O "арпу" , " безлимитках в складчину" и NoDeny в частности...

[hex@set 1 423]

-=Для малых сетей с недостатком или полным отсутствием "умного" железа ,думаю будет актуально .

Дабы не терять "АРПУ" на "БЕЗЛИМИТКАХ В СКЛАДЧИНУ"

варианты когда Петя ,Вася ,Ася ,Оля и Андрей скинулись и пользуются одной безлимиткой по очереди ,по причине платежного кризиса ,либо по присутствию "нестандартного" мышления связанного с отечественным менталитетом .=-

 

Собрался я тут на днях прикупить NoDeny по рекомендации знакомого "охрененный гибкий биллинг и шустрая поддержка(с)" .А тут как раз Че-то и utm4 "поднадоел"

Производителю продукта при общении о покупке предлагалось прикрутить к билингу NODENY модуль дополнительной авторизации по принципу привязки к железу т-е 1логин=1комп=1клиент.

 

При инициализации клиентом сессии VPN(pppoe) ,сервером в ответ клиенту посылается случайно сгенеренное 8-(16) байтное "слово" .

Клиентская часть назовем "авторизатор" (стукачек ) ,получает ,зашифровывает des(3des)-ом относительно выдаваемого клиенту пароля на впн(pppoe) и id железа клиента(tmpkey) и отсылает обратно серверу ответ, расшифровываем и сравниваем ответ запрос на сервере ,при равенстве значений пускаем клиента в инет .Естественно при наличии уже поднятой впн или (pppoe) сессии.. .

Я не буду подробно описывать дальнейшую логику работы "стукачка" ибо пока это бессмысленно.

 

Так вот собственно..о чем это я.... ,и был резво и вежливо послан по протоколу в "POPUoe" разработчиком-прдавцом NODENY .Они мол на малые сети уже не ориентированны ,ушли пацаны в большой бизнес..

Хотя думаю модуль был бы востребован , сам бы легко отдал 200уе за данный функцинонал зная ,что в моем случае модуль окупиться за 2-3 месяца .

К примеру введенная нами банальная проверка по VPN+MAC ,дала + 3000гр в кассу уже на второй платежный месяц. И вот только не надо мне рассказывать и мусолить в который раз тему о том ,что привязка к порту умного свича и Vlan-Ы решает эту проблему . Я это понимаю и к этому стремлюсь как и все ,но у меня к сожалению не 9ти этажки.....а 5-ти и 2-х ,где подъездов по количеству вагон ,а квартир в них по 6-8-10 на подъезд и площадь "мама не горюй". Да и в любом случае у каждой сети есть свои нюансы и приоритеты развития и вложений.

И сразу прошу "опустите" для себя в этом топике тему обсуждения "РОУТЕРОВ" ,это не тот топик ,и совершенно не та проблема.

Собственно вопрос то ALL,

Поднятая тема действительно никому не интересна как и было сказано разработчиком ,ИЛИ таки умеем считать . ??

З.Ы. Может у кого-то реализован похожий "костыль" на NoDeny или utm4? куплю...или профинансирую.....

З.Ы.Ы Прошу прощения за некоторую несвязность мысли...,Э..,Новый Год всегда накладывает некий тяжелый груз на МОСКлительный процесс..

[YuSHa 59]

Тема довольно таки интересная) особенно если сеть восновном беспроводная и затраты на обслуживание и поддержание на порядок выше чем обслуживание обычной проводной

[logic 513]

и Я бы прикупил такой "костыль" на NoDeny. Тоже похожая проблемка.

[911 140]

а чем не устраивает привязка впн/пппое к мак адресу?

[rsst 404]

а чем не устраивает привязка впн/пппое к мак адресу?

 

а что мешает отключить не платящих пользователей? если сеть неуправляемая, то это можно сделать на том же ВПН сервере. или тупо заблочить по маку на свиче в центре...

[hex@set 1 423]

а чем не устраивает привязка впн/пппое к мак адресу?

Эффективность привязки впн/пппое к мак адресу , падает пропорционально с само обученим и желанием сэкономить "продвинутых" пользователей.

Защиты от подмены мака как таковой нет ,есть "меры борьбы", исключение конечно железная авторизация на умном свиче.

Вы же думаю знаете подменить мак даже в винде дело 1-2 секунд. Умельцы даже прог уже наваяли полностью сохраняющих несколько профилей сетевых настроек ,включая и мак адрес сетевухи на ваш выбор.

Да и не это тут обсуждается....

[hex@set 1 423]

а чем не устраивает привязка впн/пппое к мак адресу?

 

а что мешает отключить не платящих пользователей? если сеть неуправляемая, то это можно сделать на том же ВПН сервере. или тупо заблочить по маку на свиче в центре...

Вы что курили? Топик шо о методике блокировки пользователей в неуправляемой сети? А вобще я бы посмотрел как вы меня лично "как вашего к примеру абонета" отключили бы в неуправляемой сети на 1000 абонов с помощью блокировки по мак..,вам бы уважаемый пришлось бы пол сети своих клиентов отрубить. Или для начала найти под кого замаскировался. К вашему сведению даже в замороженной таблице и с l2guard-ами в нагрузку , мак можно поставить ....вашего соседа.. предварительно послушав сеть .

Тут речь идет о там ,что из 1000 абонов 100 обмениваются личными данными и фактически не платят за инет им пользуясь. Да и отключать клиента с долгом 0 как-то неприлично хотя приходиться.

100 клиентов умножте на средне статические безлимитные 50-60гр . Я вам помогу..5000-6000т гривен

[rsst 404]

вам бы уважаемый пришлось бы пол сети своих клиентов отрубить. Или для начала найти под кого замаскировался. К вашему сведению даже в замороженной таблице и с l2guard-ами в нагрузку , мак можно поставить ....вашего соседа.. предварительно послушав сеть .

Тут речь идет о там ,что из 1000 абонов 100 обмениваются личными данными и фактически не платят за инет им пользуясь. Да и отключать клиента с долгом 0 как-то неприлично хотя приходиться.

100 клиентов умножте на средне статические безлимитные 50-60гр . Я вам помогу..5000-6000т гривен

 

по поводу поставить мак соседа. у меня в сети около 500 пользователей, отключение происходит именно в центре на свиче блокировкой мака. за последний год было только 1 случай подмены мака, который был выявлен и пользователь был отключен от сети (повторное включение - полная оплата стоимости подключения).

по поводу обмена личными данными - пользователь не оплативший какой-нить пакет интернета на будущий месяц отключается от сети. если оплата не прошла в течение месяца - отключается выниманием провода из свича. т.е. обменивайтесь сколько хотите, но оплатить что-то должен каждый, кто есть в сети.

[911 140]

идея-то вот в чем: существует какой-то минимальный тариф, который человек должен оплачивать, если возник долг за 1-2 месяца - физическое отключение от свича

в итоге получаем, что человек должен платить, например, 30 грн тебе за минимальный тариф и плюс скидываться с какими-то умниками на безлимитку

а это уже не так удобно, как сидеть нахаляву в сети и пользоваться левым инетом )))

[zulu_gluk 23]

сеть на 1000 абонентов без управляемого железа моветон...

[Foster 0]

появятся авторизаторы с ключами по железу - появится легкий софт по подмене ключей и прочего. Сколько бы не ломали голову те же медиахолдинги как продавать свой контент защищенно - все равно ломают. Тот же траффик инспектор (сервер) привязывается к железу - а толку? По моему такое спасает только на некоторое время. Лучше держать на подмену пару управляемых свитчей (хоть восьмерок) и учитывать хитроумных клиентов, которым и ставить эти свитчи. Так дешевле выйдет, потому как все равно со временем надо полностью переходить на привязки портов.

[hex@set 1 423]

 

 

по поводу поставить мак соседа. у меня в сети около 500 пользователей, отключение происходит именно в центре на свиче блокировкой мака. за последний год было только 1 случай подмены мака, который был выявлен

Ага именно ,ключевое слово выявлен , видимо случайно .

по поводу обмена личными данными - пользователь не оплативший какой-нить пакет интернета на будущий месяц отключается от сети. если оплата не прошла в течение месяца - отключается выниманием провода из свича. т.е. обменивайтесь сколько хотите, но оплатить что-то должен каждый, кто есть в сети.

Вынимать из свича некого да и в принципе незачто, они у вас по очереди платят ,чередуясь через месяц..,а блокировать на свиче бессмысленно , для свича они когда в инете работают как один и тот-же комп выглядят

Это пора бы уже и понять.

[hex@set 1 423]

идея-то вот в чем: существует какой-то минимальный тариф, который человек должен оплачивать, если возник долг за 1-2 месяца - физическое отключение от свича

в итоге получаем, что человек должен платить, например, 30 грн тебе за минимальный тариф и плюс скидываться с какими-то умниками на безлимитку

а это уже не так удобно, как сидеть нахаляву в сети и пользоваться левым инетом )))

Оно все именно так и есть как ты говориш, но "скидываться" на 2х-3х все равно дешевле.

[hex@set 1 423]

сеть на 1000 абонентов без управляемого железа моветон...

Это вы как хозяин и лицо которое финансирует вашу сеть говорите ?

Вы видимо в один день себе 230шт умников наставили....в которые вам по сути надо воткнуть по 2-3 клиента. Растянулись оптикой ,проложили свои шахты в подъездах.

Представте себе я этим занимаюсь даже там где в подъезде 2 этпжа 6 квартир и подключен 1 клиент.

Или просто вам пообщаться не о чем.

gluk не читайте наискосок...хотя бы первый пост топика.

Управляемое железо есть ,но чтобы контролировать то о чем я писал выше оно должно накрыть 100% портов.

[hex@set 1 423]

появятся авторизаторы с ключами по железу - появится легкий софт по подмене ключей и прочего. Сколько бы не ломали голову те же медиахолдинги как продавать свой контент защищенно - все равно ломают. Тот же траффик инспектор (сервер) привязывается к железу - а толку? По моему такое спасает только на некоторое время. Лучше держать на подмену пару управляемых свитчей (хоть восьмерок) и учитывать хитроумных клиентов, которым и ставить эти свитчи. Так дешевле выйдет, потому как все равно со временем надо полностью переходить на привязки портов.

Женя, как я уже писал для того чтобы защититься от данной проблемы надо иметь управляемый порт у 2х(с обоих сторон) клиентов . Ты их сам к примеру имееш? При 50 "умных" клиентах ты будеш держать 50 свичей на подмену и бегать по крышам ?

Дешевле говоришь выйдет? Да я на сэкономленное на таком "дешевле" как раз пару лишних свичей в месяц и куплю.

По поводу "ломать" ,ты просто не вник в суть вопроса.

[zulu_gluk 23]

Это вы как хозяин и лицо которое финансирует вашу сеть говорите ?

 

это я говорю как тот кто решает что и как строить и сколько выделить на это ресурсов.

 

Вы видимо в один день себе 230шт умников наставили....в которые вам по сути надо воткнуть по 2-3 клиента. Растянулись оптикой ,проложили свои шахты в подъездах.

 

нет, не в один день - все постепенно

 

Представте себе я этим занимаюсь даже там где в подъезде 2 этпжа 6 квартир и подключен 1 клиент.

Или просто вам пообщаться не о чем.

gluk не читайте наискосок...хотя бы первый пост топика.

Управляемое железо есть ,но чтобы контролировать то о чем я писал выше оно должно накрыть 100% портов.

чтобы контролировать на 100% действительно должно быть 100% управляемых портов. Но Вы слишком узко мыслите, и не учитываете такое понятие как экономическая эффективность. Нет денег на все умные порты? делайте их не все умные - дробите на как можно меньшие неуправляемые сегменты, в каждом сегменте делайте привязки по мак/ип + логин/пароль. это позволит минимизировать убытки от таких абонентов и в то же не нужно будет покупать 230 умных свичей сразу. Да это не решит все вопросы, но Ваш метод такой же "эффективный". Да и с паранойей надо бороться, не все так ужасно - отдавать свой логин/пароль, менять мак и сидеть без сети и инета во время того как сосед качает чтото, очень немногие захотят (если Вы конечно не берете по 500 грн в месяц за доступ)

[hex@set 1 423]

 

чтобы контролировать на 100% действительно должно быть 100% управляемых портов. Но Вы слишком узко мыслите, и не учитываете такое понятие как экономическая эффективность.

Мыслю я как хозяин и учитываю такое понятие как экономическая эффкетивность И исхожу из расчетов и графиков развития.

Нет денег на все умные порты? делайте их не все умные - дробите на как можно меньшие неуправляемые сегменты, в каждом сегменте делайте привязки по мак/ип + логин/пароль. это позволит минимизировать убытки от таких абонентов и в то же не нужно будет покупать 230 умных свичей сразу.

Вы опять наискосок читаете?

Да это не решит все вопросы, но Ваш метод такой же "эффективный". Да и с паранойей надо бороться, не все так ужасно - отдавать свой логин/пароль, менять мак и сидеть без сети и инета во время того как сосед качает чтото, очень немногие захотят (если Вы конечно не берете по 500 грн в месяц за доступ)

Нет ,по 599.... Если вы считаете это паранойей то уберите мак/ип + логин/пароль и сделайте себе авторизацию просто по айпи....., Увидите насколько быстро поумнеет ваш средне статический пользователь и насколько быстро упадут оплаты за инет.

Я вам так скажу ,пока я не занялся направленным отловом и изучением этого "процесса" в сети то тоже думал "та это копейки" ...Хотя если для вас терять каждый месяц по 2000-3000 гр это копейки, для меня это деньги.

[zulu_gluk 23]

я знаю какие они умные и совсем не предлагаю отказаться от использования дополнительных средств защиты. Но есть стандартные методы, которые в большинстве случаев более предпочтительны и универсальны чем самоделки

[Foster 0]

появятся авторизаторы с ключами по железу - появится легкий софт по подмене ключей и прочего. Сколько бы не ломали голову те же медиахолдинги как продавать свой контент защищенно - все равно ломают. Тот же траффик инспектор (сервер) привязывается к железу - а толку? По моему такое спасает только на некоторое время. Лучше держать на подмену пару управляемых свитчей (хоть восьмерок) и учитывать хитроумных клиентов, которым и ставить эти свитчи. Так дешевле выйдет, потому как все равно со временем надо полностью переходить на привязки портов.

Женя, как я уже писал для того чтобы защититься от данной проблемы надо иметь управляемый порт у 2х(с обоих сторон) клиентов . Ты их сам к примеру имееш? При 50 "умных" клиентах ты будеш держать 50 свичей на подмену и бегать по крышам ?

Дешевле говоришь выйдет? Да я на сэкономленное на таком "дешевле" как раз пару лишних свичей в месяц и куплю.

По поводу "ломать" ,ты просто не вник в суть вопроса.

 

Вот теперь и я чего-то недопонял. Что такое с обоих сторон? На клиенте ставится привязка на порту одного мака (железяка проверяет маки на входе). Подставляешь другой мак - сидишь без сети. Лично у меня управляемое стоит всего в паре мест и проверка маков там не задействована. Незачем. Что им в конце концов мешает поднимать туннели и гонять через них трафик. Я не разработчик софта, не скажу как оно реализуется, но, видимо создание таких клиентов чем-то обусловлено. Лично мне было бы интересно поглядеть на возможность реализации Stargazer Inetaccess+VPN (запускаем авторизатор и имеем впн подключение). Не знаю на сколько такое возможно, это лучше спросить у разработчиков.

[BUM 237]

что мешает сделать в сети привязку IP+MAC, pptp или то же ppoe сверять по Calling-Station-Id, например у меня реализовано:

есть биллинг нодени (убрал с него все что касается помегабайток, ибо у меня их всеравно нет), переписал под себя, добавил пару надстроек,

радиус спрашивает в базе 'Framed-IP-Address' сделал replace(ip,'10.1.','172.16.'), далее сверяем Framed-IP-Address с Calling-Station-Id если отличается то редиректим юзверя на страницу с текстом "Доступ запрещен, из-за передачи регистрационных данных 3-м лицам", и кидаем в бан обоих пользователей до выяснения обстоятельств.

[hex@set 1 423]

я знаю какие они умные и совсем не предлагаю отказаться от использования дополнительных средств защиты. Но есть стандартные методы, которые в большинстве случаев более предпочтительны и универсальны чем самоделки

Ой-ли ?так-ли ? Просто к примеру дополнительный метод защиты MAC+VPN вам уже привычен и примелькался на глазах и слуху. А вспомните сколько воды по этой связке вылито было....

А задайте себе вопрос много ваших пользователей сможет обойти такую авторизацию при условии что в кажой сети она уникальна? В отличи от MAC+VPN которую в неуправляемом сегменте не обманет только ленивая блондинка ,да и ту друзья научат.

И уясните себе экономическую выгоду. Заплатив 200$ за подобный модуль Вы получаете не панацею с которой вам жить ,а некую мифическую отсрочку затрат ,но железную свободу маневра на некоторое время, да и поверте на слово снижаете значительно потери по выручкам.

[hex@set 1 423]

 

Вот теперь и я чего-то недопонял. Что такое с обоих сторон? На клиенте ставится привязка на порту одного мака (железяка проверяет маки на входе). Подставляешь другой мак - сидишь без сети.

Отлтично мыслиш , но представь что инет оплачен тем клиентом который как раз на управляемом порту...а левак(друг) на неуправлемом. Вопросы?

Лично у меня управляемое стоит всего в паре мест и проверка маков там не задействована. Незачем. Что им в конце концов мешает поднимать туннели и гонять через них трафик.

Ну хозяин барин, но я бы тебя "побил" за такую политику похеризма в собственной сети

Я не разработчик софта, не скажу как оно реализуется, но, видимо создание таких клиентов чем-то обусловлено. Лично мне было бы интересно поглядеть на возможность реализации Stargazer Inetaccess+VPN (запускаем авторизатор и имеем впн подключение). Не знаю на сколько такое возможно, это лучше спросить у разработчиков.

Видимо да обусловленно.. А вообще если бы (сткуачек+VPN) в одном флаконе ,да грамотная реализация ,то цены бы небыло..

[911 140]

Есть 2 момента, по которым это не стоит делать:

1) что вы расскажете пользователям с ОС Linux, Mac OS X и т.п., а также владельцам wi-fi роутеров?

2) что мешает людям начать ставить у себя прокси-сервер или туннели поднимать?

[hex@set 1 423]

Есть 2 момента, по которым это не стоит делать:

1) что вы расскажете пользователям с ОС Linux, Mac OS X и т.п., а также владельцам wi-fi роутеров?

2) что мешает людям начать ставить у себя прокси-сервер или туннели поднимать?

1) С авторизатором для Linux вопрос не решаемый? И что по вашему мешает запустить "авторизатор" с любой машины из-за роутера поднявшего впн.

2) Это другая тема другие вопросы и другие методики.

[hex@set 1 423]

что мешает сделать в сети привязку IP+MAC, pptp или то же ppoe сверять по Calling-Station-Id, например у меня реализовано:

есть биллинг нодени (убрал с него все что касается помегабайток, ибо у меня их всеравно нет), переписал под себя, добавил пару надстроек,

радиус спрашивает в базе 'Framed-IP-Address' сделал replace(ip,'10.1.','172.16.'), далее сверяем Framed-IP-Address с Calling-Station-Id если отличается то редиректим юзверя на страницу с текстом "Доступ запрещен, из-за передачи регистрационных данных 3-м лицам", и кидаем в бан обоих пользователей до выяснения обстоятельств.

Я наверно не дочитал ,то что сам написал..