Змінюй хід війни! Допомагай ЗСУ!

Чем плох интернет через VPN

🟢 04:13 Відбій тривоги в м. Харків та Харківська територіальна громада.Слідкуйте за подальшими повідомленнями.#м_Харків_та_Харківська_територіальна_громада
  • 🟢 04:13 Відбій тривоги в м. Харків та Харківська територіальна громада.Слідкуйте за подальшими повідомленнями.#м_Харків_та_Харківська_територіальна_громада
  • #21
  • 🟢 04:13 Відбій тривоги в м. Харків та Харківська територіальна громада.Слідкуйте за подальшими повідомленнями.#м_Харків_та_Харківська_територіальна_громада
  • #22
небольшой ЗІ: для меня первоочередное мнение абонентов, так вот біли случаи, когда они приятно удивляли отсутствию БДСМоЕ соединения... никто, заметьте, никто не сказал, хочу бдсмое!

варианты авторизации?

привязка к маку?
шейпинг на порту свича?
IEEE802.1X ?
 
  • 🟢 04:13 Відбій тривоги в м. Харків та Харківська територіальна громада.Слідкуйте за подальшими повідомленнями.#м_Харків_та_Харківська_територіальна_громада
  • #23
Ну вот возьмем замечательную сеть ДатаСвит. Любой школьник с уровнем развития лучше "буратино" - мог очень долгое время сидеть в инете за чужой счет. Все сетевики знают этому причины.
VPN-авторизация, уже как минимум не так проста для взлома, и чаще всего была самодостаточно. И если кого и ломали - то как правило по халатности самого абонента: дыры в ОС, умыкнутые пароли и т.д. Но это уже была достаточная форма контроля того, что дядьки которые заплатили деньги - могли быть спокойными что эти деньги тратятся не всеми школьниками района, пока они спят.

2002-2004 года... управляемого железо толком вообще не было. А если и было- то это было скорее ПК-решение, чем аппаратный свитч..... а соответсвенно на всех домах сурикомы/планеты L1\L2 (без управления).... если вообще не тупые хабы.
Как привязать конфиденциальность данного абонента?
авторизация по ip\mac - дык меняеться за 10 секунд оба параметра школьником в винде.
ACL-связки - требует дорого железа на тот момент
привязка порт/мак - аналогично дорогую железку на уровень доступа
802.1X -аналогично...

Вот от слишком высокой стоимости "управляемого порта" на уровне доступа и получило массовость VPN-авторизация.
Сейчас уже трагикомично далее строить сеть на этом... разве что предоставление услуг через "чужие" транспортные потоки, не подконтрольные Вам - тогда да есть смысл оного решения.

всё плохо.
а вариантов, что делать - так и не услышал...
 
  • 🟢 04:13 Відбій тривоги в м. Харків та Харківська територіальна громада.Слідкуйте за подальшими повідомленнями.#м_Харків_та_Харківська_територіальна_громада
  • #24
  • 🟢 04:13 Відбій тривоги в м. Харків та Харківська територіальна громада.Слідкуйте за подальшими повідомленнями.#м_Харків_та_Харківська_територіальна_громада
  • #25
намекаем на противоречие?
а его нема!
на абонентов не самизнаетекак, а вот на потоки теоретического подсознания про цоды и коммутаторы 10-го уровня на фоне всеобщей деградации и культа чирика, очень даже и самизнаетекак!

ну так чо.
как с VPN бороться буим ?
 
  • 🟢 04:13 Відбій тривоги в м. Харків та Харківська територіальна громада.Слідкуйте за подальшими повідомленнями.#м_Харків_та_Харківська_територіальна_громада
  • #26
А смысл борьбы с ним? Если сеть планировалось/строилась какое-то время назад и там есть авторизация через VPN, то мало вероятно, что кто-то будет "через колено" ломать все и вся.... ну разве что ТриОлени снова захотят поиздеваться над абонентами - но это уже другая история ;)

Другое дело, что зачем сети которые проектируют/строят сейчас - когда управляемые комутаторы стали намного доступней - опять все возвращать к VPN?

я по-моему как-то неразборчиво, наверно, написал, почерк неровный, спешил, все дела.

повторю написав МЕДЛЕННО. ну есть у нас управляемые свичи, как будем ААА строить на нашей сетке?
 
  • 🟢 04:13 Відбій тривоги в м. Харків та Харківська територіальна громада.Слідкуйте за подальшими повідомленнями.#м_Харків_та_Харківська_територіальна_громада
  • #27
  • 🟢 04:13 Відбій тривоги в м. Харків та Харківська територіальна громада.Слідкуйте за подальшими повідомленнями.#м_Харків_та_Харківська_територіальна_громада
  • #28
  • 🟢 04:13 Відбій тривоги в м. Харків та Харківська територіальна громада.Слідкуйте за подальшими повідомленнями.#м_Харків_та_Харківська_територіальна_громада
  • #29
повторю написав МЕДЛЕННО. ну есть у нас управляемые свичи, как будем ААА строить на нашей сетке?

Авторизация пользователей - по DHCP option82 (+ DHCP snooping, IP Source Guard).

Упрощенно схема выглядит следующим образом.
c479aed23ba988388cc72eac1b1e.jpeg


Хочется отметить, что применение такой схемы наряду с изоляцией портов доступа решает массу детских болезней технологии Ethernet.

Одной из первых в Харькове применена в сети Airbites.
 
  • 🟢 04:13 Відбій тривоги в м. Харків та Харківська територіальна громада.Слідкуйте за подальшими повідомленнями.#м_Харків_та_Харківська_територіальна_громада
  • #30
Одной из первых в Харькове применена в сети Airbites
.... к сожалению, со всеми детскими болезнями реализовавшего её товарища.
до сих пор помню вопли отдельных юзверов с их форума "ну почему каждый час мне приходится отключать/включать сетевую карту"... чем это лучше истории про впн и wfw ?
 
  • 🟢 04:13 Відбій тривоги в м. Харків та Харківська територіальна громада.Слідкуйте за подальшими повідомленнями.#м_Харків_та_Харківська_територіальна_громада
  • #31
.... к сожалению, со всеми детскими болезнями реализовавшего её товарища.
до сих пор помню вопли отдельных юзверов с их форума "ну почему каждый час мне приходится отключать/включать сетевую карту"... чем это лучше истории про впн и wfw ?

Ну в отличии от многих, человек реализовавший (и не раз утерший под носом) такую схему охотно поделился опытом с общественностью и написал интересную статью :)

Вы прекрасно знаете, что схема AAA - это комплекс систем/подсистем и коммутатор доступа - это важная, но всеголишь мизерная ее часть наряду с архитектурой сети, схемами резервирования, серверами доступа, реализацией RADIUS-сервера, биллинговой системы и ее подсистем. К сожалению многие забывают, что в связи ничего второстепенного нет, тоесть можно сделать все на отлично, но сэкономив всеголишь на одном узле, на выходе получим - на два с минусом :)

Достоинства же такой схемы очевидны и общеизвестны.
 
  • 🟢 04:13 Відбій тривоги в м. Харків та Харківська територіальна громада.Слідкуйте за подальшими повідомленнями.#м_Харків_та_Харківська_територіальна_громада
  • #32
Авторизация пользователей - по DHCP option82 (+ DHCP snooping, IP Source Guard).

Упрощенно схема выглядит следующим образом.
c479aed23ba988388cc72eac1b1e.jpeg


Хочется отметить, что применение такой схемы наряду с изоляцией портов доступа решает массу детских болезней технологии Ethernet.

Одной из первых в Харькове применена в сети Airbites.

всё заебически, но чем это в принципе отличается от привязки к маку сетевки?
ничем. тут будет привязка к маку свича+порту свича.

лучше чем забивать в биллинг мак клиента, но всего лишь эволюционный шаг к исключению абона из выдачи мака, а не отказ от мака как паспорта.
 
  • 🟢 04:13 Відбій тривоги в м. Харків та Харківська територіальна громада.Слідкуйте за подальшими повідомленнями.#м_Харків_та_Харківська_територіальна_громада
  • #33
всё заебически, но чем это в принципе отличается от привязки к маку сетевки?
ничем. тут будет привязка к маку свича+порту свича.

лучше чем забивать в биллинг мак клиента, но всего лишь эволюционный шаг к исключению абона из выдачи мака, а не отказ от мака как паспорта.

Ваша тяга к знаниям похвальна. Но не стоит себя искуственно ограничивать.
Ведь поле Agent Remote ID - это всеголишь набор байт, да это может быть MAC адрес устройства доступа, а может быть и имя вашей первой учительницы :)

First Published: February 26, 2009
Last Updated: February 26, 2009
The Cisco DHCP Option 82 Configurable Circuit ID and Remote ID provides more naming choices in
the Option 82 Remote ID and Option 82 Circuit ID suboptions. For example, you can use a
switch-configured hostname or specify an ASCII text string for the remote ID, and you can configure an
ASCII text string to override the circuit ID.

Предлагаю переходить от теории к практике.
 
Останнє редагування:
  • 🟢 04:13 Відбій тривоги в м. Харків та Харківська територіальна громада.Слідкуйте за подальшими повідомленнями.#м_Харків_та_Харківська_територіальна_громада
  • #34
Ваша тяга к знаниям похвальна. Но не стоит себя искуственно ограничивать.
Ведь поле Agent Remote ID - это всеголишь набор байт, да это может быть MAC адрес устройства доступа, а может быть и имя вашей первой учительницы :)

что там должно быть - не вопрос.
вопрос, как оно туда попадёт.

как я уже говорил, если одна и та же функциональность реализуется по-разному на разных вендорах а то и на разных сериях железа - она не подходит для долговременных проектов.

если же функциональность гибкая и одинаковая - всё ок.
и такой вариант можно принимать в работу.
 
  • 🟢 04:13 Відбій тривоги в м. Харків та Харківська територіальна громада.Слідкуйте за подальшими повідомленнями.#м_Харків_та_Харківська_територіальна_громада
  • #35
  • 🟢 04:13 Відбій тривоги в м. Харків та Харківська територіальна громада.Слідкуйте за подальшими повідомленнями.#м_Харків_та_Харківська_територіальна_громада
  • #36
А чего там рисовать.... берем любую типовую планировку ЛЮБОЙ новостройки - и будет от чего отталкиваться.

Любые перевозки любых грузов в любые страны! (звонить по любым телефонам)
 
  • 🟢 04:13 Відбій тривоги в м. Харків та Харківська територіальна громада.Слідкуйте за подальшими повідомленнями.#м_Харків_та_Харківська_територіальна_громада
  • #37
  • 🟢 04:13 Відбій тривоги в м. Харків та Харківська територіальна громада.Слідкуйте за подальшими повідомленнями.#м_Харків_та_Харківська_територіальна_громада
  • #38
Ваша тяга к знаниям похвальна. Но не стоит себя искуственно ограничивать.
Ведь поле Agent Remote ID - это всеголишь набор байт, да это может быть MAC адрес устройства доступа, а может быть и имя вашей первой учительницы :)



Предлагаю переходить от теории к практике.

выяснить бы ещё стандартные методы сдруживания DHCP с биллингом, ибо статика в лице 1 IP == 1 Абон не принимается.
 
  • 🟢 04:13 Відбій тривоги в м. Харків та Харківська територіальна громада.Слідкуйте за подальшими повідомленнями.#м_Харків_та_Харківська_територіальна_громада
  • #39
  • 🟢 04:13 Відбій тривоги в м. Харків та Харківська територіальна громада.Слідкуйте за подальшими повідомленнями.#м_Харків_та_Харківська_територіальна_громада
  • #40
Назад
Зверху Знизу