Перейти до

Захист від втручання абонента


domdom

Рекомендованные сообщения

  • Відповіді 51
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Я думаю имеется введу loid аутентификация. Перед установкой на ОНУ устанавливается пароль который отправляется на ОЛТ и говорит ему что ОНУ "своя". После ресета пароль станет дефолтовым и ОНУ не пройд

Первое что пришло в голову, если ставите IP на ОНУ 1501С1 через ctc то с лан порта ОНУ становится не доступной. Второе если хочется секюрности меняйте юзера на ОНУ, меняйте дефолтовые настройки.

Это на вскидку, у себя попробовал мак от ОНУ в установленном мной влане пришел, т.е. в флеш ОНУ конфиг записался, но вопрос в том что ОНУ будет дропать все что ей будет приходит от ОЛТ т.к. не ее влан. ЛЛид ее а влан не ее. А вообще надо больше тестов проделать.

И вообще тема очень паливная, вдруг абоны до нее доберутся.

Відредаговано McLlaren
Ссылка на сообщение
Поделиться на других сайтах

Первое что пришло в голову, если ставите IP на ОНУ 1501С1 через ctc то с лан порта ОНУ становится не доступной. Второе если хочется секюрности меняйте юзера на ОНУ, меняйте дефолтовые настройки.

Это на вскидку, у себя попробовал мак от ОНУ в установленном мной влане пришел, т.е. в флеш ОНУ конфиг записался, но вопрос в том что ОНУ будет дропать все что ей будет приходит от ОЛТ т.к. не ее влан. ЛЛид ее а влан не ее. А вообще надо больше тестов проделать.

И вообще тема очень паливная, вдруг абоны до нее доберутся.

попробовал

замену влан можна сделать на ону и оно работает - это нехорошо....

пароль ставить на ону бесполезно так как ресетнут... или есть вариант поставить с ОЛТ пароль ?

адрес на другой менять тоже бесполезно, потому что если его знаешь то все равно можна зайти на ону, а узнать его в принципе не проблема

 

попробовал с ОЛТ поставить адрес 0,0,0,0 на ону - ну и понятно тогда уже зайти не получилось

 

а вообще реально тема палевная

Відредаговано Lynx100
Ссылка на сообщение
Поделиться на других сайтах

 

 

Первое что пришло в голову, если ставите IP на ОНУ 1501С1 через ctc то с лан порта ОНУ становится не доступной. Второе если хочется секюрности меняйте юзера на ОНУ, меняйте дефолтовые настройки.

Это на вскидку, у себя попробовал мак от ОНУ в установленном мной влане пришел, т.е. в флеш ОНУ конфиг записался, но вопрос в том что ОНУ будет дропать все что ей будет приходит от ОЛТ т.к. не ее влан. ЛЛид ее а влан не ее. А вообще надо больше тестов проделать.

И вообще тема очень паливная, вдруг абоны до нее доберутся.

попробовал

замену влан можна сделать на ону и оно работает - это нехорошо....

пароль ставить на ону бесполезно так как ресетнут... или есть вариант поставить с ОЛТ пароль ?

адрес на другой менять тоже бесполезно, потому что если его знаешь то все равно можна зайти на ону, а узнать его в принципе не проблема

 

попробовал с ОЛТ поставить адрес 0,0,0,0 на ону - ну и понятно тогда уже зайти не получилось

 

а вообще реально тема палевная

Насчет ресет согласен, но тут така мысль: можно сделать бекап и настроить ресет на бекап. И вы не верно меня поняли насчет IP если установить через ctc то все с лан порта ОНУ к ней нет возможности подключится, это справедливо только для 1501C1/C2, в остальных не уверен. И вообще мы сейчас рассматриваем это как атаку на сеть что наказуемо законодательно. Так что такие вещи можно присеч. Відредаговано McLlaren
Ссылка на сообщение
Поделиться на других сайтах

Мне кажется, проблема выдуманная.

Даже если у вас один абонент из сотни такое сделает - учтите этот один процент в расчетах стоимости и забейте болт.

 

Если сильно хочется, то делаем так:

1) Тушим на ONU IP интерфейс, чтобы абонент не смог вмешаться в конфигурацию.

2) Делаем аутентификацию OLT->ONU (поищите, у BDCOM-а есть) на случай, если абонент обнулит ONU-шку и настроит вручную.

Таким образом работать смогут только автоматически настроенные ONU.

Ссылка на сообщение
Поделиться на других сайтах

Мне кажется, проблема выдуманная.

Даже если у вас один абонент из сотни такое сделает - учтите этот один процент в расчетах стоимости и забейте болт.

что значит выдуманная ? если она существует ? забить ? ммм.... понимаете в чем речь если не присечь то очень быстро этим будет пользоваться не один... А тут еще вопрос денег абонента и его данных может возникнуть ... и тогда к вам как к провайдеру могут возникнуть вполне правильные вопросы... ;)

 

Если сильно хочется, то делаем так:

1) Тушим на ONU IP интерфейс, чтобы абонент не смог вмешаться в конфигурацию.

2) Делаем аутентификацию OLT->ONU (поищите, у BDCOM-а есть) на случай, если абонент обнулит ONU-шку и настроит вручную.

Таким образом работать смогут только автоматически настроенные ONU.

можна все сделать проще, все зависит от конкретных настроек которые нужны провайдеру ... мне например IP на ону нах@р не нужны соответственно я сделаю так что ону не будет доступна ниоткуда ... кому нужны - надо будет придумать что-то другое Відредаговано Lynx100
Ссылка на сообщение
Поделиться на других сайтах

Проблема с фаером на устройстве? почему нельзя зафильтровать управление и оставить только для определенных адресов.

вы с поном от БДКОМ дело имели ? если нет - рассказывать долго.... Відредаговано Lynx100
Ссылка на сообщение
Поделиться на других сайтах

куча всего написано) 

если абон даже и поменял Велан на соседский, и не ребутает онушку

вопрос в другом если у вас дхцп82 вы че не увидите что другой мак ПК клиента

2. вариант если абон такой хитрожопый. то через 3 месяца демонтаж кабеля ( в договоре должны были указать)

хотя у себя настроил что если абон 1 месяц долг идет смена велана на ону

Ссылка на сообщение
Поделиться на других сайтах

 

 

в консолі олта чисто, він бідолаха навіть не здогадується...

ОЛТу фиолетово эти изменения !

Еще раз, повторяю, покажи vlan на ону из консоли ОЛТа, покажи маки на ону, в каком они влане, ОЛТ выдал ону настройки которые в конфиге, попробуй из "левого" влана хотя бы шлюз пропинговать !? ОЛТ на эту ону будет передавать/принимать только трафик из своего для ону конфига, на ону руками можеш настраивать как тебе угодно, ОЛТ ложил большой и толстый болт на конфигурацию самой онушки, ОЛТ будет передавать/принимать данные согласно своего конфига для этой онушки !!!

 

ну с влан понятно что ОЛТ будет отправлят пакеты согласно своего конфига

а вот рейт лимит реально где делается на ОЛТ или ОНУ ?

 

Все данные передаются согласно конфига ОЛТа, и никак иначе, для начала смоделируйте на стенде, проверьте будут в реальности применены изменения, доступные для просмотра данные с самой ону не совпадают с реальностью, и исчезают после ребута ону, развели тут балабольство. 

 

хотя у себя настроил что если абон 1 месяц долг идет смена велана на ону

В твоем случае совершенно другая песня. Відредаговано sanyadnepr
Ссылка на сообщение
Поделиться на других сайтах

Тему я створив не для того шоб тут доводити комусь шо таке можна робити, а вияснити чи з цим хтось бореться засобами олта. Бачу поки не знайшлось борців, мабуть треба буде тунель робити, типу пппое або шось таке...

дякую за увагу.

 

Яка адекватна людина буде з цим боротися. Ви краще задайте собі запитання. А скільки є людей які спроможні таке зробити і які будуть таке робити. Один на 300 на 500? ТО в чому проблема. Подзвоните до такої людини і надаєте тумаків і питання закрите. Ми в себе раніше робили привязку по маку. Якщо в людини мак не збігається, то нету в неї немає. А зараз зняли. Щоб ловити на живця таких хитрих. І так можуть налаштування тільки сусідські поставити в межах влана. У нас влан на дім або майданчик. І така людини враз вичисляєтсья. Дзвонить абонент зі скаргою на поганий звязок або його відсутність. Пускаєте пінг по АРП і бац а два маки пінгуються під однією айпішкою. Якщо в людини той самий компютер, то зразу стає ясно хто айпішку вручну вписав сусіда свого. А якщо інший, то тут теж 2 хвилини роботи. І все. Таке було декілька разів за декілька років відколи привязку забрали.

Пінгуйте людину яка скаржиться і дивіться, який мак висить додатковий. І все.

 

Ну а якщо людина влан поміняє, то ви ж будете бачити що за онушка в тому влані. Хоча може змінити мак якщо там є така можливість. Тоді методом виключення вирішується. Дивитеся в якого абонента мак невідомий.

Відредаговано Nightly Wanderer
Ссылка на сообщение
Поделиться на других сайтах

2 sanyadnepr
Смоделировано еще несколько дней назад
Работает

понятно что после перегрузки ону надо опять ручками заходить и менять себе вланы или что там тебя интересует ... но это я думаю не проблема если оставлять доступ

Відредаговано Lynx100
Ссылка на сообщение
Поделиться на других сайтах

2) Делаем аутентификацию OLT->ONU (поищите, у BDCOM-а есть) на случай, если абонент обнулит ONU-шку и настроит вручную.

Таким образом работать смогут только автоматически настроенные ONU.

а можна детальніше про аутентифікацію?

Ссылка на сообщение
Поделиться на других сайтах

 

2) Делаем аутентификацию OLT->ONU (поищите, у BDCOM-а есть) на случай, если абонент обнулит ONU-шку и настроит вручную.

Таким образом работать смогут только автоматически настроенные ONU.

а можна детальніше про аутентифікацію?

 

Я думаю имеется введу loid аутентификация. Перед установкой на ОНУ устанавливается пароль который отправляется на ОЛТ и говорит ему что ОНУ "своя". После ресета пароль станет дефолтовым и ОНУ не пройдет аутентификацию. Вот так. Кстати да, хороший вариант защиты, не только от переконфигурирования ОНУ.

Ссылка на сообщение
Поделиться на других сайтах

 

 

2) Делаем аутентификацию OLT->ONU (поищите, у BDCOM-а есть) на случай, если абонент обнулит ONU-шку и настроит вручную.

Таким образом работать смогут только автоматически настроенные ONU.

а можна детальніше про аутентифікацію?

 

Я думаю имеется введу loid аутентификация. Перед установкой на ОНУ устанавливается пароль который отправляется на ОЛТ и говорит ему что ОНУ "своя". После ресета пароль станет дефолтовым и ОНУ не пройдет аутентификацию. Вот так. Кстати да, хороший вариант защиты, не только от переконфигурирования ОНУ.

 

Виглядає ніби те шо треба, є навіть на олті якісь команди для конфігурації loid, але в документації БДКОМА ні слова про це нема. Хтось користується loid?

Ссылка на сообщение
Поделиться на других сайтах

Проблема вирішилась з допомогою loid аутентифікації, всім дякую за участь в обговоренні.

 

п.с. майже вирішилась..)

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент


×
×
  • Створити нове...