petro_drozd Posted April 13, 2007 Posted April 13, 2007 Вобщем существует сеть на 100+ компьютеров в 1 сегменте на мыльницах. Биллинг Трафик инспектор аутенфикация по MAC+IP. В некоторый момент оказалось что интернет перестал раздаваться... На сервере интернет есть у клиентов(в том числе у меня) Интернета нет. Пинг до удаленных узлов не проходит. Трассировка не показывает даже айпи сервера. C:\Documents and Settings\Администратор>tracert www.mail.ru Трассировка маршрута к www.mail.ru [194.67.57.26] с максимальным числом прыжков 30: 1 * * * Превышен интервал ожидания для запроса. 2 * * * Превышен интервал ожидания для запроса. кроме того пошел конфликт айпи адресов, у узлов с известными айпи адресами начались менятся маки. Оказалось что один наш юзер промышляет программами типа Сниффер. Юзер был предупрежден, но проблема осталась... Как избежать этого в будущем? Вставить ник Quote
petro_drozd Posted April 13, 2007 Author Posted April 13, 2007 Насколько я понимаю. В момент атаки нужно самому включать сниффер и смотреть что вокруг происходит. А в глобальном плане управляемые свитчи с присваиванием мак адреса порту. Вставить ник Quote
user_anonymous Posted April 15, 2007 Posted April 15, 2007 Тут нужно либо нормальное железо, либо туннели. Вставить ник Quote
Nallien Posted April 24, 2007 Posted April 24, 2007 да VPN, pppoe \ pptpd или управляемое железо (лучший вариант к торому необходимо стремиться), или же - как минимум - использование для аутентификации и авторизации на сервере кроме мака+айпи еще и логин+пароль. последний вариант самый дешевый по внедрению. Вставить ник Quote
petro_drozd Posted April 24, 2007 Author Posted April 24, 2007 Nallien, проблема насколько я понял в несовершенности самого IP протокола. Любой узел может объявить себя шлюзом, что и видно в коде первого поста. Тут логин пароль не поможет, т.к. юзер просто до шлюза достучатся не может. Ставить 100% управляемых свитчей у нас невозможно т.к. почти деревня и на 1 свитче(в боксе на столбе) висит 3-5 пользователей. Вставить ник Quote
Барий Posted April 24, 2007 Posted April 24, 2007 Я уже перестал удивляться над пользователями ТИ c авторизаторами по MAC/IP и всеми остальными инсинуациями происходящими с ними. Какой год они уже жрут свой кактус, потом плачут, потом снова жрут и снова плачут... PPPoE вам нужен. Вставить ник Quote
nording Posted April 25, 2007 Posted April 25, 2007 Вобщем существует сеть на 100+ компьютеров в 1 сегменте на мыльницах.Как избежать этого в будущем? убрать мыльницы, построить нормальный уровень доступа. либо CVLAN с 1 VLAN на клиента + роутер сверху, либо SVLAN с одним иерархическим VLAN-ом (многие с виду мыльницы вполне себе это умеют) + PPPoE-терминация сверху. Вставить ник Quote
user_anonymous Posted April 27, 2007 Posted April 27, 2007 Я уже перестал удивляться над пользователями ТИ c авторизаторами по MAC/IP и всеми остальными инсинуациями происходящими с ними.Какой год они уже жрут свой кактус, потом плачут, потом снова жрут и снова плачут... PPPoE вам нужен. PPPoE - это неплохой вариант в данном случае. Однако с точки зрения безопасности он хуже, чем VPN и гораздо хуже, чем управляемое оборудование. Вобщем, решение для очень бедных провайдеров.Вообще, если провайдер хочет иметь хоть какой-то контроль над своей сетью - без нормального оборудования ему не обойтись. Вставить ник Quote
nording Posted April 27, 2007 Posted April 27, 2007 PPPoE - (...) с точки зрения безопасности он хуже, чем VPN обоснуй. Вставить ник Quote
puh Posted April 27, 2007 Posted April 27, 2007 PPPoE - (...) с точки зрения безопасности он хуже, чем VPN обоснуй. на самом деле однофигственно плохи, за исключением того, что PPPoE чуть хуже. А хуже он не по своей воле, а потому что в винде по умолчанию для PPPoE используется PAP, а для PPTP - CHAP.Соответственно атака man-in-the-middle в случае PPPoE вырождается в почти тривиальную.... Вставить ник Quote
nording Posted April 27, 2007 Posted April 27, 2007 на самом деле однофигственно плохи, за исключением того, что PPPoE чуть хуже. А хуже он не по своей воле, а потому что в винде по умолчанию для PPPoE используется PAP, а для PPTP - CHAP.Соответственно атака man-in-the-middle в случае PPPoE вырождается в почти тривиальную.... разве? а я считал, что для PPPoE можно на сервере запретить PAP, и чудненько все без дополнительных пассов со стороны клиента аутентифицируется через CHAP.А вот PPTP как раз по умолчанию использует MSCHAPv1, который вроде как криптографически слаб и имеются на эту тему готовые эксплойты. Вставить ник Quote
Барий Posted April 28, 2007 Posted April 28, 2007 (edited) PPPoE - (...) с точки зрения безопасности он хуже, чем VPN обоснуй. на самом деле однофигственно плохи, за исключением того, что PPPoE чуть хуже. А хуже он не по своей воле, а потому что в винде по умолчанию для PPPoE используется PAP, а для PPTP - CHAP.Соответственно атака man-in-the-middle в случае PPPoE вырождается в почти тривиальную.... Это только теоретически. Практически же может оказаться не все так просто, как кажется. Все дело во времени отклика концентраторов. Любой программный концентратор ответит позже "железного", той же cisco, поэтому не так-то просто будет перехватить сессию на свою сторону, чтоб предложить peer-у PAP, в надежде, что Вася Пупкин забыл снять галочку с этого протокола. Ну а почему М$ думает не головой а задницей остается только догадываться, может из-за того, что поддержка PPPoE появилась начиная с XP или их дятлы не учли всю специфику работы PPPoE..., меня одно удивляет почему этот ньюанс все-еще не исправили. PS: PPPoE Monitor умеет создавать "правильные" коннекты (приписан АС, отключен PAP и протоколы М$), в отличии от Windows. Edited April 28, 2007 by Барий Вставить ник Quote
puh Posted April 28, 2007 Posted April 28, 2007 (edited) Это только теоретически. Практически же может оказаться не все так просто, как кажется. Все дело во времени отклика концентраторов. Любой программный концентратор ответит позже "железного", той же cisco, поэтому не так-то просто будет перехватить сессию на свою сторону, чтоб предложить peer-у PAP, в надежде, что Вася Пупкин забыл снять галочку с этого протокола.циска? в сети на мыльницах? какая? 7301 за 20 килобаксов? или 76-я с MWAM? смешно...Практически же довольно небольшое количество домушников, использующих PPPoE, запрещают PAP... Почему? видимо, из-за высокого уровня "профессионализма". Edited April 28, 2007 by puh Вставить ник Quote
Барий Posted April 28, 2007 Posted April 28, 2007 :-) Ну скажем у меня, в сети на мыльницах, 831 стоит и ниче... :-) Я в общем случае сказал. Понятно, что там где PAP - там дыра, в которой винить, в данном случае, можно только M$. Да и Роберт, тоже, в своем RASPPPOE не удосужился отключить его. Вставить ник Quote
Барий Posted April 28, 2007 Posted April 28, 2007 Да, в данном контексте темы PPPoE все же предпочтительней PPTP, т.к. не будет проблем с ARP и прочими инсинуациями сетевого уровня возникающими в неуправляемых сетях. Минус только в PAP по умолчанию. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.