![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
Жил-был один домонетный провайдер. И окучил он много домов. Ethernet'ом, естественно. Но клиенты нынче пошли технически подкованные, через одного хакеры, поэтому просто так раздавать IP-адреса нельзя - это ж каждый дурак подделать может.
Умные провайдеры в этом случае что делают? Покупают мощную железку и поверх всего этого запускают VPN. Потому что всё остальное при некотром желании можно отсниффить, даже если сеть на коммутаторах собрана. (Да-да, привет мальчику Сереже с его Черным Сниффером и arp poisoning'ом).
Но то умные. А у некоторых то ли денег не хватает, то ли мозгов.. Потому что делать широковещательную домашнюю сеть /16 - это я не знаю, кем надо быть. Несмотря на коммутаторы, там одних броадкастов и arp'ов килобайт на 20 в секунду приходит. И уровень грамотности сотрудников техподдержки сильно настораживает. Ну да ладно, речь не о том.
Короче, провайдер решил привязаться к мак-адресам сетевых карт. И строго-настрого запретил клиентам менять сетевые карты, или, того хуже, подключать всякие маршрутизаторы и точки доступа, не уведомив об этом провайдера. Про MAC address cloning, который давно стал штатной фичей в домашних маршрутизаторах, провайдер, видать, никогда не слышал.
В общем, IP-адреса раздаются по DHCP псевдо-статические. А чтоб совсем все было надежно, даже с этих псевдо-статических IP в наружный интернет выпускают не всех, а только тех, кто с этого IP-адреса запустит специальную хитрую программу, которая раз в N секунд ходит на сервер авторизации и очень шифрованным способом сообщает туда пароль. И если пароль будет не от того IP, то авторизация не сработает и никуда юзверя ушастого не выпустят. А сработает - тут трафик с его IP и начнет считаться. Выключил - трафик считаться перестанет, но и доступ наружу отключится.
Казалось бы, схема надежная? На первый взгляд - да. При попытке позвонить провайдеру с просьбой отключить привязку к маку от карты, которую давно заменили вместе с компьютером, или хотя бы отключить этот дурацкий авторизатор, техподдержка начала нести какую-то ересь про безопасность и воровство трафика, от которого все вышеизложенное как раз и защищает. Правда, старый мак-адрес сообщила. И IP тоже. Прямо по телефону, совершенно никак не удостоверившись, что это действительно звонит человек, проживающий в данной квартире.
Так оно что, правда, защищает? На первый взгляд - да.
А если копнуть поглубже?
На нормальное сетевое оборудование-то провайдер поскупился, по подъездам не маршрутизаторы стоят, а коммутаторы. Которые подешевле, неуправляемые. И в резуальтате в сети запросто может возникнуть маленькое чудо в виде двух компьютеров не только с одинаковыми IP, но и с одинаковыми маками. Авторизуется один, а в интернет ходят оба. Конечно, они иногда друг другу мешают, получая пакеты друг от друга, но в общем ничего, жить можно.
Будь там маршрутизаторы - фиг бы можно было заниффить мак-адреса. Хотя nmblookup их тоже сообщает, но это надо какие-то дополнительные нетривиальные телодвижения совершать. А так NBTшные броадкасты от виндовых машин вообще сами горами валятся - бери-не хочу. И подделываться можно было бы, в лучшем случае, под тех, кто в этом же подъезде.
Будь там хотя бы управляемые коммутаторы - провайдер смог бы с них по SNMP данные снимать, и подозрительные смены маков на одном порту обнаруживать. Но он, как указано выше, скупой.
Рассказывать неграмотным сотрудникам техподдержки про эту дырень я не стал, они все равно не поймут. А форма обратной связи на сайте провайдера не работает. Так что если его сотрудники вдруг это прочитают, то пусть им будет стыдно. Ну а нет - так нет.
Upd: мне тут недавно ссылочку подкинули - http://www.nag.ru/2002/0403/3m2.shtml . 2002 год, однако.
Умные провайдеры в этом случае что делают? Покупают мощную железку и поверх всего этого запускают VPN. Потому что всё остальное при некотром желании можно отсниффить, даже если сеть на коммутаторах собрана. (Да-да, привет мальчику Сереже с его Черным Сниффером и arp poisoning'ом).
Но то умные. А у некоторых то ли денег не хватает, то ли мозгов.. Потому что делать широковещательную домашнюю сеть /16 - это я не знаю, кем надо быть. Несмотря на коммутаторы, там одних броадкастов и arp'ов килобайт на 20 в секунду приходит. И уровень грамотности сотрудников техподдержки сильно настораживает. Ну да ладно, речь не о том.
Короче, провайдер решил привязаться к мак-адресам сетевых карт. И строго-настрого запретил клиентам менять сетевые карты, или, того хуже, подключать всякие маршрутизаторы и точки доступа, не уведомив об этом провайдера. Про MAC address cloning, который давно стал штатной фичей в домашних маршрутизаторах, провайдер, видать, никогда не слышал.
В общем, IP-адреса раздаются по DHCP псевдо-статические. А чтоб совсем все было надежно, даже с этих псевдо-статических IP в наружный интернет выпускают не всех, а только тех, кто с этого IP-адреса запустит специальную хитрую программу, которая раз в N секунд ходит на сервер авторизации и очень шифрованным способом сообщает туда пароль. И если пароль будет не от того IP, то авторизация не сработает и никуда юзверя ушастого не выпустят. А сработает - тут трафик с его IP и начнет считаться. Выключил - трафик считаться перестанет, но и доступ наружу отключится.
Казалось бы, схема надежная? На первый взгляд - да. При попытке позвонить провайдеру с просьбой отключить привязку к маку от карты, которую давно заменили вместе с компьютером, или хотя бы отключить этот дурацкий авторизатор, техподдержка начала нести какую-то ересь про безопасность и воровство трафика, от которого все вышеизложенное как раз и защищает. Правда, старый мак-адрес сообщила. И IP тоже. Прямо по телефону, совершенно никак не удостоверившись, что это действительно звонит человек, проживающий в данной квартире.
Так оно что, правда, защищает? На первый взгляд - да.
А если копнуть поглубже?
На нормальное сетевое оборудование-то провайдер поскупился, по подъездам не маршрутизаторы стоят, а коммутаторы. Которые подешевле, неуправляемые. И в резуальтате в сети запросто может возникнуть маленькое чудо в виде двух компьютеров не только с одинаковыми IP, но и с одинаковыми маками. Авторизуется один, а в интернет ходят оба. Конечно, они иногда друг другу мешают, получая пакеты друг от друга, но в общем ничего, жить можно.
Будь там маршрутизаторы - фиг бы можно было заниффить мак-адреса. Хотя nmblookup их тоже сообщает, но это надо какие-то дополнительные нетривиальные телодвижения совершать. А так NBTшные броадкасты от виндовых машин вообще сами горами валятся - бери-не хочу. И подделываться можно было бы, в лучшем случае, под тех, кто в этом же подъезде.
Будь там хотя бы управляемые коммутаторы - провайдер смог бы с них по SNMP данные снимать, и подозрительные смены маков на одном порту обнаруживать. Но он, как указано выше, скупой.
Рассказывать неграмотным сотрудникам техподдержки про эту дырень я не стал, они все равно не поймут. А форма обратной связи на сайте провайдера не работает. Так что если его сотрудники вдруг это прочитают, то пусть им будет стыдно. Ну а нет - так нет.
Upd: мне тут недавно ссылочку подкинули - http://www.nag.ru/2002/0403/3m2.shtml . 2002 год, однако.
Tags:
no subject
У нас один из домашних широковещательных сделал раздачу адресов (статикой без DHCP) из 10/8
Вот где веселуха была...