Tomsk Sysadmins Forum
Разное => Томская сеть, фирмы и т.д. => Topic started by: boombastic on June 08, 2006, 13:51:21
-
http://www.tomsknet.ru/internet/etth (http://www.tomsknet.ru/internet/etth)
Сижу и балдею от цен.
Домосети отдыхают.
Единственно что настроживает - применение PPPoE.
-
Интересно они это потянут? Если к ним сейчас куча целая сбежится?
-
Пока что только 1 дом. Так что домосети могут успокаиваться
Меня смущает РРРоЕ. Конечно. лучше чем MAC-address filtering + static ip arp entry.
Рассказывают что РРРоЕ часто хакают.
Механизм простой. Т.к. PPPoE запрос на регистрацию и получение IP идёт броадкастом то его может поймать любой PPPoE сервер. Соотв. в сети поднимается свой PPPoE сервер, который собственно говоря никого не авторизует а просто ловит запросы и тихонько их записывает. Так за 5-10 минут можно много паролей наловить.
Дальше кул-хацкер просто пользуется чужыми аккаунтами.
-
Пока что только 1 дом. Так что домосети могут успокаиваться
Меня смущает РРРоЕ. Конечно. лучше чем MAC-address filtering + static ip arp entry.
Рассказывают что РРРоЕ часто хакают.
Механизм простой. Т.к. PPPoE запрос на регистрацию и получение IP идёт броадкастом то его может поймать любой PPPoE сервер. Соотв. в сети поднимается свой PPPoE сервер, который собственно говоря никого не авторизует а просто ловит запросы и тихонько их записывает. Так за 5-10 минут можно много паролей наловить.
Дальше кул-хацкер просто пользуется чужыми аккаунтами.
То есть пароли летают plain text, да еще и бродкастами?
Кстати, на ADSL аккаунты привязаны к порту.
А использование PPPoE на ETTH возможно объясняется желанием телекома использовать единый механизм аутентификации пользователей.
-
Т.к. PPPoE запрос на регистрацию и получение IP идёт броадкастом то его может поймать любой PPPoE сервер. Соотв. в сети поднимается свой PPPoE сервер, который собственно говоря никого не авторизует а просто ловит запросы и тихонько их записывает. Так за 5-10 минут можно много паролей наловить.
Дальше кул-хацкер просто пользуется чужыми аккаунтами.
Ерунда
1) Включи adsl модем в режим бриджа и погляди сколько PPPoE пакетов с паролями из него прилетит.
2) Аккаунты можно писать на заборе. Они привязанны каждый к своему порту. Так чужим попользоваться не получится.
-
2boombastic
В RFC 2516, определяющем PPPoE, нет ни слова о том, что пароли передаются в открытом виде.
Как я понял, на этапе установления PPPoE-сессии вообще никаких паролей не передается (подробнее RFC 2516). После того, как PPPoE-сессия установлена, кадры PPP посылаются как при любой другой инкапсуляции PPP. И, надо понимать, (в соответствии с RFC 1661) PPP и проводит аутентификацию клиента, а делать это он умеет.
Если ошибаюсь, можете поправить.
-
2boombastic
В RFC 2516, определяющем PPPoE, нет ни слова о том, что пароли передаются в открытом виде.
Как я понял, на этапе установления PPPoE-сессии вообще никаких паролей не передается (подробнее RFC 2516). После того, как PPPoE-сессия установлена, кадры PPP посылаются как при любой другой инкапсуляции PPP. И, надо понимать, (в соответствии с RFC 1661) PPP и проводит аутентификацию клиента, а делать это он умеет.
Если ошибаюсь, можете поправить.
На самом деле бумбастик говорил не о снифере, а о подмене PPPoE сервера, аналогичные проблемы есть у DHCP протокола. Но как мне кажется такая проблема возникает только в домашних говносетях, котоые построены на неуправляемом оборудовании по 5 коп за охапку. Телеком может себе позволить устанавливать нормальное оборудование и скорее всего оно не транслирует PPPoE бродкасты в другие клиентские порты, да и аккаунт скорее всего привязан к порту. Ведь у адслщиков таких проблем не наблюдается, а принципиальной разницы я тут не вижу (если конечно не говорить о скорости порта )
-
запахло жаренным господа???
-
Пока что только 1 дом. Так что домосети могут успокаиваться
Меня смущает РРРоЕ. Конечно. лучше чем MAC-address filtering + static ip arp entry.
Рассказывают что РРРоЕ часто хакают.
Механизм простой. Т.к. PPPoE запрос на регистрацию и получение IP идёт броадкастом то его может поймать любой PPPoE сервер. Соотв. в сети поднимается свой PPPoE сервер, который собственно говоря никого не авторизует а просто ловит запросы и тихонько их записывает. Так за 5-10 минут можно много паролей наловить.
Дальше кул-хацкер просто пользуется чужыми аккаунтами.
Вообще-то PPPoE используется в связке с dot1Q, а это означает, что каждый порт находится в отдельной локальной сети, и в этой же сети находится псевдоинтерфейс PPPoE сервера, плюс логин авторизации привязан к ID локальной сети. Так что, все несколько сложнее получается
-
В RFC 2516, определяющем PPPoE, нет ни слова о том, что пароли передаются в открытом виде. Как я понял, на этапе установления PPPoE-сессии вообще никаких паролей не передается (подробнее RFC 2516). После того, как PPPoE-сессия установлена, кадры PPP посылаются как при любой другой инкапсуляции PPP. И, надо понимать, (в соответствии с RFC 1661) PPP и проводит аутентификацию клиента, а делать это он умеет. Если ошибаюсь, можете поправить.
Все верно. Но я как раз говорил о поднятии второго РРРоЕ сервера.
Сознаюсь честно, практического опыта эксплуатации РРРоЕ у меня нету. Поэтмоу информация которой я располагаю - чисто теоретические знания + информация по обмену опытом с другими админами.
Вариант поднятия резервного РРРоЕ мне как раз и рассказали администраторы домашней сети. У них такое было не раз, после чего они решили переходить на PPTP VPN.
+ Есть информация относительно работы с собственным DHCP серверов в сетях Томики. Ооооой как не любят админы Томики когда кто-то поднимает DHCP у них в сети.
Телеком может себе позволить устанавливать нормальное оборудование и скорее всего оно не транслирует PPPoE бродкасты в другие клиентские порты, да и аккаунт скорее всего привязан к порту. Ведь у адслщиков таких проблем не наблюдается, а принципиальной разницы я тут не вижу (если конечно не говорить о скорости порта
Конкретно у ADSL на модеме кроме PPPoE ставится привязка к VPI/VCI. Возм это не даёт исп-ть чудой аккаунт.
Вообще-то PPPoE используется в связке с dot1Q, а это означает, что каждый порт находится в отдельной локальной сети, и в этой же сети находится псевдоинтерфейс PPPoE сервера, плюс логин авторизации привязан к ID локальной сети. Так что, все несколько сложнее получается
Мдаааа, нехило. Надо подумать насчёт внедрения такого решения в IvancoNET.
А на сколько масшабируемое данное решение?
Если я правильно понял - отдельный VLAN per port. Теперь прикидываем на дом - в среднем 10-20 абонентов при хорошем раскладе, соотв. 20 vlan.
Дальше - больше. Как быть когда 5 домов?
-
Мдаааа, нехило. Надо подумать насчёт внедрения такого решения в IvancoNET.
А на сколько масшабируемое данное решение?
Если я правильно понял - отдельный VLAN per port. Теперь прикидываем на дом - в среднем 10-20 абонентов при хорошем раскладе, соотв. 20 vlan.
Дальше - больше. Как быть когда 5 домов?
Максимум возможно 4096 VLANов, правда PPPoE маршрутизаторов у телекома далеко не один :-)
и на худой конец есть такая технология QinQ, т.е. двойное тегирование, соответственно возможно использование несколько большего кол-ва VLANов :-)
-
A Inter-VLAN routing без установления сессии PPPoE возможен?
Или же `customer А` чтобы законнектиться к `customer B` обязательно надо PPPoE сессию поднять?
-
A Inter-VLAN routing без установления сессии PPPoE возможен?
Или же `customer А` чтобы законнектиться к `customer B` обязательно надо PPPoE сессию поднять?
Разумеется все возможно.
Но в настоящее время данная услуга предоставляется в пилотном режиме и потому выбрано обкатанное решение. Будет народ, будут и другие решения.
Наверняка будет удобнее для пользователей, включить их в одну локальную сеть, например.
Да и мне с трудом представляется оборудование которое сможет держать хотя-бы 100 PPPoE сессий и выдавать в каждой 100 мегабит/с.
Вообщем пока остается только ждать, а жителям пилотного района подключаться
-
Почему бы не ипользовать 802.1x авторизацию?
-
Почему бы не ипользовать 802.1x авторизацию?
А почему бы и нет?
В данный момент применили полностью работающее решение, по которому работает несколько тысяч абонентов, все достаточно автоматизировано, ресурсы оборудования позволяют.
А район, между прочим, пилотный, это означает, что именно на нем будет изучаться спрос, вероятные проблемы, последствия и т.д. и т.п.
В конце концов, я уверен, выберется наиболее оптимальное решение
-
Будем ждать дальнейшего распространения технологии
С такими темпами - нафик нужен любой broadband (ADSL/DOCSIS) когда за 1 тыр можно Ethernet поиметь дома
-
2Andrew : интересно, получается Вы сеть прокладывали по договоренности с застройщиком? просто я давно прикидывал - почему в процессе проектировани не закладываются нормальные места для разводки ethernet. Тем более на таком этапе можно к сети подключать системы жизнеобеспечения дома, дальше - заводить на сервер(-а) обслуживающих организаций. Те же теплосчетчики, терморегуляторы, да практически каждая хрень сейчас имеет хотябы RS-232, то есть всю информацию можно иметь не сходя с места у компьютера.
-
2Andrew : интересно, получается Вы сеть прокладывали по договоренности с застройщиком?
Насколько я знаю на чуть позднем этапе, по договоренности с ТСЖ.
просто я давно прикидывал - почему в процессе проектировани не закладываются нормальные места для разводки ethernet.
Насколько я понимаю это не входит в перечень необходимых коммуникаций, как и телефон впрочем, в отличии от каналазации, воды и света. А вот в элитных домах, как раз, городят чуть ли не кросс в гостиной, с разводкой по всей квартире
Тем более на таком этапе можно к сети подключать системы жизнеобеспечения дома, дальше - заводить на сервер(-а) обслуживающих организаций. Те же теплосчетчики, терморегуляторы, да практически каждая хрень сейчас имеет хотябы RS-232, то есть всю информацию можно иметь не сходя с места у компьютера.
А это уже достаточно дорого. Да и вообще на грани фантастики
-
http://www.tomsknet.ru/internet/etth (http://www.tomsknet.ru/internet/etth)
Сижу и балдею от цен.
Домосети отдыхают.
мне вот не очень понятна ценовая политика с внешкой. для ETTH установлена цена внешки 1.9 руб/мег. но спрашивается кто мешает покупать внешку у телекома же, но через VPN по 1.5 руб/мег?
Единственно что настроживает - применение PPPoE.
и IP только динамический предлагается. интересно можно ли будет подключиться к ETTH с фиксированным IP, пусть даже за отдельную плату?
2Andrew: это решаемый вопрос?
-
и IP только динамический предлагается. интересно можно ли будет подключиться к ETTH с фиксированным IP, пусть даже за отдельную плату?
2Andrew: это решаемый вопрос?
я не Андрей конечно
но имхо вопрос решеамый. на ADSL же можно купить статический IP (100р вроде), так что имхо возможно и тут.
-
мне вот не очень понятна ценовая политика с внешкой. для ETTH установлена цена внешки 1.9 руб/мег. но спрашивается кто мешает покупать внешку у телекома же, но через VPN по 1.5 руб/мег?
Дык там считается весь трафик ... Конечно можно организовать роутинг по сетям на своей машине, что бы все что не относится к томским сетям шло через VPN, но не так уж много народу это сможет сделать, а телекомовцы то же кушать хотят
-
Дык там считается весь трафик ... Конечно можно организовать роутинг по сетям на своей машине, что бы все что не относится к томским сетям шло через VPN, но не так уж много народу это сможет сделать, а телекомовцы то же кушать хотят
телекомовцы сразу позаботились о пользователях http://www.tomsknet.ru/internet/vpn (http://www.tomsknet.ru/internet/vpn) и выложили bat-файлик
Для исключения передачи томского трафика через VPN-соединение выполните:
routetomsk.bat <IP-адрес шлюза>
Адрес шлюза можно получить командой ipconfig (используйте "Основной шлюз" Вашего первичного подключения).
так что причина точно не в этом. разве что только ленивый не будет ходить за карточками ради более дешевой внешки. да и выбор уже не нулевой, тот-же Томлайн предлагает внешку через VPN по 99 коп/мег до конца лета.
-
А это уже достаточно дорого. Да и вообще на грани фантастики
позволь не согласится. наша контора просит по 20 тыр за подключение теплосчетчика (одного) в нашу систему сбора данный по сотовой связи. а его же (по моим прикидкам) можно подключить к ethernet тысяч эдак за 5-6, причем информация будет действительно ONLINE а не как у нас - опрос раз в сутки. мысля давно закралась - только отпугивает цена за подключение - 2000 тысячи в среднем - и абонка где то около 10 баксов - у нас в месяц опрос обходится 2-3.
Если все это будет закладывается на стадии проектирования и монтажа - оборудование на новых домах того же ТДСК стоит не дешевое - счетчики плюс автоматика.
-
разве что только ленивый не будет ходить за карточками ради более дешевой внешки. да и выбор уже не нулевой, тот-же Томлайн предлагает внешку через VPN по 99 коп/мег до конца лета.
Вопрос в том какая это внешка.
У ЦИС это наземный канал чз РТКом+ЗСТТК, а вот у Томлайн скорее всего спутниковый канал, а-ля PlanetSky или т.п. (Вряд ли ЗСТТК)
Конечно это моё личное мнение как аутсайдера по отношению к этим фирмам, но наземный канал по 99 коп/мб это нехилый демпинг, на грани себестоимости. Да ещё и на 3 месяца!!!
-
Объясните, что такое пилотный режим, плиз.
-
Объясните, что такое пилотный режим, плиз.
Пробный, экспериментальный, опытный, предварительный.
-
оставил у них заявку на сайте. будем ждать когд позвонят если позвонят конечно
-
Вопрос в том какая это внешка.
У ЦИС это наземный канал чз РТКом+ЗСТТК, а вот у Томлайн скорее всего спутниковый канал, а-ля PlanetSky или т.п. (Вряд ли ЗСТТК)
Конечно это моё личное мнение как аутсайдера по отношению к этим фирмам, но наземный канал по 99 коп/мб это нехилый демпинг, на грани себестоимости. Да ещё и на 3 месяца!!!
А ты проницательный
Томлайн вообщем то это и не скрывает. Читаем здесь (http://tomline.ru/pr/2006-06-09.html).
-
Вопрос в том какая это внешка.
У ЦИС это наземный канал чз РТКом+ЗСТТК, а вот у Томлайн скорее всего спутниковый канал, а-ля PlanetSky или т.п. (Вряд ли ЗСТТК)
Конечно это моё личное мнение как аутсайдера по отношению к этим фирмам, но наземный канал по 99 коп/мб это нехилый демпинг, на грани себестоимости. Да ещё и на 3 месяца!!!
У Томлайна есть и ЗСТТК и РТКОМ. По крайней мере в трейсерах, которые приходится пускать по долгу службы мелькали оба. Да и в службе поддержки мне говорили об этих двух каналах.