[MMM]

Привет.

 

А кто и как борется с "левыми" DCHP и PPPoE в сети?

 

Особенно в случаях, когда в сети еще не все коммутаторы управляемые?

 

[ingress]

особенно когда коммутаторы неуправляемые DHCP используют только самоубийцы, а PPPoE садомазохисты :)

имхо.

[MMM]

особенно когда коммутаторы неуправляемые DHCP используют только самоубийцы, а PPPoE садомазохисты :)

имхо.

а по теме?

[ingress]

сделайте влан на неуправляемый свич(дом) - всё что можно РЕАЛЬНО сделать.

остальное шаманство )))

[vadimus]

Сеть в 1100 абонентов. С DHCP никак - пофигу, не мешают, а с PPPoE-ни разу не было случаев обнаружения левых серверов!

[ingress]

Сеть в 1100 абонентов. С DHCP никак - пофигу, не мешают, а с PPPoE-ни разу не было случаев обнаружения левых серверов!

можно я вам своих хакеров переселю? :)

[vadimus]

Я работаю в деревне (микрорайон с преимущественно частными домами) - таким хакерам служба безопасности при успешном обнаружении просто открутит голову =) Если это раньше не сделают пострадавшие пользователи =)

Изменено 6 октября, 2008 пользователем vadimus

[MMM]

Сеть в 1100 абонентов. С DHCP никак - пофигу, не мешают, а с PPPoE-ни разу не было случаев обнаружения левых серверов!

наши "левые" PPPoE - это не хакеры.

Тупо включают в нашу сеть adsl или кабельные модемы в bridge.

 

сделайте влан на неуправляемый свич(дом) - всё что можно РЕАЛЬНО сделать.

остальное шаманство )))

сделали, но юзеры на этом свиче(доме) продолжают страдать.

[disappointed]

>сделали, но юзеры на этом свиче(доме) продолжают страдать.

 

Меняйте оставшиеся неуправляемые на умеющие port based vlan. Совершенно незатратно.

Изменено 6 октября, 2008 пользователем disappointed

[SmokerMan]

А какие конкретно бюджетные коммутаторы с port based vlan посоветуете?

[cmhungry]

А какие конкретно бюджетные коммутаторы с port based vlan посоветуете?

compex ps2216, например

[Macil]

А объясните, плз, чем так плохи "левые" PPPoE серверы в сети?

[SmokerMan]

Тем, что абоненты на них будут пробовать цепляться... Со всеми вытекающими...

[Ivan Rostovikov]

А объясните, плз, чем так плохи "левые" PPPoE серверы в сети?

У Винды по умолчанию разрешен PAP.

А это означает, что Ваш пароль может легко стать "достоянием гласности".

Ведь незаконный PPPoE NAS может его получить от Вас в нешифрованном виде.

[ArDamant]

бороться с левыми dhcp и pppoe без управляшек все равно что авдеевы конюшни чистить

 

 

а я при помощи DES 3526 борюсь так

 

dhcp

 

create access_profile ip udp src_port_mask 0xFFFF profile_id 1

config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 26 permit

config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-25 deny

 

pppoe

 

create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xFFFF00FF profile_id 33

config access_profile profile_id 33 add access_id 1 packet_content_mask offset_0-15 0x0 0x0 0x0 0x88630007 port 1-25 deny

 

всякая ерись

 

create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 100

config access_profile profile_id 100 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-26 deny

 

 

плюс еще десяток ACL для блокировки нетбиоса, файпрессов и индивидуальные

 

[vadimus]

А объясните, плз, чем так плохи "левые" PPPoE серверы в сети?

У Винды по умолчанию разрешен PAP.

А это означает, что Ваш пароль может легко стать "достоянием гласности".

Ведь незаконный PPPoE NAS может его получить от Вас в нешифрованном виде.

Нужно на сервере доступа запретить PAP, и всё =) Кроме того, нужно еще установить на сервере service name, и обязательно обозначить необходимость его указания в инструкции по созданию PPPoE соединения для пользователей.

[Мартен]

речь про клиентов. их вы как заставите pap отключить?

[Ivan Rostovikov]

В одном широковещательном сегменте запросто могут существовать 2 и более PPPoE сервера с одинаковым "service name".

Один из них запросто - нелегельный.

Такой сервер включается на пару минут. Хватает сессии,обьявляет PAP и ловит Ваши пароли. Потом выключается. И хрен его найдеш. :-(

[Skylaer]

Тупо даю влан на дом или часть дома

За появлением левых pppoe серверов смотрит програмка.

 

Ну и у пользрвателей по умолчанию делаются правильные настройки (PAP на сервере отключен).

В итоге проблем за 5 лет - 0.

[Ivan Rostovikov]

Значит на каждый влан по PPPoE интерфейсу ? Или как ?

Если не секрет, сколько домов/вланов ?

[vadimus]

В одном широковещательном сегменте запросто могут существовать 2 и более PPPoE сервера с одинаковым "service name".

Один из них запросто - нелегельный.

Такой сервер включается на пару минут. Хватает сессии,обьявляет PAP и ловит Ваши пароли. Потом выключается. И хрен его найдеш. :-(

Да, кстати, об этом я не подумал! Значит, нужно сделать программку с автонастройками PPPoE, которая отключала бы PAP при создании соединения, и раздавать её абонентам при заключении договора. Программисту работы часов на 6 наверное, не больше.

Изменено 8 октября, 2008 пользователем vadimus

[Skylaer]

Значит на каждый влан по PPPoE интерфейсу ? Или как ?

Если не секрет, сколько домов/вланов ?

Да, именно так.

 

Интерфейсов в сумме около 2000.

Терминируется разными bras'ами.

[Ivan Rostovikov]

Мда... есть о чем подумать.

У нас оказалось выгоднее "вырезать" PPPoE на аксесе + сегментация на аксеcе + сегментация на агрегации.

 

[Skylaer]

Тут еще добавляется автоматическое решение проблемы, когда 2 пользователя в районе подключаются к 2 операторам и ставят дома свичи :))

Эдакое немаленькое колечко

[Negator]

PPPOE левых не видел. Везде 3526. Но почитал про левый сервер и подумал что сделаю защиту. На сайте длинка есть все.

Левые DHCP - рубите 67 порт у абонентов.

С неуправляемыми свичами делать особо нечего, но все же есть свои методы.