Author Topic: ETTH от СибирьТелеком  (Read 13947 times)

0 Members and 1 Guest are viewing this topic.

Offline boombastic

  • Hero Member
  • *****
  • Posts: 582
  • Karma: +9/-0
ETTH от СибирьТелеком
« on: June 08, 2006, 13:51:21 »
http://www.tomsknet.ru/internet/etth
Сижу и балдею от цен.
Домосети отдыхают.

Единственно что настроживает - применение PPPoE.

Offline Satan

  • Jr. Member
  • **
  • Posts: 74
  • Karma: +0/-0
  • qrcode
ETTH от СибирьТелеком
« Reply #1 on: June 08, 2006, 14:20:48 »
Интересно они это потянут? Если к ним сейчас куча целая сбежится?

Offline boombastic

  • Hero Member
  • *****
  • Posts: 582
  • Karma: +9/-0
ETTH от СибирьТелеком
« Reply #2 on: June 08, 2006, 14:32:15 »
Пока что только 1 дом. Так что домосети могут успокаиваться
Меня смущает РРРоЕ. Конечно. лучше чем MAC-address filtering + static ip arp entry.
Рассказывают что РРРоЕ часто хакают.
Механизм простой. Т.к. PPPoE запрос на регистрацию и получение IP идёт броадкастом то его может поймать любой PPPoE сервер. Соотв. в сети поднимается свой PPPoE сервер, который собственно говоря никого не авторизует а просто ловит запросы и тихонько их записывает. Так за 5-10 минут можно много паролей наловить.
Дальше кул-хацкер просто пользуется чужыми аккаунтами.

Offline demiurg

  • Hero Member
  • *****
  • Posts: 1014
  • Karma: +0/-0
    • http://larin.tomsk.ru
ETTH от СибирьТелеком
« Reply #3 on: June 08, 2006, 15:31:09 »
Quote from: boombastic
Пока что только 1 дом. Так что домосети могут успокаиваться
Меня смущает РРРоЕ. Конечно. лучше чем MAC-address filtering + static ip arp entry.
Рассказывают что РРРоЕ часто хакают.
Механизм простой. Т.к. PPPoE запрос на регистрацию и получение IP идёт броадкастом то его может поймать любой PPPoE сервер. Соотв. в сети поднимается свой PPPoE сервер, который собственно говоря никого не авторизует а просто ловит запросы и тихонько их записывает. Так за 5-10 минут можно много паролей наловить.
Дальше кул-хацкер просто пользуется чужыми аккаунтами.
То есть пароли летают plain text, да еще и бродкастами?

Кстати, на ADSL аккаунты привязаны к порту.
А использование PPPoE на ETTH возможно объясняется желанием телекома использовать единый механизм аутентификации пользователей.

Offline Сергей

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
ETTH от СибирьТелеком
« Reply #4 on: June 08, 2006, 16:22:18 »
Quote from: boombastic
Т.к. PPPoE запрос на регистрацию и получение IP идёт броадкастом то его может поймать любой PPPoE сервер. Соотв. в сети поднимается свой PPPoE сервер, который собственно говоря никого не авторизует а просто ловит запросы и тихонько их записывает. Так за 5-10 минут можно много паролей наловить.
Дальше кул-хацкер просто пользуется чужыми аккаунтами.

Ерунда
1) Включи adsl модем в режим бриджа и погляди сколько PPPoE пакетов с паролями из него прилетит.
2) Аккаунты можно писать на заборе. Они привязанны каждый к своему порту. Так чужим попользоваться не получится.

Offline anovo

  • Sr. Member
  • ****
  • Posts: 273
  • Karma: +0/-0
ETTH от СибирьТелеком
« Reply #5 on: June 08, 2006, 16:30:34 »
2boombastic
В RFC 2516, определяющем PPPoE, нет ни слова о том, что пароли передаются в открытом виде.
Как я понял, на этапе установления PPPoE-сессии вообще никаких паролей не передается (подробнее RFC 2516).  После того, как PPPoE-сессия установлена, кадры PPP посылаются как при любой другой инкапсуляции PPP. И, надо понимать, (в соответствии с RFC 1661) PPP и проводит аутентификацию клиента, а делать это он умеет.  
Если ошибаюсь, можете поправить.
« Last Edit: June 08, 2006, 16:32:31 by anovo »
The White Rabbit put on his spectacles. "Where shall I begin, please your Majesty?" he asked.
"Begin at the beginning," the King said, very gravely, "and go on till you come to the end: then stop."
"Alice's Adventures in Wonderland" by Lewis Carroll

Offline demiurg

  • Hero Member
  • *****
  • Posts: 1014
  • Karma: +0/-0
    • http://larin.tomsk.ru
ETTH от СибирьТелеком
« Reply #6 on: June 08, 2006, 23:26:54 »
Quote from: anovo
2boombastic
В RFC 2516, определяющем PPPoE, нет ни слова о том, что пароли передаются в открытом виде.
Как я понял, на этапе установления PPPoE-сессии вообще никаких паролей не передается (подробнее RFC 2516).  После того, как PPPoE-сессия установлена, кадры PPP посылаются как при любой другой инкапсуляции PPP. И, надо понимать, (в соответствии с RFC 1661) PPP и проводит аутентификацию клиента, а делать это он умеет.  
Если ошибаюсь, можете поправить.
На самом деле бумбастик говорил не о снифере, а о подмене PPPoE сервера, аналогичные проблемы есть у DHCP протокола. Но как мне кажется такая проблема возникает только в домашних говносетях, котоые построены на неуправляемом оборудовании по 5 коп за охапку. Телеком может себе позволить устанавливать нормальное оборудование и скорее всего оно не транслирует PPPoE бродкасты в другие клиентские порты, да и аккаунт скорее всего привязан к порту. Ведь у адслщиков таких проблем не наблюдается, а принципиальной разницы я тут не вижу (если конечно не говорить о скорости порта  )

Offline Green

  • Full Member
  • ***
  • Posts: 129
  • Karma: +3/-0
ETTH от СибирьТелеком
« Reply #7 on: June 09, 2006, 02:56:09 »
запахло жаренным господа???

Offline Andrew

  • Newbie
  • *
  • Posts: 46
  • Karma: +0/-0
    • http://
ETTH от СибирьТелеком
« Reply #8 on: June 09, 2006, 09:39:41 »
Quote from: boombastic
Пока что только 1 дом. Так что домосети могут успокаиваться
Меня смущает РРРоЕ. Конечно. лучше чем MAC-address filtering + static ip arp entry.
Рассказывают что РРРоЕ часто хакают.
Механизм простой. Т.к. PPPoE запрос на регистрацию и получение IP идёт броадкастом то его может поймать любой PPPoE сервер. Соотв. в сети поднимается свой PPPoE сервер, который собственно говоря никого не авторизует а просто ловит запросы и тихонько их записывает. Так за 5-10 минут можно много паролей наловить.
Дальше кул-хацкер просто пользуется чужыми аккаунтами.
Вообще-то PPPoE используется в связке с dot1Q, а это означает, что каждый порт находится в отдельной локальной сети, и в этой же сети находится псевдоинтерфейс PPPoE сервера, плюс логин авторизации привязан к ID локальной сети. Так что, все несколько сложнее получается

Offline boombastic

  • Hero Member
  • *****
  • Posts: 582
  • Karma: +9/-0
ETTH от СибирьТелеком
« Reply #9 on: June 09, 2006, 09:49:10 »
Quote

В RFC 2516, определяющем PPPoE, нет ни слова о том, что пароли передаются в открытом виде. Как я понял, на этапе установления PPPoE-сессии вообще никаких паролей не передается (подробнее RFC 2516). После того, как PPPoE-сессия установлена, кадры PPP посылаются как при любой другой инкапсуляции PPP. И, надо понимать, (в соответствии с RFC 1661) PPP и проводит аутентификацию клиента, а делать это он умеет.  Если ошибаюсь, можете поправить.
Все верно. Но я как раз говорил о поднятии второго РРРоЕ сервера.

Сознаюсь честно, практического опыта эксплуатации РРРоЕ у меня нету. Поэтмоу информация которой я располагаю - чисто теоретические знания + информация по обмену опытом с другими админами.
Вариант поднятия резервного РРРоЕ мне как раз и рассказали администраторы домашней сети. У них такое было не раз, после чего они решили переходить на PPTP VPN.
+ Есть информация относительно работы с собственным DHCP серверов в сетях Томики. Ооооой как не любят админы Томики когда кто-то поднимает DHCP у них в сети.

Quote
Телеком может себе позволить устанавливать нормальное оборудование и скорее всего оно не транслирует PPPoE бродкасты в другие клиентские порты, да и аккаунт скорее всего привязан к порту. Ведь у адслщиков таких проблем не наблюдается, а принципиальной разницы я тут не вижу (если конечно не говорить о скорости порта
Конкретно у ADSL на модеме кроме PPPoE ставится привязка к VPI/VCI. Возм это не даёт исп-ть чудой аккаунт.  




Quote

Вообще-то PPPoE используется в связке с dot1Q, а это означает, что каждый порт находится в отдельной локальной сети, и в этой же сети находится псевдоинтерфейс PPPoE сервера, плюс логин авторизации привязан к ID локальной сети. Так что, все несколько сложнее получается

Мдаааа, нехило. Надо подумать насчёт внедрения такого решения в IvancoNET.
А на сколько масшабируемое данное решение?
Если я правильно понял - отдельный VLAN per port. Теперь прикидываем на дом - в среднем 10-20 абонентов при хорошем раскладе, соотв. 20 vlan.
Дальше - больше. Как быть когда 5 домов?


Offline Andrew

  • Newbie
  • *
  • Posts: 46
  • Karma: +0/-0
    • http://
ETTH от СибирьТелеком
« Reply #10 on: June 09, 2006, 09:59:54 »
Quote from: boombastic
Мдаааа, нехило. Надо подумать насчёт внедрения такого решения в IvancoNET.
А на сколько масшабируемое данное решение?
Если я правильно понял - отдельный VLAN per port. Теперь прикидываем на дом - в среднем 10-20 абонентов при хорошем раскладе, соотв. 20 vlan.
Дальше - больше. Как быть когда 5 домов?
Максимум возможно 4096 VLANов, правда PPPoE маршрутизаторов у телекома далеко не один :-)
и на худой конец есть такая технология QinQ, т.е. двойное тегирование, соответственно возможно использование несколько большего кол-ва VLANов :-)
« Last Edit: June 09, 2006, 10:00:40 by Andrew »

Offline boombastic

  • Hero Member
  • *****
  • Posts: 582
  • Karma: +9/-0
ETTH от СибирьТелеком
« Reply #11 on: June 09, 2006, 10:10:47 »
A Inter-VLAN routing без установления сессии PPPoE возможен?
Или же `customer А` чтобы законнектиться к `customer B` обязательно надо PPPoE сессию поднять?

Offline Andrew

  • Newbie
  • *
  • Posts: 46
  • Karma: +0/-0
    • http://
ETTH от СибирьТелеком
« Reply #12 on: June 09, 2006, 10:24:20 »
Quote from: boombastic
A Inter-VLAN routing без установления сессии PPPoE возможен?
Или же `customer А` чтобы законнектиться к `customer B` обязательно надо PPPoE сессию поднять?
Разумеется все возможно.
Но в настоящее время данная услуга предоставляется в пилотном режиме и потому выбрано обкатанное решение. Будет народ, будут и другие решения.
Наверняка будет удобнее для пользователей, включить их в одну локальную сеть, например.
Да и мне с трудом представляется оборудование которое сможет держать хотя-бы 100 PPPoE сессий и выдавать в каждой 100 мегабит/с.
Вообщем пока остается только ждать, а жителям пилотного района подключаться
« Last Edit: June 09, 2006, 10:26:17 by Andrew »

Offline boombastic

  • Hero Member
  • *****
  • Posts: 582
  • Karma: +9/-0
ETTH от СибирьТелеком
« Reply #13 on: June 09, 2006, 11:29:21 »
Почему бы не ипользовать 802.1x авторизацию?

Offline Andrew

  • Newbie
  • *
  • Posts: 46
  • Karma: +0/-0
    • http://
ETTH от СибирьТелеком
« Reply #14 on: June 09, 2006, 12:12:35 »
Quote from: boombastic
Почему бы не ипользовать 802.1x авторизацию?
А почему бы и нет?
В данный момент применили полностью работающее решение, по которому работает несколько тысяч абонентов, все достаточно автоматизировано, ресурсы оборудования позволяют.
А район, между прочим, пилотный, это означает, что именно на нем будет изучаться спрос, вероятные проблемы, последствия и т.д. и т.п.
В конце концов, я уверен, выберется наиболее оптимальное решение

Offline boombastic

  • Hero Member
  • *****
  • Posts: 582
  • Karma: +9/-0
ETTH от СибирьТелеком
« Reply #15 on: June 09, 2006, 12:16:35 »
Будем ждать дальнейшего распространения технологии
С такими темпами - нафик нужен любой broadband (ADSL/DOCSIS) когда за 1 тыр можно Ethernet поиметь дома

Offline kuguar

  • Full Member
  • ***
  • Posts: 189
  • Karma: +2/-0
    • http://
ETTH от СибирьТелеком
« Reply #16 on: June 09, 2006, 19:43:40 »
2Andrew : интересно, получается Вы сеть прокладывали по договоренности с застройщиком? просто я давно прикидывал - почему в процессе проектировани не закладываются нормальные места для разводки ethernet. Тем более на таком этапе можно к сети подключать системы жизнеобеспечения дома, дальше - заводить на сервер(-а) обслуживающих организаций. Те же теплосчетчики, терморегуляторы, да практически каждая хрень сейчас имеет хотябы RS-232, то есть всю информацию можно иметь не сходя с места у компьютера.

Offline Andrew

  • Newbie
  • *
  • Posts: 46
  • Karma: +0/-0
    • http://
ETTH от СибирьТелеком
« Reply #17 on: June 13, 2006, 17:54:46 »
Quote from: kuguar
2Andrew : интересно, получается Вы сеть прокладывали по договоренности с застройщиком?
Насколько я знаю на чуть позднем этапе, по договоренности с ТСЖ.
Quote
просто я давно прикидывал - почему в процессе проектировани не закладываются нормальные места для разводки ethernet.
Насколько я понимаю это не входит в перечень необходимых коммуникаций, как и телефон впрочем, в отличии от каналазации, воды и света. А вот в элитных домах, как раз, городят чуть ли не кросс в гостиной, с разводкой по всей квартире
Quote
Тем более на таком этапе можно к сети подключать системы жизнеобеспечения дома, дальше - заводить на сервер(-а) обслуживающих организаций. Те же теплосчетчики, терморегуляторы, да практически каждая хрень сейчас имеет хотябы RS-232, то есть всю информацию можно иметь не сходя с места у компьютера.
А это уже достаточно дорого. Да и вообще на грани фантастики

Offline visual

  • Hero Member
  • *****
  • Posts: 714
  • Karma: +0/-0
    • http://
ETTH от СибирьТелеком
« Reply #18 on: June 15, 2006, 09:33:01 »
Quote from: boombastic
http://www.tomsknet.ru/internet/etth
Сижу и балдею от цен.
Домосети отдыхают.
мне вот не очень понятна ценовая политика с внешкой. для ETTH установлена цена внешки 1.9 руб/мег. но спрашивается кто мешает покупать внешку у телекома же, но через VPN по 1.5 руб/мег?

Quote from: boombastic
Единственно что настроживает - применение PPPoE.
и IP только динамический предлагается. интересно можно ли будет подключиться к ETTH с фиксированным IP, пусть даже за отдельную плату?
2Andrew: это решаемый вопрос?

Offline jack

  • Full Member
  • ***
  • Posts: 218
  • Karma: +0/-1
    • http://
ETTH от СибирьТелеком
« Reply #19 on: June 15, 2006, 10:42:55 »
Quote from: visual
и IP только динамический предлагается. интересно можно ли будет подключиться к ETTH с фиксированным IP, пусть даже за отдельную плату?
2Andrew: это решаемый вопрос?
я не Андрей конечно
но имхо вопрос решеамый. на ADSL же можно купить статический IP (100р вроде), так что имхо возможно и тут.