Jump to content

#168. Биллинги "домашних сетей"

Nag

By Nag
in У нага

 Share

Recommended Posts

  • Replies 50
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

jab

jab

Posted
Posted

Вообще конечно интересно, что автор статьи понимает под

собственно "биллингом" ? Я например так и не понял.

nuclearcat

nuclearcat

Posted
Posted

Буквальный перевод "billing" - выписывание счета, в народе уже прижилось понятие биллинг - система управляющая доступом пользователей. К ней имеет прямое отношение как собственно узконаправленный софт занятый подсчетом дел финансовых(хотя это скорее accounting software), система доступа и сервера доступа... имхо так. Я не претендую на докторскую, но лучшего названия в голову не пришло... если есть другие предложения - предлагайте, имхо переименовать никогда не поздно.

jab

jab

Posted
Posted

Вообще практически все виденные мною биллинги имели модульную структуру,

кроме откровенно убогих shell-скриптов размером в 250kB на заре цивилизации.

То что описано в статье называется "модуль авторизации" на него обычно еще

накручен "модуль сбора статистики" и "модуль тарификации услуг", ну и

сбоку модули управления и отчетов которых может быть очень много разных.

Сервера доступа сейчас практически все поддерживают RADIUS изначально,

равно как и биллинговые системы. То есть на данном этапе сеть с кучей

концентраторов PPPoE фактически ничем не отличается ( кроме объемов

траффика ) от диалапного пула традиционных провайдеров. VPN c PPTP ничем

кроме уровня передачи данных и инкапсуляции от PPPoE на мой взгляд

не отличается.

Mi4el

Mi4el

Posted
Posted

Сабж развернутый в содержании статьи относится к Биллингу только, к примеру по userid и auth_status :), ИМХО рассказ идет ТОЛЬКО о системе аутенфикации пользователей. Для начинающих очень полезная статья, мне понравилось. Респект. Жду продолжения.. :) Кстати хотелось бы побольше узнать чем плохо использование PPTP(MSCHAP v2 к примеру) и в чем преимущества PPPoE в плане удобства/безопастности. Можно на форуме :).

nuclearcat

nuclearcat

Posted
Posted
Вообще практически все виденные мною биллинги имели модульную структуру,

кроме откровенно убогих shell-скриптов размером в 250kB на заре цивилизации.

То что описано в статье называется "модуль авторизации" на него обычно еще  

накручен "модуль сбора статистики" и "модуль тарификации услуг", ну и  

сбоку модули управления и отчетов которых может быть очень много разных.

Сервера доступа сейчас практически все поддерживают RADIUS изначально,  

равно как и биллинговые системы. То есть на данном этапе сеть с кучей  

концентраторов PPPoE фактически ничем не отличается ( кроме объемов  

траффика ) от диалапного пула традиционных провайдеров. VPN c PPTP ничем

кроме уровня передачи данных и инкапсуляции от PPPoE на мой взгляд  

не отличается.

 

Для меня биллинги домашних сетей, не конкретные софтовые реализации примочек к радиусам и прочему зоопарку софта, а само понятие авторизации, учета траффика и вообще, с примерами известных мне решений. Ессно, в другой статье можно назвать "лучший биллинг для локалок", описав NetUp. Каждый думает по разному...

nuclearcat

nuclearcat

Posted
Posted

По части PPPoE, думаю напишу что и почем, и про PPTP своим опытом тоже поделюсь:

 

PPTP - базируется на IP, чтобы его перехватить, злодею достаточно недалеко от юзера поставить IP сервера и его MAC. Есть вероятность, что юзер законнектиться на его PPTP сервер и отдаст пароли (если юзер принудительно не отключил PAP).

PPPoE - имеет защиту получше, во первых не базируется на IP (которые сильно страдают из-за подмены IP, и прочего баловства), во вторых имеют не особо надежную, но какую-то защиту, AC cookies. Правда против серьезного хакера, она почти бесполезна, и рассчитана более на DSL.

nuclearcat

nuclearcat

Posted
Posted

В чем отличие MSCHAP от CHAP?

 

CHAP использует MD5 авторизацию, и соответственно требует хранения оригинального пароля на диске, т.е. система использующая CHAP - не пройдет C2 сертификацию. MSCHAP использует собственный алгоритм от MS, базирующися на DES(вообще кстати говорят ломаемый), и не хранит на диске открытый пароль.

Это единственное различие имхо, неудобство в использовании CHAP только в открытых паролях, и в том, что ваша система не пройдет C2. :)

jab

jab

Posted
Posted
Для меня биллинги домашних сетей, не конкретные софтовые реализации примочек к радиусам и прочему зоопарку софта, а само понятие авторизации, учета траффика и вообще, с примерами известных мне решений. Ессно, в другой статье можно назвать "лучший биллинг для локалок", описав NetUp. Каждый думает по разному...

 

Абсолют опишите как лучший биллинг для локалок. :-)

Guest

Guest

Posted
Posted

Совершенно упущен момент безголовости пользователей, имея у них winXXX

системы с кучей троянов/вирусов вы никогда не избавитесь от кражи паролей,

шифрование не поможет, когда у юзера запущен keylogger... IMHO это основной

способ , кроме подглядывания и чрезмерной доверчивости...

 

Изучайте судебные дела т.н. хакеров - они просто воровали чужие аккаунты

с помощью троянов ...

 

Далее - эпопея с червем MyDoom еще раз доказывает поголовную безголовость

основной массы пользователей -(

nuclearcat

nuclearcat

Posted
Posted

По крайней мере, когда у юзера отсутствует IP в локалке, его сложнее заэксплоитить... хотя если поймает трояна который шлет данные по мылу - то да... хана :( хотя если запретить проход напрямую SMTP, и сделать SMTP с логином-паролем, задача трояна усложняется

jab

jab

Posted
Posted

Практика показывает, что в местах где парочку хакеров отловили и посадили

на недельку в КПЗ ( до суда довести такое дело - себе дороже встанет,

хотя если есть время... ) с конфискацией компьютеров для проверки

на пару месяцев ( милиция быстрее не работает ), оные хакеры переводятся

как класс на пару-тройку лет. После чего см. пункт первый. :-)

Желательно конечно еще найтить среди собутыльников околокомпьютерного

папарацци, который это дело будет освещать...

nuclearcat

nuclearcat

Posted
Posted

Согласен с jab, административный метод пресечения, гораздо надежнее чем извороты админа с портами и прочим, что в итоге приводит к ухудшению качества услуг.

Guest

Guest

Posted
Posted

> административный метод пресечения, гораздо надежнее

 

Последнее китайское предупреждение...Они кстати уже предупредили спаммеров...

 

Административные и правовые методы не работают даже в том случае если

вы официальный провайдер со всеми необходимыми бумагами. ну и соответственно с нужными органами (провайдеры поймут)

 

Большинство пойманных т.н. хакеров отделываются обьяснительными , если конечно в плане органов нет поимки очередного хакера, вот тогда и возникает судебный процесс с тупыми экспертами,умным адвокатом и ничего в этом , к глубокому сожалению, не понимающем судьей...

Guest

Guest

Posted
Posted

вопрос такой

 

1. можно ли предоставить доступ к pppoe-серверу, находящимся за роутером. роутер - не комп, а железяка

2. какое оборудование можно порекомендовать для подключения по pppoe для доступа в интернет нескольких тысяч клиентов?...

nuclearcat

nuclearcat

Posted
Posted

1. Да, если роутер умеет это, Циски например умеют. Смотрите pppoe relay.

http://www.cisco.com/univercd/cc/td/doc/pr..._4/gtpppoer.pdf

 

2. ServPoet или Cisco, если есть деньги, если нет - кластер Линуксов, это навскидку. В следующем обзоре будет более подробная инфа, он уже готов(по части статьи), продолжение будет, и достаточно длинное.

Guest

Guest

Posted
Posted

роутер AT-9816GB, сам умеет быть pppoe концентратором, но всего 512 соединений

функции pppoe relay как таковой нету, но умеет делать l2tp туннелирование....

 

2. ServPoet или Cisco, если есть деньги

а можно будет указать конкретные модели? :)

+интересно, умеет ли концентратор работать с vlan'ами

nuclearcat

nuclearcat

Posted
Posted

Любая Cisco может терминировать PPPoE, в зависимости конечно от IOS. Количество терминируемых соединений - зависит от процессора. В следующей статье будет об цифрах.

 

В смысле, PPPoE on VLAN?

nuclearcat

nuclearcat

Posted
Posted

Возможно я что-то не понял, но например такая схема:

 

PPPoE концентратор имеет несколько VLAN интерфейсов, это идет по одному шнурку на несколько хабов, каждый хаб подключен к своему VLAN. Итого - пользователи видят только свои хабы, и через них только свой VLAN, и допустим хаб подключенный к VLAN1 не сможет общаться с VLAN5. Возможно я конечно не прав, или ошибаюсь, но схема интересная. :)

jab

jab

Posted
Posted

Понял, это компромисное решение позволяющее увеличить количество

портов 3уровня не установкой интерфейсных карт в роутер а установкой

свитча 2уровня с поддержкой dot1q vlan. На некотором этапе развития

становится экономически более оправданным. Свитчи дешевеют а

сетевухи многопортовые дорожают. :-)

Nag

Nag

Posted
  • Author
Posted
Понял, это компромисное решение позволяющее увеличить количество  

портов 3уровня не установкой интерфейсных карт в роутер а установкой  

свитча 2уровня с поддержкой dot1q vlan.  

 

Нифига себе компромисное...

Это возможность получить ЛЮБОЙ порт в сети (или их произвольную группу по всей территории) как интерфейс на роутере. :-)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.