Jump to content

Контроль нелегальных подключений

Reisin
 Share

Recommended Posts

Reisin

Reisin

Posted
Posted

Такая проблема...

Необходимо осуществить контроль за нелегальными подключениями к сети.

 

Ситуация такая:

У нас стоят несколько серверов с данными и от них проведены магистрали оптики соединяющие дома в одну большую домашнюю сеть со всеми сервисами и билингами...Но проблема вот в чем-

в домах пользователи подключены от коммутаторов по витой паре...Но!!!Что если они смогут к своему проводу подрубить еще коммутатор и подключить еще кучу нелегалов...которые будут сидеть что называется "нахаляву"...Ладно-с сервером уже разобрались--они к нему доступ не получат...но они смогут качать данные у других пользователей сети...А что им мешает попросить кого-нибудь скачать например тот же фильм с сервера а потом скачать себе уже у легального пользователя?!

Какими программными(преимущественно для Linux(Suse) но можно и общую идею) или "железными" средствами можно с этим бороться???

puh

puh

Posted
Posted

управляемыми коммутаторами на уровне доступа с ограничением количества mac адресов на порту.

it

it

Posted
Posted

А если легальные пользователи будут скачивать к себе, а потом на цд/двд нелегальным отдавать?

 

В остальном см. пред. пост.

builder

builder

Posted
Posted
А если легальные пользователи будут скачивать к себе, а потом на цд/двд нелегальным отдавать?

А что Вас в этом напрягает - деньги Вам то легалы платить будут за трафик, а дальше пусть что хотят с этой порнухой и делают.

it

it

Posted
Posted
А если легальные пользователи будут скачивать к себе, а потом на цд/двд нелегальным отдавать?
А что Вас в этом напрягает - деньги Вам то легалы платить будут за трафик, а дальше пусть что хотят с этой порнухой и делают.

Лично меня - ничего ;-))

Reisin

Reisin

Posted
  • Author
Posted
ЗЫ: Я задавал вопрос автору первого поста :-)

Ну насчет цд\двд это уже их личный гемор....тут уже никак не поборешься... :)

 

 

А насчет управляемых коммутаторов-какие именно модели вы бы посоветовали?

Так же хотелось бы узнать насчет программных средств защиты(может какие сервисы ставить?или сервера?).

 

Я заметил что я не очень ясно обрисовал ситуацию:

на сервере стоит дхцп-сервер который выдает айпишники в соответствии с макадресами и разрешениями на различные виды доступа к серверу причем количество айпишников соответствует кол-ву зарегистрированных мак-адресов...Но, мы тестировали такой вариант:нелегал подключается к сети со статическим айпи....И-доступ к серверу у него закрыт, но он спокойно может качать данные у других легальных юзеров...Вот как бы наставить этих нелегалов на "путь истинный"-подключиться легально????

 

управляемыми коммутаторами на уровне доступа с ограничением количества mac адресов на порту.
Спасибо за совет-очень ценный---а модели по-конкретней не посоветуете?и стоимость?
it

it

Posted
Posted

комутаторы: DES-3010G, DES-3018

Я так понимаю-в них есть встроенный файрвол?

Это называется "фильтрация мак-адресов" на порту абонента.

temper

temper

Posted
Posted

комутаторы: DES-3010G, DES-3018

Я так понимаю-в них есть встроенный файрвол?

Это называется "фильтрация мак-адресов" на порту абонента.

Абоненты все полные дебилы??? Так??? Привязка на порту МАК + АЙПИ - все проблемы решены!!!

Ну и что??? Да - все круто мак+айпи на порту, но что мешает пользователю поставить простенький маршрутник и настроить НАТ??? Все будут под одним айпи ходить и все.

Бороться безполезно. Вы не можете придти в квартиру АБОНЕНТА и вырезать другую сеть, к которой подцеплены еще 15-20 абонентов. Просто проверено временем - не тратьте свои силы на это.

Для чего нужна такая связка - это что бы в Ваш коммутатор никто не воткнулся, но если будет такой коммутатор, до доступ к нему будет ограничен замком и ящиком. Или для того, чтобы завернуть клиента в вилан. Ну или еще подобные вещи.

Так что забейте и знайте, что Вас уважают и хотят от вас получать какие либо ресурсы, значит вы чем то привлекательнее конкурентов (если конечно таковые имеются)

builder

builder

Posted
Posted
Бороться безполезно. Вы не можете придти в квартиру АБОНЕНТА и вырезать другую сеть, к которой подцеплены еще 15-20 абонентов.

А зачем бороться ? Клиент ведь, за которым ещё 15-20 человек платит за всех. Если оплата по трафику. А если т.н. анлимы - дык ведь нет их, настоящих анлимов, может тока в пределах мкада, да и там наверняка больше маркетинговая уловка. Делайте как все условно-нелимитированный доступ, там с ограничениями скорости, или трафика...

Reisin

Reisin

Posted
  • Author
Posted

комутаторы: DES-3010G, DES-3018

Я так понимаю-в них есть встроенный файрвол?

Это называется "фильтрация мак-адресов" на порту абонента.

Абоненты все полные дебилы??? Так??? Привязка на порту МАК + АЙПИ - все проблемы решены!!!

Ну и что??? Да - все круто мак+айпи на порту, но что мешает пользователю поставить простенький маршрутник и настроить НАТ??? Все будут под одним айпи ходить и все.

Бороться безполезно. Вы не можете придти в квартиру АБОНЕНТА и вырезать другую сеть, к которой подцеплены еще 15-20 абонентов. Просто проверено временем - не тратьте свои силы на это.

Для чего нужна такая связка - это что бы в Ваш коммутатор никто не воткнулся, но если будет такой коммутатор, до доступ к нему будет ограничен замком и ящиком. Или для того, чтобы завернуть клиента в вилан. Ну или еще подобные вещи.

Так что забейте и знайте, что Вас уважают и хотят от вас получать какие либо ресурсы, значит вы чем то привлекательнее конкурентов (если конечно таковые имеются)

мда.. кстати про маршрутизатор то я и не подумал...

S_W

S_W

Posted
Posted (edited)

я непомню как софтина называется которая занимает все неиспользуемы ипы и у нелегалов выскакивает конфликт ip адресов.

это если совсем по простому.

Edited by S_W
Коннект

Коннект

Posted
Posted
я непомню как софтина называется которая занимает все неиспользуемы ипы и у нелегалов выскакивает конфликт ip адресов.

это если совсем по простому.

А если юзера воткнут простенький сервачек, поставят NAT и будут лазить все под одним внутренним айпишником во внутренней сети, что тогда??? NAT же както засвечивается или он обсалютно прозрачен??? Занимание еще не заюзаного ip пространства спасет только от установки свича у юзеров, да и от этого любой свитч с привязкой к маку и ораничением количесва мак адресов спасет.
Vlad Karagezov, D-Link

Vlad Karagezov, D-Link

Posted
Posted
Такая проблема...

Необходимо осуществить контроль за нелегальными подключениями к сети.

 

Ситуация такая:

У нас стоят несколько серверов с данными и от них проведены магистрали оптики соединяющие дома в одну большую домашнюю сеть со всеми сервисами и билингами...Но проблема вот в чем-

в домах пользователи подключены от коммутаторов по витой паре...Но!!!Что если они смогут к своему проводу подрубить еще коммутатор и подключить еще кучу нелегалов...которые будут сидеть что называется "нахаляву"...Ладно-с сервером уже разобрались--они к нему доступ не получат...но они смогут качать данные у других пользователей сети...А что им мешает попросить кого-нибудь скачать например тот же фильм с сервера а потом скачать себе уже у легального пользователя?!

Какими программными(преимущественно для Linux(Suse) но можно и общую идею) или "железными" средствами можно с этим бороться???

По моему опыту есть два вида провайдеров в этом вопросе:

1. Те, кто борется с описанными Вами "ветряными мельницами" Тратят кучу сил и времени, иногда побеждают. Зачем то...

2. Есть вторые: те, кто не борется, а даже наоборот - продает пользователям простые шлюзики для подключения к сети нескольких ПК, не важно - в пределах ли одной квартиры или нескольких. Тем самым, еще и зарабатывая на "проблеме"

 

Как показывает опыт, те, кто практикует первый вариант довольно быстро бросают это дело и переходят ко второму.

Reisin

Reisin

Posted
  • Author
Posted

Такая проблема...

Необходимо осуществить контроль за нелегальными подключениями к сети.

 

Ситуация такая:

У нас стоят несколько серверов с данными и от них проведены магистрали оптики соединяющие дома в одну большую домашнюю сеть со всеми сервисами и билингами...Но проблема вот в чем-

в домах пользователи подключены от коммутаторов по витой паре...Но!!!Что если они смогут к своему проводу подрубить еще коммутатор и подключить еще кучу нелегалов...которые будут сидеть что называется "нахаляву"...Ладно-с сервером уже разобрались--они к нему доступ не получат...но они смогут качать данные у других пользователей сети...А что им мешает попросить кого-нибудь скачать например тот же фильм с сервера а потом скачать себе уже у легального пользователя?!

Какими программными(преимущественно для Linux(Suse) но можно и общую идею) или "железными" средствами можно с этим бороться???

По моему опыту есть два вида провайдеров в этом вопросе:

1. Те, кто борется с описанными Вами "ветряными мельницами" Тратят кучу сил и времени, иногда побеждают. Зачем то...

2. Есть вторые: те, кто не борется, а даже наоборот - продает пользователям простые шлюзики для подключения к сети нескольких ПК, не важно - в пределах ли одной квартиры или нескольких. Тем самым, еще и зарабатывая на "проблеме"

 

Как показывает опыт, те, кто практикует первый вариант довольно быстро бросают это дело и переходят ко второму.

Согласен--но уже идет потеря потенциальных клиентов...да и остальные начнут возмущаться-что мол они млатят а эти купили себе свитч и сидят бесплатно....

Это, на мой взгляд, не выход

PommeFritz

PommeFritz

Posted
Posted

Есть несколько полумер в рукаве для таких ситуаций, например принудительное выставление TTL=1 в идущем к клиенту трафике. Еще можно ограничивать одновременное количество TCP/IP сессий от одного IP адреса каким-нибудь разумным значением, например 16-32. Но работает все это только на подконтрольном трафике и для средне-продвинутых пользователей.

 

Вообще, нужно оговаривать такие ситуации в клиентских договорах, мониторить и отключать после предупреждения. А еще лучше создавать такие условия, чтобы пользователю подключиться легально было и удобнее и выгоднее чем сидеть за натом/прокси васипупкина. ИМХО.

_IX_

_IX_

Posted
Posted

попробуйте поговорить со всеми, кто предоставляет такие "услуги" нелегалам. Самый просто и эффективный способ. Если с технической стороны - TTL=1, IP-MAC привязка на порт и приехали...

haver

haver

Posted
Posted
По моему опыту есть два вида провайдеров в этом вопросе:

1. Те, кто борется с описанными Вами "ветряными мельницами" Тратят кучу сил и времени, иногда побеждают. Зачем то...

2. Есть вторые: те, кто не борется, а даже наоборот - продает пользователям простые шлюзики для подключения к сети нескольких ПК, не важно - в пределах ли одной квартиры или нескольких. Тем самым, еще и зарабатывая на "проблеме"

 

Как показывает опыт, те, кто практикует первый вариант довольно быстро бросают это дело и переходят ко второму.

Выгоднее намного 2-ой вариант ,

вот краткое описание сегмента

 

cisco 2851 (на магистрали)

cisco 1841 (узловой шлюз)

cisco 2960 ( либо 3Com 4500)

3Com 4200

Фильтрация по Mac+IP , только безлимитные тарифы

 

Так же довольно успешно продаються все возможные wi-fi роутеры для установки в квартире абонента с платной настройкой (600р) - у многих сейчас 2-3 компа (ноутбука) на семью.

 

А если пользователь делиться с соседом - то это его проблемы , так как если один начнет качать что-нибудь большое то забъет весь свой канал и соседу даже google не открыть )))

PommeFritz

PommeFritz

Posted
Posted

Так же довольно успешно продаються все возможные wi-fi роутеры для установки в квартире абонента с платной настройкой (600р) - у многих сейчас 2-3 компа (ноутбука) на семью.

Вот бы всем таких клиентов. А если серьезно, то смахивает на элитный спальный район :) А там правила в основном "по понятиям": никто не будет кормить/кормиться с соседями ;)

Коннект

Коннект

Posted
Posted
попробуйте поговорить со всеми, кто предоставляет такие "услуги" нелегалам. Самый просто и эффективный способ. Если с технической стороны - TTL=1, IP-MAC привязка на порт и приехали...
Интересное решение, но т.к. первый раз об этом слышу хотелось бы уточнить некоторые моменты:

Где именно изменяется TTL? на сервере или на свиче?? т.е. если изменяется только на сервере, то нелегалам будет недоступно все что связано с сервером, но они свободно могут общатся с другими юзерами, тем самым юзая локалку на холяву, не плотя драгоценные деньги и рекламируя свою схему среди других легалов. - пожалуйста поесните этот момент.

И как меняется TTL в винде 2003

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.