Jump to content

"Левые" DCHP и PPPoE

MMM
 Share

Recommended Posts

MMM

MMM

Posted
Posted

Привет.

 

А кто и как борется с "левыми" DCHP и PPPoE в сети?

 

Особенно в случаях, когда в сети еще не все коммутаторы управляемые?

 

MMM

MMM

Posted
  • Author
Posted
особенно когда коммутаторы неуправляемые DHCP используют только самоубийцы, а PPPoE садомазохисты :)

имхо.

а по теме?
vadimus

vadimus

Posted
Posted

Сеть в 1100 абонентов. С DHCP никак - пофигу, не мешают, а с PPPoE-ни разу не было случаев обнаружения левых серверов!

ingress

ingress

Posted
Posted
Сеть в 1100 абонентов. С DHCP никак - пофигу, не мешают, а с PPPoE-ни разу не было случаев обнаружения левых серверов!

можно я вам своих хакеров переселю? :)

vadimus

vadimus

Posted
Posted (edited)

Я работаю в деревне (микрорайон с преимущественно частными домами) - таким хакерам служба безопасности при успешном обнаружении просто открутит голову =) Если это раньше не сделают пострадавшие пользователи =)

Edited by vadimus
MMM

MMM

Posted
  • Author
Posted
Сеть в 1100 абонентов. С DHCP никак - пофигу, не мешают, а с PPPoE-ни разу не было случаев обнаружения левых серверов!
наши "левые" PPPoE - это не хакеры.

Тупо включают в нашу сеть adsl или кабельные модемы в bridge.

 

сделайте влан на неуправляемый свич(дом) - всё что можно РЕАЛЬНО сделать.

остальное шаманство )))

сделали, но юзеры на этом свиче(доме) продолжают страдать.
disappointed

disappointed

Posted
Posted (edited)

>сделали, но юзеры на этом свиче(доме) продолжают страдать.

 

Меняйте оставшиеся неуправляемые на умеющие port based vlan. Совершенно незатратно.

Edited by disappointed
Ivan Rostovikov

Ivan Rostovikov

Posted
Posted
А объясните, плз, чем так плохи "левые" PPPoE серверы в сети?

У Винды по умолчанию разрешен PAP.

А это означает, что Ваш пароль может легко стать "достоянием гласности".

Ведь незаконный PPPoE NAS может его получить от Вас в нешифрованном виде.

ArDamant

ArDamant

Posted
Posted

бороться с левыми dhcp и pppoe без управляшек все равно что авдеевы конюшни чистить

 

 

а я при помощи DES 3526 борюсь так

 

dhcp

 

create access_profile ip udp src_port_mask 0xFFFF profile_id 1

config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 26 permit

config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-25 deny

 

pppoe

 

create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xFFFF00FF profile_id 33

config access_profile profile_id 33 add access_id 1 packet_content_mask offset_0-15 0x0 0x0 0x0 0x88630007 port 1-25 deny

 

всякая ерись

 

create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 100

config access_profile profile_id 100 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-26 deny

 

 

плюс еще десяток ACL для блокировки нетбиоса, файпрессов и индивидуальные

 

vadimus

vadimus

Posted
Posted
А объясните, плз, чем так плохи "левые" PPPoE серверы в сети?

У Винды по умолчанию разрешен PAP.

А это означает, что Ваш пароль может легко стать "достоянием гласности".

Ведь незаконный PPPoE NAS может его получить от Вас в нешифрованном виде.

Нужно на сервере доступа запретить PAP, и всё =) Кроме того, нужно еще установить на сервере service name, и обязательно обозначить необходимость его указания в инструкции по созданию PPPoE соединения для пользователей.
Ivan Rostovikov

Ivan Rostovikov

Posted
Posted

В одном широковещательном сегменте запросто могут существовать 2 и более PPPoE сервера с одинаковым "service name".

Один из них запросто - нелегельный.

Такой сервер включается на пару минут. Хватает сессии,обьявляет PAP и ловит Ваши пароли. Потом выключается. И хрен его найдеш. :-(

Skylaer

Skylaer

Posted
Posted

Тупо даю влан на дом или часть дома

За появлением левых pppoe серверов смотрит програмка.

 

Ну и у пользрвателей по умолчанию делаются правильные настройки (PAP на сервере отключен).

В итоге проблем за 5 лет - 0.

vadimus

vadimus

Posted
Posted (edited)
В одном широковещательном сегменте запросто могут существовать 2 и более PPPoE сервера с одинаковым "service name".

Один из них запросто - нелегельный.

Такой сервер включается на пару минут. Хватает сессии,обьявляет PAP и ловит Ваши пароли. Потом выключается. И хрен его найдеш. :-(

Да, кстати, об этом я не подумал! Значит, нужно сделать программку с автонастройками PPPoE, которая отключала бы PAP при создании соединения, и раздавать её абонентам при заключении договора. Программисту работы часов на 6 наверное, не больше. Edited by vadimus
Skylaer

Skylaer

Posted
Posted
Значит на каждый влан по PPPoE интерфейсу ? Или как ?

Если не секрет, сколько домов/вланов ?

Да, именно так.

 

Интерфейсов в сумме около 2000.

Терминируется разными bras'ами.

Skylaer

Skylaer

Posted
Posted

Тут еще добавляется автоматическое решение проблемы, когда 2 пользователя в районе подключаются к 2 операторам и ставят дома свичи :))

Эдакое немаленькое колечко

Negator

Negator

Posted
Posted

PPPOE левых не видел. Везде 3526. Но почитал про левый сервер и подумал что сделаю защиту. На сайте длинка есть все.

Левые DHCP - рубите 67 порт у абонентов.

С неуправляемыми свичами делать особо нечего, но все же есть свои методы.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.