Гость Опубликовано 30 августа, 2004 · Жалоба Вечная тема привезки к юзера к маку. А что если сделать коробочку, которая вешается на кабель и меняет MAC на всех проходящих ethernet пакетах? Т.е. юзер может менять сетевуху как хочет - его МАС действует только до коробочки, дальше идет MAC зашитый в коробочку, по нему идет подсчет трафа и все что нужно. Остается вопрос себистоимости, и правильной работы ARP|RARP протоколов. Выскажитесь, обсудим идею. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 30 августа, 2004 · Жалоба Cisco 7206 например с этим вполне справится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tet Опубликовано 30 августа, 2004 · Жалоба Тема подымалась ранее:http://forum.nag.ru/viewtopic.php?t=711 Можно и Cisco(для эстЭтов :-), а можно самый простенький SOHO-роутер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 30 августа, 2004 · Жалоба А ещё можно поднять PPPoE и не забивать голову решением нерешаемых в принципе проблем, связанными с применением небезопасных технологий. Всякие привязки MAC'ов к IP или к порту свитча только создают дополнительный геморрой для легальных пользователей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tim777 Опубликовано 31 августа, 2004 · Жалоба Вечная тема привезки к юзера к маку.А что если сделать коробочку, которая вешается на кабель и меняет MAC на всех проходящих ethernet пакетах? Т.е. юзер может менять сетевуху как хочет - его МАС действует только до коробочки, дальше идет MAC зашитый в коробочку, по нему идет подсчет трафа и все что нужно. Остается вопрос себистоимости, и правильной работы ARP|RARP протоколов. Выскажитесь, обсудим идею. Ну на первый взгляд идея решает все проблемы, но это только на первый. Q1. Что мешает пользователю включится мимо это шутуки? A1. Да ничего кроме MAC привязки на маршрутизаторе. Q2. А нах она тогда нужна? A2. Да нафиг не нужна. Если только не обеспечивает шифрование и (или) парольный доступ. Как видно из A2 все-таки решение c pppoe дает теже преимущества. Soho роутеры умеют pppoe. Вопрос как всегда упирается в деньги. Так как подключение пользователя производистся по себестоимости кабель+сетевая карта и пользователь не согласен платить больше. А так можно много чего предложить. Ну так на вскидку - сетевая и коммутатор шуфруют трафик несимметричными ключами как в ssh. Правда того же можно добиться и с помощю ipsec. Пока пользователь не согласен платить за сервис его не надо предоставлять. Если пользователь согласен каждый месяц разбираться откуда траффик взялся вместо того чтобы заплатить чуть больше, пусть оно так и будет. Тут два варианта: оператор берет за безопасность, а пользователь платит; они имеют обоюдный секс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Barsick Опубликовано 31 августа, 2004 · Жалоба А что если сделать коробочку, которая вешается на кабель и меняет MAC на всех проходящих ethernet пакетах? Т.е. юзер может менять сетевуху как хочет - его МАС действует только до коробочки, дальше идет MAC зашитый в коробочку Сделать самому реально только на 10мбит, и то будет не самым дешевым решением. Имхо проще научится впаиваль в свич однокристалку, которая по ресету будет зашивать в ядро свича по SMI фиксированную lookup table с маками пользователей, а потом ее "замораживать" Но при подключении нового юзера - перешивать таблицу :( НО! Можно зашить таблицу один раз, и заставлять пользователей вписывать свои маки вручную! Во какие идеи с похмелья в голову приходят :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 31 августа, 2004 · Жалоба tim777 - насчет Q1 - а кто сказал, что абонент имеет доступ к устройству? Устройство стоит в этажном ящике, который как минимум на замке. PPPoE - есть недостатки, даже CHAP можно подламывать, счас мощьности компов хватит взломать за день-другой натыренные хэши. UglyAdmin - в чем нерешаемость? если это дороже чем свичи с порт-базед секурити - это другое дело. А насчет привязки - яж говорю, к юзеру привязки нет, пусть меняет себе че хочет, просто в сеть его пакеты пойдут под определенным МАСом. Возможны сложности с ARP протоколом, но я и задавал вопрос - будут проблемы с АРП или нет. Barsick - насчет себистоимости - я не очень представлюя необходимую элементную базу, но сетевухи 100 мбит счас стоят 4 бакса. jab - может я не то увидел, но такая циска стоит от 4000 тыр зелени. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 31 августа, 2004 · Жалоба но сетевухи 100 мбит счас стоят 4 бакса На клиента по две сетевухи плюс работа, получается 10$ порт если серия будет большая. Цена порта управляемого свича около 15$, помоему ты ничего не выгадаешь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 31 августа, 2004 · Жалоба Сломать хэши можно только если man_in_the_middle, только кто ж ему даст ? :-) Вообще стоимость такой атаки будет многократно превышать стоимость того что можно с ее помощью украсть, а вероятность того что при этом поймают - 99%. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 31 августа, 2004 · Жалоба jab - может я не то увидел, но такая циска стоит от 4000 тыр зелени. Что, мало ? Ну возьмите 7603 тогда, и каждому пользователю продайте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 31 августа, 2004 · Жалоба злой ты :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 31 августа, 2004 · Жалоба Ну я же ответил на вопрос "себистоимости" ? :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...