Сети провайдеров: диагностика и безопасность

[GlatTon]

И опять же повторюсь, что набрав парочку сотрудников техподдержки с ЗП в районе 350 уе и соответствующей квалификацией, компания получит меньше геморроя, чем набирать техподдержку с зарплатой 150-200 уе и целым штатом линейных мастеров, основной обязанностью которых явялется устранение неполадок и поиск "кулхацкеров".

Не катит.
ТехСапп 1500 грн + Линейщики 1500-2500 грн + "помощник админа" 2000 грн. Такая связка очень успешно себя зарекомендовала.

[speed]

Зарплата в 350 у.е. не спасает нормального специалиста - сейчас к сожалению даже 500 не спасает, посему 500 будет нижним пределом... проверено неоднократно в свете последних скачков цен на всё

[infinite]

дело не в 500 баксах, с точки зрения работодателя главное эффективность, один человек может стоить 300 в месяц и это будет дорого, другой 500 и это будет дешево. специалистов - единицы, 19 из 20 только считают себя таковыми. а вообще найти работу за 500 в месяц довольно сложно, очень хорошие программисты зарабатывают 700-1500 в месяц.

[Den Ice]

У меня сеть на 100+ человек, используются тупые свитчи + роутеры, на большее не способны увы. А 500 у.е на техподдержку это по-моему предостаточно.

[infinite]

У меня сеть на 100+ человек, используются тупые свитчи + роутеры, на большее не способны увы. А 500 у.е на техподдержку это по-моему предостаточно.

в твоем случае это даже много. а так - как в том анекдоте - когда хороший админ с утра до вечера носится по клиентам и что-то делает, а плохой сидит и целый день играется

[krendel]

У меня сеть на 100+ человек, используются тупые свитчи + роутеры, на большее не способны увы. А 500 у.е на техподдержку это по-моему предостаточно.

Таки да это много, если учесть средний платеж в 10-15 дол. с абонента, то у вас админ должен быть и монтером и службой поддержки на ногах и ремонтником.

[Tucha]

Ай яй яй, меня уже в хацкеры записали. Я уже трясусь как лист Шо ж я такого сделал то? Помог сам себе и родному провайдеру (да да - я ему помог, я так считаю. иначе сидели бы еще хз сколько комрады нашей подсетки на банане) - преступление?
А самое интересное, ну к примеру, сижу я слушаю свой трафик в Ethereal - как вы собираетесь меня найти? вот очень интересно с этого момента.

Обнаружение сниферов в сети
http://www.trizon.ru/obnaruzhenie-sniferov-v-seti/

[Guffy]

Обнаружение сниферов в сети
http://www.trizon.ru/obnaruzhenie-sniferov-v-seti/

все это занятно, но в коммутируемой сетке включать “promisc mode” нет никакого смысла, а при его "невключении" статейка не дает ответов на поставленные вопросы. Я еще раз подчеркиваю - если вдруг возникают какие-то проблемы - я смотрю свой траффик и “promisc mode” не использую (а даже если б при неких злых намерениях включал - при наличии свича это ничего толком не дало, без арп-спуфинга).

[Tucha]

Материал из Википедии — свободной энциклопедии

Sniffer (от англ. to sniff — нюхать) — сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.

В Ethereal сказано:
-p

Don't put the interface into promiscuous mode. Note that the interface might be in promiscuous mode for some other reason; hence, -p cannot be used to ensure that the only traffic that is captured is traffic sent to or from the machine on which Ethereal is running, broadcast traffic, and multicast traffic to addresses received by that machine.

Так что по-идее это не сниффинг =))

[Inferno]

1. Используются ли на коммутаторах агенты анализатора пакетов - если нет - почему?

А смысл? Что там смотреть?

Задиагноститровав за пару минут проблему,

Вауууу.

Теперь вопрос - зачем было гонять людей, если бы толковый человек, воспользовавшись анализатором пакетов (и агентом захвата в требуемой подсетке) за те же 5 мин увидел бы тоже что и я. И в целом найти виновного можно было за 10 мин, а не за 3 часа.

Доверять пользователю- себя не уважать. Относится как к администрированию, так и программированию.

2. Задумыватся ли провайдеры о безопасности своих локальных сетей? Что они думают по поводу, например, внедрения 802.1х?

Да, прикольная вещь. Цена только высоковата, за такую реализацию.

Почему до сих пор используется VPN с аутентификацией PAP ?

А что поменяется если будет chap?

Почему я, а не провайдер, должен задумываться о нюансах VPN+PAP, DHCP и ARP - что будет если какой-то засранец поднимет левый DHCP сервер или займется такой веселухой как ARP-poisoning.

Потому, что провайдеры уже об этом подумали и решили, что оно того не стоит.

Какие соображения у провайдеров на тему 802.1х, EAP+TLS, IPSec?

А вы прикрутите IPSec на Home Edition SP1 и у вас больше не будет глупых вопросов. А EAP+TLS очень чудно дружат со всеми win 9x/me.

3. Когда мастеров научат чему-то кроме ping? Где знания хотя бы банальной утилиты arp (не говоря уже о Packetyzer/Ethereal)?

После вашего повествования это будет обязательный пункт приема на работу.
-А вы арпом владеете? А на каком уровне?
....
-На втором? А почему так мало?

[Guffy]

1. Смотреть там есть что. Легче конечно "отпарить" клиента что у него винда поламалась или обновилась. И если б клиент оказался не настойчивым - сидели бы еще хз сколько. Бо "у нас все работает". Пока нытье не перешло бы в массовое.
зы: Вообще, за то что "рекомендуют" не обновлять ОС заплатками - надо язык отбивать.
2. Home Edition это как собака Баскервилей - слышал но не видел (ну все таки видел - 1 раз ) . И вообще меня проблемы индейцев (9x/me) мало волнуют. Пусть будет возможность нормальным клиентам работать по EAP, а индейцы пусть с сервером договариваются хоть и на PAP, если так нравиться. Вот это нормальный подход.
3. Ну и хорошо что будет. Вы предпочитаете повышение образованности профильного персонала или деградацию?

[Inferno]

1) Там будет, что смотреть тогда, когда управляемы свитчи буду использоватся на уровне доступа, а не только в ядре. При средней стоимости 24*100Mb+2*1G свитча порядка 250$ и количестве пользователей около 1к стоимость только свитчей уровня доступа будет больше 10к $. Как уже выше писалось в среднем абонент приносит 10-15$ в месяц. Т.е месяц провайдеру необходимо работать только на свитчи. Сотрудники без зарплаты, за аренду и коммунальные услуги тоже не из чего платить, ну и внешний канал очевидно тоже отрежут за неуплату.
Тем более необходимо понимать, использование всех 24 портов в свитче это идеал. На самом деле понадобится свитчей в несколько раз больше.
Как по вашему за счет чего провайдер должен покрывать стоимость оборудования? Ответ думаю очевиден. А о том, что чем больше железа, тем больше глюков надеюсь объяснять не надо.
2) Вы смотрите со своей "колокольни" и вас беспокоит только то чтобы вам было хорошо. А провайдер должен учитывать мнение остальных 999 клиентов. В большинстве организаций и стоит сие чудо программерской мысли, гордо именуемое "Home Edition"
3) Пользователи, готовы платить больше за обслуживание высококвалифицированным персоналом? Нет и еще раз нет.

Надеюсь вы поняли что все упирается в денюжку. Никто не будет замораживать крупные суммы денег для удобства пользователей. Потому, что автоматом начинаешь проигрывать конкурентам.

P.S. Написано сумбурно, но думаю, что идею ухватить можно

[infinite]

тот, кто не будет заморачиваться - имеет все шансы серьезно пролететь. учитывать надо разницу в стоимости абонента подключенного "как-нибудь" и "по правильному" при продаже бизнеса, ну и риск потерять абонентскую базу при большом количестве косяков в предоставлении сервиса. просто не надо ударяться в крайности ни клиентам ни провайдерам.