Сети провайдеров: диагностика и безопасность

[Guffy]

Вот думал, думал - писать не писать и решился.
В свете недавних событий на выходных возникает несколько банальных вопросов к провайдерам (ну и привет родному провайдеру ).

1. Используются ли на коммутаторах агенты анализатора пакетов - если нет - почему? Задиагноститровав за пару минут проблему, дозвонился (на удивление) в поддержку - но создалось впечатление, что оператор просто меня не понял. Хорошо хоть вежливо предложил прислать мастеров с ноутбуком в течении 3 часов. Если проблема в моем компьютере - вызов за мой счет. Я согласился. Мастера пришли через час (за что респект) - и эпопея затянулась еще часа на полтора. Проблему решили, денег не взяли .
Теперь вопрос - зачем было гонять людей, если бы толковый человек, воспользовавшись анализатором пакетов (и агентом захвата в требуемой подсетке) за те же 5 мин увидел бы тоже что и я. И в целом найти виновного можно было за 10 мин, а не за 3 часа.

2. Задумыватся ли провайдеры о безопасности своих локальных сетей? Что они думают по поводу, например, внедрения 802.1х?
Почему до сих пор используется VPN с аутентификацией PAP ? Почему я, а не провайдер, должен задумываться о нюансах VPN+PAP, DHCP и ARP - что будет если какой-то засранец поднимет левый DHCP сервер или займется такой веселухой как ARP-poisoning.
Какие соображения у провайдеров на тему 802.1х, EAP+TLS, IPSec?

3. Когда мастеров научат чему-то кроме ping? Где знания хотя бы банальной утилиты arp (не говоря уже о Packetyzer/Ethereal)?

[Kaiser_Wilhelm_II]

Все ваши вопросы закончатся тогда, когда операторам на телефонах техподдержки начнут платить хорошую зарплату, и там станут работать грамотные люди, а не студенты, знающие только команду ping.

[krendel]

Для начала нужно было выяснить, что за "чудо" свитч стоял на стороне провайдера и может половина вопросов отпала бы.
http://www.provider.net.ru/article.71.php

[Kaiser_Wilhelm_II]

Да уж, многим одесским провайдерам не мешало бы заменить кучи тупых свичей вроде Planet-SW802 на что-либо более умное...

[Guffy]

Модель свича не скажу, ибо не могу знать.
Собс-но в произошедшей ситуации это не играет особой рояли. Мало какой свитч ситуацию бы просек или предотвратил. А вот удаленно заграббить пакеты и отключить редиску - тут хороший свитч однозначно ускорил бы дело.
А статейка занятная, про 3 и 4 поколения... Но лирическая - автор не делает хотя бы личных предположений - а какая же должна это быть сеть 4го поколения

[krendel]

Ну так вы толком и не сказали что у вас произошло, хотя можно догадаться, что очередной флудер срал мак адресами, забил мыльнице мозги и та стала транслировать всю эту белиберду на все порты. Так вот и прямой вопрос вашему провайдеру о типе его оборудования и средствах мониторинга сети - давайте начнем с него плясать.

[Guffy]

Нет, не угадали. С мыльницой или не мыльницой возможно было все в порядке. (возможно?) Какой-то засранец на ARP-запросы тех, кто был на данный момент в сети, посылал ARP-ответ, что это его ИП. После получения адреса по DHCP ИП дополнительно проверяется - а нет ли уже у кого такого. И он был! В результате, все после получения DHCP ответа после перепроверки отваливались ни с чем - нельзя получить адрес.
А сос стороны провайдера на первый взгляд все было пристойно - DHCP запросы идут, ИП раздаются.

[Guffy]

И я это понял сразу - как только посмотрел через Packetyzer пакетики.
А оператора поддержки и мастеров пришлось уговаривать - винду мне переставлять совсем ни к чему и ее обновления тут ни при чем

[krendel]

Интересно получается, с одной стороны вы воспользовались средством диагностики сетей, а с другой стороны средством для перехвата трафика и возможно использования потом чужих паролей и др. информации. Тот человек занимался арп спуфингом, а вы снифингом. Тут действительно железо ни причем, админу задницу пороть надо.

[Guffy]

Я без специальных ухищрений не могу подслушать чужой траффик кроме широковещательного - это ж свитч А слушать собственный - это мое дело.
Если б я не пользовался мозгом и инструментами - так и переставлял бы винду по каждому совету мастеров.
Но дело не в этом.
Кроме самого факта меня заинтриговала 3х часовая эпопея.
Я дозвонился (примерно через 30мин после начала трабла) и четко доложил проблему. На ее устрание ушло 2.5 часа.
Поставленный диагноз просто никто не воспринял всеръез (видимо потому что шквала звонков не было),
пока на ноуте мастера не было продемонстрировано в его АРП таблице два ИП с одинаковым МАК.
Если бы кто-то из важных людей (а кого-то точно дернули) сразу заснифил трафик удаленно - проблема решилась бы гораздо проще.

[demonas]

Все ваши вопросы закончатся тогда, когда операторам на телефонах техподдержки начнут платить хорошую зарплату, и там станут работать грамотные люди, а не студенты, знающие только команду ping.

+1

[GlatTon]

Глупости.
1. Не используют. Не выгодно экономически. Очень жесткая конкуретная борьба исторически сложившаяся на рынке одесского провайдинга не позволяет такую роскошь. Средний платёж абонента составляет около $8. Сильно не разгуляешься.
2. Задумываются. И держат цельный штат людей для пресечение и превентирования. Как показала практика самый действенный способ это VLAN от клиента до роутера.
3. no comments

[Guffy]

Глупости.
1. Не используют. Не выгодно экономически. Очень жесткая конкуретная борьба исторически сложившаяся на рынке одесского провайдинга не позволяет такую роскошь. Средний платёж абонента составляет около $8. Сильно не разгуляешься.
2. Задумываются. И держат цельный штат людей для пресечение и превентирования. Как показала практика самый действенный способ это VLAN от клиента до роутера.
3. no comments

1. В принципе я и сам догадывался. Сейчас лозунги "больше скорость за меньшие деньги", "оптика наш светоч" и т.д. А диагностировать будут бегать мастера с ноутами. Однако, если отступить от такой роскоши как граббить траффик с любого выбранного порта, а остановиться хотя бы на каждой подсетке в целом - я думаю что можно поставить просто в подсетке компик на miniITX платке с впаянным процем - в 100-150 тугриков уложиться можно. Имеет ли это смысл, если в подсетке в среднем человек 50 - хз.
2. И что - пользователи не видят друг друга? А как быть если P2P (битторент например). Или роутятся друг к другу по ИП через роутер?
Если так - то да, может проблемы с кулхацкерами по ARP это решает, но роутер, при активном обмене между пользователями в данной подсетке пыхтит в полный рост.

В целом - спасибо за первый ответ от представителя провайдера. Другие че-то не спешат...

[infinite]

1. какой-бы ни был умный свич всегда найдется урод который в курсе как его доконать, по мне dlink 3026 или 3526 это удачный выбор
2. я противник vpn для доступа локальных абонентов, у нас ip-mac + веб авторизация, в некоторых местах port security свичи, хотя если честно привязывать порт к МАС-у неправильно
3. 802.1х существенно осложняет настройку у клиентов
4. нужно изолировать порты, но в таком случае весь внутрисетевой траф попрется через роутер, те же МТСы если vlan на клиента делать
5. itx в 150 баксов не уложишься
6. слушать интерфейс конечно можно, но если изолировать абонентов то см. пункт 4, а если нет то не замахаешься слушать 250 человек ?
7. я провайдер маленький и не могу себе позволить сапорт инжинера с зарплатой 700-800 баксов с учетом того что их как минимум 3-е нужно, а гиганты просто жадничают

[krendel]

Глупости.
1. Не используют. Не выгодно экономически. Очень жесткая конкуретная борьба исторически сложившаяся на рынке одесского провайдинга не позволяет такую роскошь. Средний платёж абонента составляет около $8. Сильно не разгуляешься.
2. Задумываются. И держат цельный штат людей для пресечение и превентирования. Как показала практика самый действенный способ это VLAN от клиента до роутера.
3. no comments

Ну я не был бы так категоричен и не расписывался за всех провайдеров.
Целый штат людей для превентивных мер , а группы захвата и ликвидации у вас случайно нет?

[krendel]

У нас управляемый лаер2 на всех, изоляция портов, ип+мак и ип+порт привязка, смарт агенты собирающие статистику с портов каждые 15 минут и такие как Guffy не звонили бы в службу поддержки, ему сами бы позвонили.

[Guffy]

Ай яй яй, меня уже в хацкеры записали. Я уже трясусь как лист Шо ж я такого сделал то? Помог сам себе и родному провайдеру (да да - я ему помог, я так считаю. иначе сидели бы еще хз сколько комрады нашей подсетки на банане) - преступление?
А самое интересное, ну к примеру, сижу я слушаю свой трафик в Ethereal - как вы собираетесь меня найти? вот очень интересно с этого момента.

[krendel]

А вас никто ни в чем не обвинял, юношеский максимализм пьянит вам мозг не хуже водки. Вы со своими примитивными сниферами и арп спуферами сами выставили себя мега спецом. Для разнообразия почитайте на досуге УК касательно вмешательства в работу информационных сетей и систем. Один дурачек тут на форуме тоже орал что Сохо взломан и всем продаст секрет взлома, незадорого за 10 дол.
Может он появится вновь и раскажет как у него потом дела сложились и сколько денег, чтобы отмазаться он потратил. Вы посмеялись над своим провайдером, кстатит который так и остался секретом для многих, ну и закончим на этом. Бай.

[Guffy]

А вас никто ни в чем не обвинял, юношеский максимализм пьянит вам мозг не хуже водки. Вы со своими примитивными сниферами и арп спуферами сами выставили себя мега спецом. Для разнообразия почитайте на досуге УК касательно вмешательства в работу информационных сетей и систем. Один дурачек тут на форуме тоже орал что Сохо взломан и всем продаст секрет взлома, незадорого за 10 дол.
Может он появится вновь и раскажет как у него потом дела сложились и сколько денег, чтобы отмазаться он потратил. Вы посмеялись над своим провайдером, кстатит который так и остался секретом для многих, ну и закончим на этом. Бай.

Уважаемый, не надо применять свои соховские привычки в общественном месте.
Во-первых, я не удивлюсь если окажется, что я постарше Вас и стаж может оказаться побольше. Может быть все. Так что не нужно махать юношескими максимализмами и ставить диагноз "опьянение мозга" заочно.
Во-вторых, packet driver живет где-то между NDIS драйвером сетевой и драйверами протоколов на моей машине. Слушаю я иногда свой траффик, чтобы в случае проблем понять в чем дело. И никаким образом "вмешательства в работу информационных сетей и систем", не принадлежащих мне, не произвожу. Кроме УК почитывайте иногда матчасть.
В-третьих, я и не думал не над кем смеяться. Безопасность в сетях - это часто печально а не смешно. А провайдера я и не назову, зачем же.
А в целом, пока Вы говорите дело, мы может быть продолжим с Вами общаться в нормальном режиме. А когда Вы говорите, что таких как я надо отлавливать, кстати так и не ответив каким образом Вам бы это удалось - Вы перегибаете, и говорить лично с Вами не о чем.

[Kaiser_Wilhelm_II]

MOD
Просьба не переходить на личности.

Думаю, что связки ip+mac и mac+port для большинства сетей будет вполне достаточно. Другое дело, что многие провайдеры не считают нужным даже ставить умные свичи и сидят на тупых...

И опять же повторюсь, что набрав парочку сотрудников техподдержки с ЗП в районе 350 уе и соответствующей квалификацией, компания получит меньше геморроя, чем набирать техподдержку с зарплатой 150-200 уе и целым штатом линейных мастеров, основной обязанностью которых явялется устранение неполадок и поиск "кулхацкеров".