Одесса: 5°С (вода 9°С)
Киев: -1°С
Львов: 4°С

Тема: Сети провайдеров: диагностика и безопасность

Ответить в теме
Страница 1 из 2 1 2 ПоследняяПоследняя
Показано с 1 по 20 из 33
  1. Вверх #1
    Постоялец форума Аватар для Guffy
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    43
    Сообщений
    1,364
    Репутация
    251
    Записей в дневнике
    3

    По умолчанию Сети провайдеров: диагностика и безопасность

    Вот думал, думал - писать не писать и решился.
    В свете недавних событий на выходных возникает несколько банальных вопросов к провайдерам (ну и привет родному провайдеру ).

    1. Используются ли на коммутаторах агенты анализатора пакетов - если нет - почему? Задиагноститровав за пару минут проблему, дозвонился (на удивление) в поддержку - но создалось впечатление, что оператор просто меня не понял. Хорошо хоть вежливо предложил прислать мастеров с ноутбуком в течении 3 часов. Если проблема в моем компьютере - вызов за мой счет. Я согласился. Мастера пришли через час (за что респект) - и эпопея затянулась еще часа на полтора. Проблему решили, денег не взяли .
    Теперь вопрос - зачем было гонять людей, если бы толковый человек, воспользовавшись анализатором пакетов (и агентом захвата в требуемой подсетке) за те же 5 мин увидел бы тоже что и я. И в целом найти виновного можно было за 10 мин, а не за 3 часа.

    2. Задумыватся ли провайдеры о безопасности своих локальных сетей? Что они думают по поводу, например, внедрения 802.1х?
    Почему до сих пор используется VPN с аутентификацией PAP ? Почему я, а не провайдер, должен задумываться о нюансах VPN+PAP, DHCP и ARP - что будет если какой-то засранец поднимет левый DHCP сервер или займется такой веселухой как ARP-poisoning.
    Какие соображения у провайдеров на тему 802.1х, EAP+TLS, IPSec?

    3. Когда мастеров научат чему-то кроме ping? Где знания хотя бы банальной утилиты arp (не говоря уже о Packetyzer/Ethereal)?
    Последний раз редактировалось Guffy; 27.08.2007 в 18:36.


  2. Вверх #2
    Кайзер всея Германiи

    Аватар для Kaiser_Wilhelm_II
    Пол
    Мужской
    Адрес
    Одесса
    Сообщений
    7,371
    Репутация
    1040
    Все ваши вопросы закончатся тогда, когда операторам на телефонах техподдержки начнут платить хорошую зарплату, и там станут работать грамотные люди, а не студенты, знающие только команду ping.
    Редактор "Южного Курьера"

  3. Вверх #3
    Для начала нужно было выяснить, что за "чудо" свитч стоял на стороне провайдера и может половина вопросов отпала бы.
    http://www.provider.net.ru/article.71.php

  4. Вверх #4
    Кайзер всея Германiи

    Аватар для Kaiser_Wilhelm_II
    Пол
    Мужской
    Адрес
    Одесса
    Сообщений
    7,371
    Репутация
    1040
    Да уж, многим одесским провайдерам не мешало бы заменить кучи тупых свичей вроде Planet-SW802 на что-либо более умное...
    Редактор "Южного Курьера"

  5. Вверх #5
    Постоялец форума Аватар для Guffy
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    43
    Сообщений
    1,364
    Репутация
    251
    Записей в дневнике
    3
    Модель свича не скажу, ибо не могу знать.
    Собс-но в произошедшей ситуации это не играет особой рояли. Мало какой свитч ситуацию бы просек или предотвратил. А вот удаленно заграббить пакеты и отключить редиску - тут хороший свитч однозначно ускорил бы дело.
    А статейка занятная, про 3 и 4 поколения... Но лирическая - автор не делает хотя бы личных предположений - а какая же должна это быть сеть 4го поколения

  6. Вверх #6
    Ну так вы толком и не сказали что у вас произошло, хотя можно догадаться, что очередной флудер срал мак адресами, забил мыльнице мозги и та стала транслировать всю эту белиберду на все порты. Так вот и прямой вопрос вашему провайдеру о типе его оборудования и средствах мониторинга сети - давайте начнем с него плясать.

  7. Вверх #7
    Постоялец форума Аватар для Guffy
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    43
    Сообщений
    1,364
    Репутация
    251
    Записей в дневнике
    3
    Нет, не угадали. С мыльницой или не мыльницой возможно было все в порядке. (возможно?) Какой-то засранец на ARP-запросы тех, кто был на данный момент в сети, посылал ARP-ответ, что это его ИП. После получения адреса по DHCP ИП дополнительно проверяется - а нет ли уже у кого такого. И он был! В результате, все после получения DHCP ответа после перепроверки отваливались ни с чем - нельзя получить адрес.
    А сос стороны провайдера на первый взгляд все было пристойно - DHCP запросы идут, ИП раздаются.

  8. Вверх #8
    Постоялец форума Аватар для Guffy
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    43
    Сообщений
    1,364
    Репутация
    251
    Записей в дневнике
    3
    И я это понял сразу - как только посмотрел через Packetyzer пакетики.
    А оператора поддержки и мастеров пришлось уговаривать - винду мне переставлять совсем ни к чему и ее обновления тут ни при чем

  9. Вверх #9
    Интересно получается, с одной стороны вы воспользовались средством диагностики сетей, а с другой стороны средством для перехвата трафика и возможно использования потом чужих паролей и др. информации. Тот человек занимался арп спуфингом, а вы снифингом. Тут действительно железо ни причем, админу задницу пороть надо.

  10. Вверх #10
    Постоялец форума Аватар для Guffy
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    43
    Сообщений
    1,364
    Репутация
    251
    Записей в дневнике
    3
    Я без специальных ухищрений не могу подслушать чужой траффик кроме широковещательного - это ж свитч А слушать собственный - это мое дело.
    Если б я не пользовался мозгом и инструментами - так и переставлял бы винду по каждому совету мастеров.
    Но дело не в этом.
    Кроме самого факта меня заинтриговала 3х часовая эпопея.
    Я дозвонился (примерно через 30мин после начала трабла) и четко доложил проблему. На ее устрание ушло 2.5 часа.
    Поставленный диагноз просто никто не воспринял всеръез (видимо потому что шквала звонков не было),
    пока на ноуте мастера не было продемонстрировано в его АРП таблице два ИП с одинаковым МАК.
    Если бы кто-то из важных людей (а кого-то точно дернули) сразу заснифил трафик удаленно - проблема решилась бы гораздо проще.
    Последний раз редактировалось Guffy; 28.08.2007 в 00:32.

  11. Вверх #11
    Цитата Сообщение от Kaiser_Wilhelm_II Посмотреть сообщение
    Все ваши вопросы закончатся тогда, когда операторам на телефонах техподдержки начнут платить хорошую зарплату, и там станут работать грамотные люди, а не студенты, знающие только команду ping.
    +1
    Решая задачу полезно знать правильный ответ

  12. Вверх #12
    Посетитель
    Пол
    Мужской
    Адрес
    Одесса
    Сообщений
    288
    Репутация
    19
    Глупости.
    1. Не используют. Не выгодно экономически. Очень жесткая конкуретная борьба исторически сложившаяся на рынке одесского провайдинга не позволяет такую роскошь. Средний платёж абонента составляет около $8. Сильно не разгуляешься.
    2. Задумываются. И держат цельный штат людей для пресечение и превентирования. Как показала практика самый действенный способ это VLAN от клиента до роутера.
    3. no comments

  13. Вверх #13
    Постоялец форума Аватар для Guffy
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    43
    Сообщений
    1,364
    Репутация
    251
    Записей в дневнике
    3
    Цитата Сообщение от GlatTon Посмотреть сообщение
    Глупости.
    1. Не используют. Не выгодно экономически. Очень жесткая конкуретная борьба исторически сложившаяся на рынке одесского провайдинга не позволяет такую роскошь. Средний платёж абонента составляет около $8. Сильно не разгуляешься.
    2. Задумываются. И держат цельный штат людей для пресечение и превентирования. Как показала практика самый действенный способ это VLAN от клиента до роутера.
    3. no comments
    1. В принципе я и сам догадывался. Сейчас лозунги "больше скорость за меньшие деньги", "оптика наш светоч" и т.д. А диагностировать будут бегать мастера с ноутами. Однако, если отступить от такой роскоши как граббить траффик с любого выбранного порта, а остановиться хотя бы на каждой подсетке в целом - я думаю что можно поставить просто в подсетке компик на miniITX платке с впаянным процем - в 100-150 тугриков уложиться можно. Имеет ли это смысл, если в подсетке в среднем человек 50 - хз.
    2. И что - пользователи не видят друг друга? А как быть если P2P (битторент например). Или роутятся друг к другу по ИП через роутер?
    Если так - то да, может проблемы с кулхацкерами по ARP это решает, но роутер, при активном обмене между пользователями в данной подсетке пыхтит в полный рост.

    В целом - спасибо за первый ответ от представителя провайдера. Другие че-то не спешат...

  14. Вверх #14
    Постоялец форума
    Пол
    Мужской
    Сообщений
    1,461
    Репутация
    83
    1. какой-бы ни был умный свич всегда найдется урод который в курсе как его доконать, по мне dlink 3026 или 3526 это удачный выбор
    2. я противник vpn для доступа локальных абонентов, у нас ip-mac + веб авторизация, в некоторых местах port security свичи, хотя если честно привязывать порт к МАС-у неправильно
    3. 802.1х существенно осложняет настройку у клиентов
    4. нужно изолировать порты, но в таком случае весь внутрисетевой траф попрется через роутер, те же МТСы если vlan на клиента делать
    5. itx в 150 баксов не уложишься
    6. слушать интерфейс конечно можно, но если изолировать абонентов то см. пункт 4, а если нет то не замахаешься слушать 250 человек ?
    7. я провайдер маленький и не могу себе позволить сапорт инжинера с зарплатой 700-800 баксов с учетом того что их как минимум 3-е нужно, а гиганты просто жадничают

  15. Вверх #15
    Цитата Сообщение от GlatTon Посмотреть сообщение
    Глупости.
    1. Не используют. Не выгодно экономически. Очень жесткая конкуретная борьба исторически сложившаяся на рынке одесского провайдинга не позволяет такую роскошь. Средний платёж абонента составляет около $8. Сильно не разгуляешься.
    2. Задумываются. И держат цельный штат людей для пресечение и превентирования. Как показала практика самый действенный способ это VLAN от клиента до роутера.
    3. no comments
    Ну я не был бы так категоричен и не расписывался за всех провайдеров.
    Целый штат людей для превентивных мер , а группы захвата и ликвидации у вас случайно нет?

  16. Вверх #16
    У нас управляемый лаер2 на всех, изоляция портов, ип+мак и ип+порт привязка, смарт агенты собирающие статистику с портов каждые 15 минут и такие как Guffy не звонили бы в службу поддержки, ему сами бы позвонили.

  17. Вверх #17
    Постоялец форума Аватар для Guffy
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    43
    Сообщений
    1,364
    Репутация
    251
    Записей в дневнике
    3
    Ай яй яй, меня уже в хацкеры записали. Я уже трясусь как лист Шо ж я такого сделал то? Помог сам себе и родному провайдеру (да да - я ему помог, я так считаю. иначе сидели бы еще хз сколько комрады нашей подсетки на банане) - преступление?
    А самое интересное, ну к примеру, сижу я слушаю свой трафик в Ethereal - как вы собираетесь меня найти? вот очень интересно с этого момента.

  18. Вверх #18
    А вас никто ни в чем не обвинял, юношеский максимализм пьянит вам мозг не хуже водки. Вы со своими примитивными сниферами и арп спуферами сами выставили себя мега спецом. Для разнообразия почитайте на досуге УК касательно вмешательства в работу информационных сетей и систем. Один дурачек тут на форуме тоже орал что Сохо взломан и всем продаст секрет взлома, незадорого за 10 дол.
    Может он появится вновь и раскажет как у него потом дела сложились и сколько денег, чтобы отмазаться он потратил. Вы посмеялись над своим провайдером, кстатит который так и остался секретом для многих, ну и закончим на этом. Бай.

  19. Вверх #19
    Постоялец форума Аватар для Guffy
    Пол
    Мужской
    Адрес
    Одесса
    Возраст
    43
    Сообщений
    1,364
    Репутация
    251
    Записей в дневнике
    3
    Цитата Сообщение от krendel Посмотреть сообщение
    А вас никто ни в чем не обвинял, юношеский максимализм пьянит вам мозг не хуже водки. Вы со своими примитивными сниферами и арп спуферами сами выставили себя мега спецом. Для разнообразия почитайте на досуге УК касательно вмешательства в работу информационных сетей и систем. Один дурачек тут на форуме тоже орал что Сохо взломан и всем продаст секрет взлома, незадорого за 10 дол.
    Может он появится вновь и раскажет как у него потом дела сложились и сколько денег, чтобы отмазаться он потратил. Вы посмеялись над своим провайдером, кстатит который так и остался секретом для многих, ну и закончим на этом. Бай.
    Уважаемый, не надо применять свои соховские привычки в общественном месте.
    Во-первых, я не удивлюсь если окажется, что я постарше Вас и стаж может оказаться побольше. Может быть все. Так что не нужно махать юношескими максимализмами и ставить диагноз "опьянение мозга" заочно.
    Во-вторых, packet driver живет где-то между NDIS драйвером сетевой и драйверами протоколов на моей машине. Слушаю я иногда свой траффик, чтобы в случае проблем понять в чем дело. И никаким образом "вмешательства в работу информационных сетей и систем", не принадлежащих мне, не произвожу. Кроме УК почитывайте иногда матчасть.
    В-третьих, я и не думал не над кем смеяться. Безопасность в сетях - это часто печально а не смешно. А провайдера я и не назову, зачем же.
    А в целом, пока Вы говорите дело, мы может быть продолжим с Вами общаться в нормальном режиме. А когда Вы говорите, что таких как я надо отлавливать, кстати так и не ответив каким образом Вам бы это удалось - Вы перегибаете, и говорить лично с Вами не о чем.
    Последний раз редактировалось Guffy; 29.08.2007 в 21:31.

  20. Вверх #20
    Кайзер всея Германiи

    Аватар для Kaiser_Wilhelm_II
    Пол
    Мужской
    Адрес
    Одесса
    Сообщений
    7,371
    Репутация
    1040
    MOD
    Просьба не переходить на личности.


    Думаю, что связки ip+mac и mac+port для большинства сетей будет вполне достаточно. Другое дело, что многие провайдеры не считают нужным даже ставить умные свичи и сидят на тупых...

    И опять же повторюсь, что набрав парочку сотрудников техподдержки с ЗП в районе 350 уе и соответствующей квалификацией, компания получит меньше геморроя, чем набирать техподдержку с зарплатой 150-200 уе и целым штатом линейных мастеров, основной обязанностью которых явялется устранение неполадок и поиск "кулхацкеров".
    Редактор "Южного Курьера"


Ответить в теме
Страница 1 из 2 1 2 ПоследняяПоследняя

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения