Jump to content

Ложный PPPoE концентратор в сегменте

Барий
 Share

Recommended Posts

Барий

Барий

Posted
Posted

Какие есть решения (как программные так и аппаратные) для обнаружения ложных PPPoE концентраторов в сегменте.

 

Проблема №1:

Кража паролей. По умолчанию в Windows разрешен протокол PAP, который, как известно передает пароли в открытом виде. При некорректной (по умолчанию) настройке соединения злоумышленник может легко перезватывать пароли.

К этому следует добавить, что городские провайдеры ставят один концентратор доступа на насколько домов или микрорайон. Как правило время отклика этого концентратора будет больше, нежели концентратора злоумышленника. Злоумышленнику ничего не стоит в данном случае поднять второй концентратор с таким же именем (или с именем по умолчанию) и перехватить пароли всего сегмента.

 

Проблема %2:

Случайный запуск PPPoE сервера клиентом. Некоторые пользователи могут случайно, сами не осознавая того, поднять у себя PPPoE сервис, который будет отвечать для всех клиентов и, в отдельных случаях, может полностью заблокировать PPPoE концентратор провайдера.

 

Каким образом решаются подобные проблемы?

 

Нужно ли программное решение для обнаружения ложных PPPoE концентраторов?

Barsick

Barsick

Posted
Posted
Какие есть решения (как программные так и аппаратные) для обнаружения ложных PPPoE концентраторов в сегменте.  

Драйвер raspppoe, www.raspppoe.com , с ним идет утилита, показывающая все pppoe концентраторы

Каким образом решаются подобные проблемы?  

По вилану на пользователя... И весь траф гонять по PPPoE :(

puh

puh

Posted
Posted

Барий, а ваше программное решение покажет ложный PPPoE сервер, который откликается только на определённые маки?

 

это ж глупо делать pppoe сервер для перехвата паролей, который будет так явно болтаться в сети...

short

short

Posted
Posted

ага

 

а главное нафига - если пара грамотно распостраненных троянов будет иметь большую пользу с меньшими геммороями

Барий

Барий

Posted
  • Author
Posted
а ваше программное решение покажет ложный PPPoE сервер, который откликается только на определённые маки?

 

Естественно нет. Такие вещи можно определить только посылая запросы с перебором MAC адресов клиентов. При наличии базы всех MAC дресов сегмента это сделать можно, только шкурка выделки не стоит.

 

это ж глупо делать pppoe сервер для перехвата паролей, который будет так явно болтаться в сети...

Да, глупо, но ведь делают. С фильтрацией MAC это сделать куда сложней.

А еще просто тычут в капы виндов и, сами не подозревая того, поднимают у себя PPPoE сервер.

 

Моего программного решения пока нет. Я спросил какие еще существуют решения и нужно ли такое решение.

 

Как обычно, начали упираться в управляемое оборудование, какие-то трояны и прочее... или вообще отказ от PPPoE.

puh

puh

Posted
Posted

нужно ли? думаю, вряд ли.

 

времена дорогих железных решений уходят. Любая не самая захудалая сеть может себе позволить нормальные железки.

А сетку из десяти компов такие проблемы, как ложный pppoe сервер, не волнуют

Барий

Барий

Posted
  • Author
Posted
 

времена дорогих железных решений уходят. Любая не самая захудалая сеть может себе позволить нормальные железки.

А сетку из десяти компов такие проблемы, как ложный pppoe сервер, не волнуют

 

Тут я не соглашусь. Вы забываете, что пионернетов куда больше (во всяком случае не в мегаполисах).

 

Давайте просто обсчитаем следующую ситуацию:

Пионернет, допустим 30 компов. Стоит, ну пусть 10, 8-и портовых самых дешевых д-линков, всяких сурекомов и прочих ширпотребов. Возьмем среднюю стоимость 1 единицы оборудования, ну скажем 600 руб. Итого: суммарная стоимость коммутационного оборудования = 6 круб.

 

Появляется ISP, который предоставляет услуги доступа в Интернет по PPPoE. ISP просто втыкает кабель в один из свичей и все.

 

Из этих 30 юзеров оказывается есть Вася, который иногда тырит пароли, а есть Петя, который иногда запускает PPPoE сервер и злорадствует, как Маша не может подключиться к инету и поболтать в любимой аське с Дашей и как она уже достала службу техподдержки провайдера.

 

Ваше решение на управляемом оборудовании и суммарная его стоимость?

И как можно либо предотвратить, либо отмониторить и поймать за руку Васю и Петю, используя это оборудование. (о каких-то программных решениях для мониторинга поке не идет речи).

Korj

Korj

Posted
Posted

Барий, Или оператор отвечает за сеть и гоняет в ней хоть PPPoE хоть голый IP или он подключается к пионернету и тогда единственное решение - PPTP или оператор - ССЗБ.

Моего программного решения пока нет.

Странно - в двух соседних ветках Вы свой гербалайф уже за деньги толкаете, а тут его, оказывается, нет... :-/

Солнечный КОТ

Солнечный КОТ

Posted
Posted
Ваше решение на управляемом оборудовании и суммарная его стоимость?  

 

Моим решением на управляемом оборудовании будет дар убеждения.

А оборудованием будет бита бейсбольная из березы, так на ценнике написано.

Вот лучшее решение для пионернета.

Барий

Барий

Posted
  • Author
Posted

Korj, извини, но не надо прикидываться дурачком, здесь речь идет совсем о другом.

 

Если у вас там в Минске оператор отвечает за сеть - очень хорошо. У нас тут, в России, оператор зарабатывает бабки и, чем больше - тем лучше. Все остальное его не волнует, в том числе и контент, который распространяется через сервис оператора, не говоря уже о том, что в в самих локалках. Чуете разницу?

 

И не надо отходить от темы и пенять на операторов. Есть задача - нужно решение, не изменяя условия задачи.

Барий

Барий

Posted
  • Author
Posted
Моим решением на управляемом оборудовании будет дар убеждения.

И какова же будет стоимость, чтоб можно было использовать ваш дар убеждения?

А оборудованием будет бита бейсбольная из березы, так на ценнике написано.

Вот лучшее решение для пионернета.

Ну-ну. Видал я таких с битами. Сидят уже. И будут сидеть.

Korj

Korj

Posted
Posted

Барий, не надо панибратствовать вот только и хамить. Во всех местах, где нет контроля над сетью должен стоять PPTP. Если про Менск, то все провайдеры, которые работают с домосетями юзают ТОЛЬКО PPTP и до тех пор, пока не перешли на PPTP, как ни пытались решить проблемы, ничего сделать не могли, и уж поверьте мне, таких инноваторов как Вы, с панацей, написанной на коленке, у них и внутри и снаружи было предостаточно!

Перехватить пароли в PPPoE можно тысячей способов в условиях неуправляемых коммутаторов и неконтролируемого доступа. Ваше поделие не способно уверенно бороться ни с одним из этих способов, прочие его "минусы" я описал в соседней ветке.

Барий

Барий

Posted
  • Author
Posted

Korj, я не панибратствую и не хамлю, но мне трудно разговаривать с человеком, который читает сообщения собеседника через строчку и считает свою точку зрения единственной и неповторимой.

 

И почему у нас большинством провайдеров масштаба города используется PPPoE... Вот незадача-то какая... Толи у нас дураки, толи еще чего.

 

Только не надо рассказывать басни, что в неуправляемых домовых и прочих пионерских сетях PPTP куда надежней PPPoE. Перехват PAP паролей отличается лишь тем, что делается это на L3 с использованием arp-poisoning. А во-вторых вероятность DoS куда выше, нежели DoS PPPoE концентраторов. Или у вас, в Менске, у всех пионеров из неуправляемых сетей статическая арп таблица?

 

В итоге мы получаем, что у PPTP лишь одно преймущество - L3, т.е. он маршрутизируем. И все, больше абсолютно никаких. Из минусов для локалок - он работает гораздо медленнее, нежели PPPoE.

 

Тогда стоит ли игра свеч?

UglyAdmin

UglyAdmin

Posted
Posted
Давайте просто обсчитаем следующую ситуацию:

Пионернет, допустим 30 компов. Стоит, ну пусть 10, 8-и портовых самых дешевых д-линков, всяких сурекомов и прочих ширпотребов. Возьмем среднюю стоимость 1 единицы оборудования, ну скажем 600 руб. Итого: суммарная стоимость коммутационного оборудования = 6 круб.

 

Появляется ISP, который предоставляет услуги доступа в Интернет по PPPoE. ISP просто втыкает кабель в один из свичей и все.

Тогда это не оператор, а просто пионернет размером побольше.

Оператор должен котролировать ВЕСЬ трафик в его сети, от ядра до абонентских портов, никакого неконтролируемого трафика быть не должно.

 

Когда вы (пионернеты) наконец поймёте, что ваши гнилые верёвки и китайские мыльницы никому кроме вас не нужны!

Барий

Барий

Posted
  • Author
Posted
Когда вы (пионернеты) наконец поймёте, что ваши гнилые верёвки и китайские мыльницы никому кроме вас не нужны!

Это и ежу понятно.

 

Пионернеты для того и создаются, чтоб Коля у Пети переписал свежекупленную копию пиратского диска с минимум затрат и поиграл в сетевые игры, большего не надо Т.е. не платя за трафик. Максимум что есть - абонентская плата, рублей 50 в месяц (и то много) с каждого компа, на поддержание пионернета на китайских мыльницах и гнилых веревках.

И, имхо, большинство сетей такими были, есть и будут.

 

У нас разные подходы к теме, вы рассуждаете с точки зрения оператора, я с точки зрения пионернета, поэтому мнения расходятся.

Korj

Korj

Posted
Posted

Барий, разница хотя бы в том, что дефолтные настройки виндыXP для PPTP - только MSCHAP и шифрование. (Впрочем никто imho не запрещает на сервере и для PPPoE не принимать PAP-аутентификацию...)

arp-атака идёт лесом, т.к. адрес PPTP-сервера не в локальной сети, а у провайдера за маршрутизатором. Статический arp на маршрутизатор легко прописывается в том же .bat-нике, что и route на него.

DoS сервера провайдера в его внутренней сети? Тут уж действительно впору про биту вспоминать... :)

vIv

vIv

Posted
Posted
Какие есть решения (как программные так и аппаратные) для обнаружения ложных PPPoE концентраторов в сегменте.

 

Проблема №1:

Кража паролей. По умолчанию в Windows разрешен протокол PAP, который, как известно передает пароли в открытом виде. При некорректной (по умолчанию) настройке соединения злоумышленник может легко перезватывать пароли.

К этому следует добавить, что городские провайдеры ставят один концентратор доступа на насколько домов или микрорайон. Как правило время отклика этого концентратора будет больше, нежели концентратора злоумышленника. Злоумышленнику ничего не стоит в данном случае поднять второй концентратор с таким же именем (или с именем по умолчанию) и перехватить пароли всего сегмента.

 

ПРЕВЕД!

 

Не прошло и пятилетки, чтобы эта "особенность" всплыла, ага? :-)))

 

Каким образом решаются подобные проблемы?

Изоляцией пользователей. Любой. Один пользователь НЕ ДОЛЖЕН ИМЕТЬ ВОЗМОЖНОСТИ послать пакет другому пользователю иначе, чем через ACL хозяина сети.

AlexPan

AlexPan

Posted
Posted

А chap уже больше никто не использует? Или все думают, что клиент pppoe прямо в открытом виде отсылает пароль на сервер? А что разрешено по умолчанию можно указать в настройках винды!

vIv

vIv

Posted
Posted

Угу, можно...

Осталось отстрелить всех юзеров, не успевших получить MCSE+CCNA, и золотой ключик у вас в кармане ;-)

AlexPan

AlexPan

Posted
Posted

Без проблем... Отстреливать можно прямо по логам PPPoE сервера... И как у вас без MCSE+CCNA клиент себе вообще чего-то настраивает... Если он может себе настроить соединение PPPoE, то и "только chap" тоже сможет включить!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.