Jump to content

Захист від втручання абонента


domdom

Recommended Posts

  • Replies 51
  • Created
  • Last Reply

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Я думаю имеется введу loid аутентификация. Перед установкой на ОНУ устанавливается пароль который отправляется на ОЛТ и говорит ему что ОНУ "своя". После ресета пароль станет дефолтовым и ОНУ не пройд

Первое что пришло в голову, если ставите IP на ОНУ 1501С1 через ctc то с лан порта ОНУ становится не доступной. Второе если хочется секюрности меняйте юзера на ОНУ, меняйте дефолтовые настройки.

Это на вскидку, у себя попробовал мак от ОНУ в установленном мной влане пришел, т.е. в флеш ОНУ конфиг записался, но вопрос в том что ОНУ будет дропать все что ей будет приходит от ОЛТ т.к. не ее влан. ЛЛид ее а влан не ее. А вообще надо больше тестов проделать.

И вообще тема очень паливная, вдруг абоны до нее доберутся.

Edited by McLlaren
Link to post
Share on other sites

Первое что пришло в голову, если ставите IP на ОНУ 1501С1 через ctc то с лан порта ОНУ становится не доступной. Второе если хочется секюрности меняйте юзера на ОНУ, меняйте дефолтовые настройки.

Это на вскидку, у себя попробовал мак от ОНУ в установленном мной влане пришел, т.е. в флеш ОНУ конфиг записался, но вопрос в том что ОНУ будет дропать все что ей будет приходит от ОЛТ т.к. не ее влан. ЛЛид ее а влан не ее. А вообще надо больше тестов проделать.

И вообще тема очень паливная, вдруг абоны до нее доберутся.

попробовал

замену влан можна сделать на ону и оно работает - это нехорошо....

пароль ставить на ону бесполезно так как ресетнут... или есть вариант поставить с ОЛТ пароль ?

адрес на другой менять тоже бесполезно, потому что если его знаешь то все равно можна зайти на ону, а узнать его в принципе не проблема

 

попробовал с ОЛТ поставить адрес 0,0,0,0 на ону - ну и понятно тогда уже зайти не получилось

 

а вообще реально тема палевная

Edited by Lynx100
Link to post
Share on other sites

 

 

Первое что пришло в голову, если ставите IP на ОНУ 1501С1 через ctc то с лан порта ОНУ становится не доступной. Второе если хочется секюрности меняйте юзера на ОНУ, меняйте дефолтовые настройки.

Это на вскидку, у себя попробовал мак от ОНУ в установленном мной влане пришел, т.е. в флеш ОНУ конфиг записался, но вопрос в том что ОНУ будет дропать все что ей будет приходит от ОЛТ т.к. не ее влан. ЛЛид ее а влан не ее. А вообще надо больше тестов проделать.

И вообще тема очень паливная, вдруг абоны до нее доберутся.

попробовал

замену влан можна сделать на ону и оно работает - это нехорошо....

пароль ставить на ону бесполезно так как ресетнут... или есть вариант поставить с ОЛТ пароль ?

адрес на другой менять тоже бесполезно, потому что если его знаешь то все равно можна зайти на ону, а узнать его в принципе не проблема

 

попробовал с ОЛТ поставить адрес 0,0,0,0 на ону - ну и понятно тогда уже зайти не получилось

 

а вообще реально тема палевная

Насчет ресет согласен, но тут така мысль: можно сделать бекап и настроить ресет на бекап. И вы не верно меня поняли насчет IP если установить через ctc то все с лан порта ОНУ к ней нет возможности подключится, это справедливо только для 1501C1/C2, в остальных не уверен. И вообще мы сейчас рассматриваем это как атаку на сеть что наказуемо законодательно. Так что такие вещи можно присеч. Edited by McLlaren
Link to post
Share on other sites

Мне кажется, проблема выдуманная.

Даже если у вас один абонент из сотни такое сделает - учтите этот один процент в расчетах стоимости и забейте болт.

 

Если сильно хочется, то делаем так:

1) Тушим на ONU IP интерфейс, чтобы абонент не смог вмешаться в конфигурацию.

2) Делаем аутентификацию OLT->ONU (поищите, у BDCOM-а есть) на случай, если абонент обнулит ONU-шку и настроит вручную.

Таким образом работать смогут только автоматически настроенные ONU.

Link to post
Share on other sites

Мне кажется, проблема выдуманная.

Даже если у вас один абонент из сотни такое сделает - учтите этот один процент в расчетах стоимости и забейте болт.

что значит выдуманная ? если она существует ? забить ? ммм.... понимаете в чем речь если не присечь то очень быстро этим будет пользоваться не один... А тут еще вопрос денег абонента и его данных может возникнуть ... и тогда к вам как к провайдеру могут возникнуть вполне правильные вопросы... ;)

 

Если сильно хочется, то делаем так:

1) Тушим на ONU IP интерфейс, чтобы абонент не смог вмешаться в конфигурацию.

2) Делаем аутентификацию OLT->ONU (поищите, у BDCOM-а есть) на случай, если абонент обнулит ONU-шку и настроит вручную.

Таким образом работать смогут только автоматически настроенные ONU.

можна все сделать проще, все зависит от конкретных настроек которые нужны провайдеру ... мне например IP на ону нах@р не нужны соответственно я сделаю так что ону не будет доступна ниоткуда ... кому нужны - надо будет придумать что-то другое Edited by Lynx100
Link to post
Share on other sites

Проблема с фаером на устройстве? почему нельзя зафильтровать управление и оставить только для определенных адресов.

вы с поном от БДКОМ дело имели ? если нет - рассказывать долго.... Edited by Lynx100
Link to post
Share on other sites

куча всего написано) 

если абон даже и поменял Велан на соседский, и не ребутает онушку

вопрос в другом если у вас дхцп82 вы че не увидите что другой мак ПК клиента

2. вариант если абон такой хитрожопый. то через 3 месяца демонтаж кабеля ( в договоре должны были указать)

хотя у себя настроил что если абон 1 месяц долг идет смена велана на ону

Link to post
Share on other sites

 

 

в консолі олта чисто, він бідолаха навіть не здогадується...

ОЛТу фиолетово эти изменения !

Еще раз, повторяю, покажи vlan на ону из консоли ОЛТа, покажи маки на ону, в каком они влане, ОЛТ выдал ону настройки которые в конфиге, попробуй из "левого" влана хотя бы шлюз пропинговать !? ОЛТ на эту ону будет передавать/принимать только трафик из своего для ону конфига, на ону руками можеш настраивать как тебе угодно, ОЛТ ложил большой и толстый болт на конфигурацию самой онушки, ОЛТ будет передавать/принимать данные согласно своего конфига для этой онушки !!!

 

ну с влан понятно что ОЛТ будет отправлят пакеты согласно своего конфига

а вот рейт лимит реально где делается на ОЛТ или ОНУ ?

 

Все данные передаются согласно конфига ОЛТа, и никак иначе, для начала смоделируйте на стенде, проверьте будут в реальности применены изменения, доступные для просмотра данные с самой ону не совпадают с реальностью, и исчезают после ребута ону, развели тут балабольство. 

 

хотя у себя настроил что если абон 1 месяц долг идет смена велана на ону

В твоем случае совершенно другая песня. Edited by sanyadnepr
Link to post
Share on other sites

Тему я створив не для того шоб тут доводити комусь шо таке можна робити, а вияснити чи з цим хтось бореться засобами олта. Бачу поки не знайшлось борців, мабуть треба буде тунель робити, типу пппое або шось таке...

дякую за увагу.

 

Яка адекватна людина буде з цим боротися. Ви краще задайте собі запитання. А скільки є людей які спроможні таке зробити і які будуть таке робити. Один на 300 на 500? ТО в чому проблема. Подзвоните до такої людини і надаєте тумаків і питання закрите. Ми в себе раніше робили привязку по маку. Якщо в людини мак не збігається, то нету в неї немає. А зараз зняли. Щоб ловити на живця таких хитрих. І так можуть налаштування тільки сусідські поставити в межах влана. У нас влан на дім або майданчик. І така людини враз вичисляєтсья. Дзвонить абонент зі скаргою на поганий звязок або його відсутність. Пускаєте пінг по АРП і бац а два маки пінгуються під однією айпішкою. Якщо в людини той самий компютер, то зразу стає ясно хто айпішку вручну вписав сусіда свого. А якщо інший, то тут теж 2 хвилини роботи. І все. Таке було декілька разів за декілька років відколи привязку забрали.

Пінгуйте людину яка скаржиться і дивіться, який мак висить додатковий. І все.

 

Ну а якщо людина влан поміняє, то ви ж будете бачити що за онушка в тому влані. Хоча може змінити мак якщо там є така можливість. Тоді методом виключення вирішується. Дивитеся в якого абонента мак невідомий.

Edited by Nightly Wanderer
Link to post
Share on other sites

2 sanyadnepr
Смоделировано еще несколько дней назад
Работает

понятно что после перегрузки ону надо опять ручками заходить и менять себе вланы или что там тебя интересует ... но это я думаю не проблема если оставлять доступ

Edited by Lynx100
Link to post
Share on other sites

2) Делаем аутентификацию OLT->ONU (поищите, у BDCOM-а есть) на случай, если абонент обнулит ONU-шку и настроит вручную.

Таким образом работать смогут только автоматически настроенные ONU.

а можна детальніше про аутентифікацію?

Link to post
Share on other sites

 

2) Делаем аутентификацию OLT->ONU (поищите, у BDCOM-а есть) на случай, если абонент обнулит ONU-шку и настроит вручную.

Таким образом работать смогут только автоматически настроенные ONU.

а можна детальніше про аутентифікацію?

 

Я думаю имеется введу loid аутентификация. Перед установкой на ОНУ устанавливается пароль который отправляется на ОЛТ и говорит ему что ОНУ "своя". После ресета пароль станет дефолтовым и ОНУ не пройдет аутентификацию. Вот так. Кстати да, хороший вариант защиты, не только от переконфигурирования ОНУ.

Link to post
Share on other sites

 

 

2) Делаем аутентификацию OLT->ONU (поищите, у BDCOM-а есть) на случай, если абонент обнулит ONU-шку и настроит вручную.

Таким образом работать смогут только автоматически настроенные ONU.

а можна детальніше про аутентифікацію?

 

Я думаю имеется введу loid аутентификация. Перед установкой на ОНУ устанавливается пароль который отправляется на ОЛТ и говорит ему что ОНУ "своя". После ресета пароль станет дефолтовым и ОНУ не пройдет аутентификацию. Вот так. Кстати да, хороший вариант защиты, не только от переконфигурирования ОНУ.

 

Виглядає ніби те шо треба, є навіть на олті якісь команди для конфігурації loid, але в документації БДКОМА ні слова про це нема. Хтось користується loid?

Link to post
Share on other sites

Проблема вирішилась з допомогою loid аутентифікації, всім дякую за участь в обговоренні.

 

п.с. майже вирішилась..)

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...