

Вообще-то в МАС карты должен быть вбит ID производителя. Длинк, как крупнейший в мире производитель наклеек на чужое оборудование, всегда заказывает у настоящих производителей ОЕМ свой ID.

Так штаааааа... Или 3СОМ не был 3СОМ`ом или Вы, батенька, загинаете... :)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.