MMM Опубликовано 6 октября, 2008 · Жалоба Привет. А кто и как борется с "левыми" DCHP и PPPoE в сети? Особенно в случаях, когда в сети еще не все коммутаторы управляемые? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 6 октября, 2008 · Жалоба особенно когда коммутаторы неуправляемые DHCP используют только самоубийцы, а PPPoE садомазохисты :) имхо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MMM Опубликовано 6 октября, 2008 · Жалоба особенно когда коммутаторы неуправляемые DHCP используют только самоубийцы, а PPPoE садомазохисты :)имхо. а по теме? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 6 октября, 2008 · Жалоба сделайте влан на неуправляемый свич(дом) - всё что можно РЕАЛЬНО сделать. остальное шаманство ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadimus Опубликовано 6 октября, 2008 · Жалоба Сеть в 1100 абонентов. С DHCP никак - пофигу, не мешают, а с PPPoE-ни разу не было случаев обнаружения левых серверов! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 6 октября, 2008 · Жалоба Сеть в 1100 абонентов. С DHCP никак - пофигу, не мешают, а с PPPoE-ни разу не было случаев обнаружения левых серверов! можно я вам своих хакеров переселю? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadimus Опубликовано 6 октября, 2008 (изменено) · Жалоба Я работаю в деревне (микрорайон с преимущественно частными домами) - таким хакерам служба безопасности при успешном обнаружении просто открутит голову =) Если это раньше не сделают пострадавшие пользователи =) Изменено 6 октября, 2008 пользователем vadimus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MMM Опубликовано 6 октября, 2008 · Жалоба Сеть в 1100 абонентов. С DHCP никак - пофигу, не мешают, а с PPPoE-ни разу не было случаев обнаружения левых серверов!наши "левые" PPPoE - это не хакеры.Тупо включают в нашу сеть adsl или кабельные модемы в bridge. сделайте влан на неуправляемый свич(дом) - всё что можно РЕАЛЬНО сделать.остальное шаманство ))) сделали, но юзеры на этом свиче(доме) продолжают страдать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 6 октября, 2008 (изменено) · Жалоба >сделали, но юзеры на этом свиче(доме) продолжают страдать. Меняйте оставшиеся неуправляемые на умеющие port based vlan. Совершенно незатратно. Изменено 6 октября, 2008 пользователем disappointed Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmokerMan Опубликовано 7 октября, 2008 · Жалоба А какие конкретно бюджетные коммутаторы с port based vlan посоветуете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 7 октября, 2008 · Жалоба А какие конкретно бюджетные коммутаторы с port based vlan посоветуете? compex ps2216, например Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 7 октября, 2008 · Жалоба А объясните, плз, чем так плохи "левые" PPPoE серверы в сети? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmokerMan Опубликовано 7 октября, 2008 · Жалоба Тем, что абоненты на них будут пробовать цепляться... Со всеми вытекающими... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 7 октября, 2008 · Жалоба А объясните, плз, чем так плохи "левые" PPPoE серверы в сети? У Винды по умолчанию разрешен PAP. А это означает, что Ваш пароль может легко стать "достоянием гласности". Ведь незаконный PPPoE NAS может его получить от Вас в нешифрованном виде. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ArDamant Опубликовано 7 октября, 2008 · Жалоба бороться с левыми dhcp и pppoe без управляшек все равно что авдеевы конюшни чистить а я при помощи DES 3526 борюсь так dhcp create access_profile ip udp src_port_mask 0xFFFF profile_id 1 config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 26 permit config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-25 deny pppoe create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xFFFF00FF profile_id 33 config access_profile profile_id 33 add access_id 1 packet_content_mask offset_0-15 0x0 0x0 0x0 0x88630007 port 1-25 deny всякая ерись create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 100 config access_profile profile_id 100 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-26 deny плюс еще десяток ACL для блокировки нетбиоса, файпрессов и индивидуальные Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadimus Опубликовано 7 октября, 2008 · Жалоба А объясните, плз, чем так плохи "левые" PPPoE серверы в сети? У Винды по умолчанию разрешен PAP. А это означает, что Ваш пароль может легко стать "достоянием гласности". Ведь незаконный PPPoE NAS может его получить от Вас в нешифрованном виде. Нужно на сервере доступа запретить PAP, и всё =) Кроме того, нужно еще установить на сервере service name, и обязательно обозначить необходимость его указания в инструкции по созданию PPPoE соединения для пользователей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Мартен Опубликовано 7 октября, 2008 · Жалоба речь про клиентов. их вы как заставите pap отключить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 8 октября, 2008 · Жалоба В одном широковещательном сегменте запросто могут существовать 2 и более PPPoE сервера с одинаковым "service name". Один из них запросто - нелегельный. Такой сервер включается на пару минут. Хватает сессии,обьявляет PAP и ловит Ваши пароли. Потом выключается. И хрен его найдеш. :-( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skylaer Опубликовано 8 октября, 2008 · Жалоба Тупо даю влан на дом или часть дома За появлением левых pppoe серверов смотрит програмка. Ну и у пользрвателей по умолчанию делаются правильные настройки (PAP на сервере отключен). В итоге проблем за 5 лет - 0. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 8 октября, 2008 · Жалоба Значит на каждый влан по PPPoE интерфейсу ? Или как ? Если не секрет, сколько домов/вланов ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadimus Опубликовано 8 октября, 2008 (изменено) · Жалоба В одном широковещательном сегменте запросто могут существовать 2 и более PPPoE сервера с одинаковым "service name".Один из них запросто - нелегельный. Такой сервер включается на пару минут. Хватает сессии,обьявляет PAP и ловит Ваши пароли. Потом выключается. И хрен его найдеш. :-( Да, кстати, об этом я не подумал! Значит, нужно сделать программку с автонастройками PPPoE, которая отключала бы PAP при создании соединения, и раздавать её абонентам при заключении договора. Программисту работы часов на 6 наверное, не больше. Изменено 8 октября, 2008 пользователем vadimus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skylaer Опубликовано 8 октября, 2008 · Жалоба Значит на каждый влан по PPPoE интерфейсу ? Или как ?Если не секрет, сколько домов/вланов ? Да, именно так. Интерфейсов в сумме около 2000. Терминируется разными bras'ами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 8 октября, 2008 · Жалоба Мда... есть о чем подумать. У нас оказалось выгоднее "вырезать" PPPoE на аксесе + сегментация на аксеcе + сегментация на агрегации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skylaer Опубликовано 8 октября, 2008 · Жалоба Тут еще добавляется автоматическое решение проблемы, когда 2 пользователя в районе подключаются к 2 операторам и ставят дома свичи :)) Эдакое немаленькое колечко Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 8 октября, 2008 · Жалоба PPPOE левых не видел. Везде 3526. Но почитал про левый сервер и подумал что сделаю защиту. На сайте длинка есть все. Левые DHCP - рубите 67 порт у абонентов. С неуправляемыми свичами делать особо нечего, но все же есть свои методы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...