znaczacy > comp.os.* > comp.os.linux.sieci

Robert G. (23.10.2010, 17:59)
Sieć składa się z ponad 4 ty¶. klientów.
Serwery PPPOE serwuj± klientowi numer IP dopiero po poprawnym podaniu loginu i
hasła, dodatkowo MAC adres karty sieciowej jest kolejnym "zabezpieczniem".
Jednak jak widze do dupy te zabezpiecznia, skoro ludzie w LANie wymieniaja sie
loginami i hasłami a zmiana MACa jest dziecinna prosta.
Jak można skutecznie zabezpieczyć się przed oszustami w LANie ?
Piotr Lewandowski (23.10.2010, 18:12)
W dniu 2010-10-23 17:59, Robert G. pisze:
> Sieć składa się z ponad 4 ty¶. klientów.
> Serwery PPPOE serwuj± klientowi numer IP dopiero po poprawnym podaniu loginu i
> hasła, dodatkowo MAC adres karty sieciowej jest kolejnym "zabezpieczniem".
> Jednak jak widze do dupy te zabezpiecznia, skoro ludzie w LANie wymieniaja sie
> loginami i hasłami a zmiana MACa jest dziecinna prosta.
> Jak można skutecznie zabezpieczyć się przed oszustami w LANie ?


radio czy kabel?
Robert G. (23.10.2010, 18:58)
> W dniu 2010-10-23 17:59, Robert G. pisze:
[..]
R (23.10.2010, 19:33)
W dniu 2010-10-23 17:59, Robert G. pisze:
> Sieć składa się z ponad 4 ty¶. klientów.
> Serwery PPPOE serwuj± klientowi numer IP dopiero po poprawnym podaniu loginu i
> hasła, dodatkowo MAC adres karty sieciowej jest kolejnym "zabezpieczniem".
> Jednak jak widze do dupy te zabezpiecznia, skoro ludzie w LANie wymieniaja sie
> loginami i hasłami a zmiana MACa jest dziecinna prosta.
> Jak można skutecznie zabezpieczyć się przed oszustami w LANie ?

A na czym to +/- stoi? Jaki¶ zarz±dzalny sprzęt, czy raczej
soho-mydelniczki?

R.
Andrzej Adam Filip (23.10.2010, 19:42)
"Robert G." <robert.giedrowiczWYTNIJTO> pisze:
> i jedno i drugie


0) To sa *placacy* klienci? Czy masz limity na transfer danych?
1) Zabezpieczasz sie przed uzyciem jednej pary login/haslo do
utrzymywania wiecej niz jednej sesji PPPOE na raz?
2) Uzywasz piorytetowania ruchu w zaleznosci od rozmiaru ruchu
wygenerowanego w danym okresie rozliczeniowym?
Grzegorz Staniak (23.10.2010, 19:58)
On 23.10.2010, Robert G. <robert.giedrowiczWYTNIJTO> wroted:

> Siec sklada sie z ponad 4 tys. klientów. Serwery PPPOE serwuja
> klientowi numer IP dopiero po poprawnym podaniu loginu i hasla,
> dodatkowo MAC adres karty sieciowej jest kolejnym "zabezpieczniem".
> Jednak jak widze do dupy te zabezpiecznia, skoro ludzie w LANie
> wymieniaja sie loginami i haslami a zmiana MACa jest dziecinna
> prosta. Jak mozna skutecznie zabezpieczyc sie przed oszustami
> w LANie ?


Zainwestowac w przelaczniki z funkcjonalnoscia "port security",
opracowac metode utrzymywania przypisan mac-port, napisac skrypty
wrzucajace zbudowane ta metoda konfiguracje na przelaczniki.

GS
Andrzej 'The Undefined' Dopierala (23.10.2010, 20:29)
Dnia 23.10.2010 Robert G. <robert.giedrowiczWYTNIJTO> napisal/a:
> Siec sklada sie z ponad 4 tys. klientów.
> Serwery PPPOE serwuja klientowi numer IP dopiero po poprawnym podaniu loginu i
> hasla, dodatkowo MAC adres karty sieciowej jest kolejnym "zabezpieczniem".
> Jednak jak widze do dupy te zabezpiecznia, skoro ludzie w LANie wymieniaja sie
> loginami i haslami a zmiana MACa jest dziecinna prosta.


> Jak mozna skutecznie zabezpieczyc sie przed oszustami w LANie ?

ale gdzie tu jest oszustwo?
Jak ktos podaje komus swoj login/haslo, to robi to na swoja wlasna
odpowiedzialnosc - jakie to ma znaczenie dla Ciebie?

To tak jakby ktos podal komus swoj login/haslo do banku - jak tak zrobil
widocznie chcial by ktos mu wyplacil pieniazki.

Z swojej strony zabezpiecz sie tylko tym by wpuszczac tylko jedna sesje jednego
uzytkownika i loguj polaczenia. i tyle.
Piotr Lewandowski (23.10.2010, 21:21)
W dniu 2010-10-23 18:58, Robert G. pisze:
> i jedno i drugie


Jeżeli kabel to switch zarz±dzany i przypisanie mac do portu. Co do
radia to segmentacja sieci jak najbliżej klienta koncentratory w
poł±czeniu z radius (logi+hasło+mac+nazwa_koncentratora).
Krzysztof Magosa (24.10.2010, 00:20)
W dniu 23.10.2010 20:29, Andrzej 'The Undefined' Dopierala pisze:
>> [...]
>> Jak mozna skutecznie zabezpieczyc sie przed oszustami w LANie ?

> ale gdzie tu jest oszustwo?
> Jak ktos podaje komus swoj login/haslo, to robi to na swoja wlasna
> odpowiedzialnosc - jakie to ma znaczenie dla Ciebie?


Nie wiem czy administrujesz jakas siecia...
Ale userzy czesto baaardzo kombinuja. Np. user marudzi, ze drogo i nagle
przestaje placic, a drugi wykupuje sobie druga pare login/haslo do pppoe
(rzekomo do swojego drugiego komputera). I potem sie okazuje, ze
podzielili sie kosztami na pól i ten drugi login jest uzywany u tego
sasiada, który nie placi...

I operator jest stratny 2 razy...
- 1 abonament mniej
- wieksza zajetosc pasma

Pozdrawiam.
Andrzej Adam Filip (24.10.2010, 00:32)
Krzysztof Magosa <krzysztof> pisze:
[..]
> - 1 abonament mniej
> - wieksza zajetosc pasma
> Pozdrawiam.


User zawsze moze sobie po prostu postawic router obslugujacy PPPoE i
postawic za tym ilu sasiadów zechce.
"Madrawy" operator nie walnie po tym limitami transferu danych?
Krzysztof Magosa (24.10.2010, 02:08)
W dniu 24.10.2010 00:32, Andrzej Adam Filip pisze:
> User zawsze moze sobie po prostu postawic router obslugujacy PPPoE i
> postawic za tym ilu sasiadów zechce.
> "Madrawy" operator nie walnie po tym limitami transferu danych?


W teorii tak moze byc, ale to wymaga pewnej wiedzy i nakladu
finansowego... Natomiast wpisanie loginu/hasla od sasiada, majac kabel
od operatora to 10 sekund.

Nie sa to moje przypuszczenia... Tylko wynik z autopsji.
robert.giedrowiczWYTNIJTO (24.10.2010, 11:53)
> W dniu 23.10.2010 20:29, Andrzej 'The Undefined' Dopierała pisze:
> Nie wiem czy administrujesz jakÄ…Ĺ› sieciÄ…...
> Ale userzy często baaardzo kombinują. Np. user marudzi, że drogo i nagle
> przestaje płacić, a drugi wykupuje sobie drugą parę login/hasło do pppoe
> (rzekomo do swojego drugiego komputera). I potem siÄ™ okazuje, ĹĽe
> podzielili się kosztami na pół i ten drugi login jest używany u tego
> sąsiada, który nie płaci...
> I operator jest stratny 2 razy...
> - 1 abonament mniej
> - większa zajętość pasma
> Pozdrawiam.

dokładnie u mnie tak jest, usery odpalaja sobie fora i wymieniaja sie loginami i
haslami bo np. maja taka potrzebe, albo admin ich wkur... lub kazdy inny powĂłd
sie znajdzie byleby byl skuteczny dobry.
robert.giedrowiczWYTNIJTO (24.10.2010, 11:58)
> W dniu 2010-10-23 17:59, Robert G. pisze:
> A na czym to +/- stoi? Jaki¶ zarz±dzalny sprzęt, czy raczej
> soho-mydelniczki?
> R.

samych urz±dzeń aktywnych jest prawie 1000 sztuk, różne różniaste modele i
producenci, siec ma prawie 10 lat, wiec czę¶ć urzadzen pamieta czasy gdy
królowały modemy 56k, sukcesywnie jest to wymieniane na nowsze zarzadzalne
urzadzenia ale taki proces trwa.
robert.giedrowiczWYTNIJTO (24.10.2010, 12:06)
> W dniu 2010-10-23 18:58, Robert G. pisze:
> > i jedno i drugie

> Jeżeli kabel to switch zarz±dzany i przypisanie mac do portu. Co do
> radia to segmentacja sieci jak najbliżej klienta koncentratory w
> poł±czeniu z radius (logi+hasło+mac+nazwa_koncentratora).

w przypadku radia jest o tyle lepiej ze klient dostaje AP zaplombowanego bez
mozliwosci ingerencji w niego i zmiany ustawien a co sobie postawi za nim to juz
jego sprawa. Choc w dobie powiedzmy "szybkiego" neta, klient majac 4Mb dzieli
tego neta z innym sasiadom, bo na dwoch te 4Mb wystarcza im w zupelnosci.
Krzysztof Magosa (24.10.2010, 12:27)
W dniu 24.10.2010 11:53, robert.giedrowiczWYTNIJTO pisze:
> dok�adnie u mnie tak jest, usery odpalaja sobie fora i wymieniaja sie loginami i
> haslami bo np. maja taka potrzebe, albo admin ich wkur... lub kazdy inny powĂld
> sie znajdzie byleby byl skuteczny dobry.


U mnie jeden user "fajna" akcje zrobil.
Wlamal sie do skrzynki ze switchem i podlaczyl wszystkich uzytkowników,
którzy byli karnie odlaczeni za dlugi, a potem zglosil, ze chce kolejny
login/haslo...

Jezeli nie masz zarzadzalnych switchy zaraz przy userach, to niewiele
zdzialasz. A nawet jesli... to cwaniak moze kupic router wifi i
obdzielic pól budynku swoim internetem za drobna oplata...

Na to chyba nie ma rady poza dobra oferta...
Na tyle drogo, zebys Ty zarobil, i na tyle tanio, zeby im sie nie
oplacalo kombinowac...

Podobne w±tki