Захист від втручання абонента

[Lynx100 90]

 

дефолтна

 

 

какой там ip дефолтный ?

[domdom 0]

 

 

дефолтна

 

 

какой там ip дефолтный ?

 

BDCOM P1501

10.0.0.10

[McLlaren 3]

Первое что пришло в голову, если ставите IP на ОНУ 1501С1 через ctc то с лан порта ОНУ становится не доступной. Второе если хочется секюрности меняйте юзера на ОНУ, меняйте дефолтовые настройки.

Это на вскидку, у себя попробовал мак от ОНУ в установленном мной влане пришел, т.е. в флеш ОНУ конфиг записался, но вопрос в том что ОНУ будет дропать все что ей будет приходит от ОЛТ т.к. не ее влан. ЛЛид ее а влан не ее. А вообще надо больше тестов проделать.

И вообще тема очень паливная, вдруг абоны до нее доберутся.

Відредаговано 2014-09-26 14:32:50 McLlaren

[Lynx100 90]

Первое что пришло в голову, если ставите IP на ОНУ 1501С1 через ctc то с лан порта ОНУ становится не доступной. Второе если хочется секюрности меняйте юзера на ОНУ, меняйте дефолтовые настройки.

Это на вскидку, у себя попробовал мак от ОНУ в установленном мной влане пришел, т.е. в флеш ОНУ конфиг записался, но вопрос в том что ОНУ будет дропать все что ей будет приходит от ОЛТ т.к. не ее влан. ЛЛид ее а влан не ее. А вообще надо больше тестов проделать.

И вообще тема очень паливная, вдруг абоны до нее доберутся.

попробовал

замену влан можна сделать на ону и оно работает - это нехорошо....

пароль ставить на ону бесполезно так как ресетнут... или есть вариант поставить с ОЛТ пароль ?

адрес на другой менять тоже бесполезно, потому что если его знаешь то все равно можна зайти на ону, а узнать его в принципе не проблема

 

попробовал с ОЛТ поставить адрес 0,0,0,0 на ону - ну и понятно тогда уже зайти не получилось

 

а вообще реально тема палевная

Відредаговано 2014-09-26 15:02:15 Lynx100

[logic 512]

абон откуда знает влан соседа?

[Lynx100 90]

абон откуда знает влан соседа?

сложно перебрать ? много комбинаций ?

не думаю если занятся целью

[logic 512]

а вы на какой ону меняли влан, может проблемма  только на  бдкоме?

[Lynx100 90]

а вы на какой ону меняли влан, может проблемма  только на  бдкоме?

1501

не думаю

Відредаговано 2014-09-26 16:01:21 Lynx100

[logic 512]

а может

[McLlaren 3]

 

 

Первое что пришло в голову, если ставите IP на ОНУ 1501С1 через ctc то с лан порта ОНУ становится не доступной. Второе если хочется секюрности меняйте юзера на ОНУ, меняйте дефолтовые настройки.

Это на вскидку, у себя попробовал мак от ОНУ в установленном мной влане пришел, т.е. в флеш ОНУ конфиг записался, но вопрос в том что ОНУ будет дропать все что ей будет приходит от ОЛТ т.к. не ее влан. ЛЛид ее а влан не ее. А вообще надо больше тестов проделать.

И вообще тема очень паливная, вдруг абоны до нее доберутся.

попробовал

замену влан можна сделать на ону и оно работает - это нехорошо....

пароль ставить на ону бесполезно так как ресетнут... или есть вариант поставить с ОЛТ пароль ?

адрес на другой менять тоже бесполезно, потому что если его знаешь то все равно можна зайти на ону, а узнать его в принципе не проблема

 

попробовал с ОЛТ поставить адрес 0,0,0,0 на ону - ну и понятно тогда уже зайти не получилось

 

а вообще реально тема палевная

Насчет ресет согласен, но тут така мысль: можно сделать бекап и настроить ресет на бекап. И вы не верно меня поняли насчет IP если установить через ctc то все с лан порта ОНУ к ней нет возможности подключится, это справедливо только для 1501C1/C2, в остальных не уверен. И вообще мы сейчас рассматриваем это как атаку на сеть что наказуемо законодательно. Так что такие вещи можно присеч. Відредаговано 2014-09-28 09:12:43 McLlaren

[Lynx100 90]

Так что такие вещи можно присеч.

надо не присекать а недопускать.

я уже не говорю о имидже

[Melanxolik 63]

Проблема с фаером на устройстве? почему нельзя зафильтровать управление и оставить только для определенных адресов.

[Abram 98]

Мне кажется, проблема выдуманная.

Даже если у вас один абонент из сотни такое сделает - учтите этот один процент в расчетах стоимости и забейте болт.

 

Если сильно хочется, то делаем так:

1) Тушим на ONU IP интерфейс, чтобы абонент не смог вмешаться в конфигурацию.

2) Делаем аутентификацию OLT->ONU (поищите, у BDCOM-а есть) на случай, если абонент обнулит ONU-шку и настроит вручную.

Таким образом работать смогут только автоматически настроенные ONU.

[Lynx100 90]

Мне кажется, проблема выдуманная.

Даже если у вас один абонент из сотни такое сделает - учтите этот один процент в расчетах стоимости и забейте болт.

что значит выдуманная ? если она существует ? забить ? ммм.... понимаете в чем речь если не присечь то очень быстро этим будет пользоваться не один... А тут еще вопрос денег абонента и его данных может возникнуть ... и тогда к вам как к провайдеру могут возникнуть вполне правильные вопросы...

 

Если сильно хочется, то делаем так:

1) Тушим на ONU IP интерфейс, чтобы абонент не смог вмешаться в конфигурацию.

2) Делаем аутентификацию OLT->ONU (поищите, у BDCOM-а есть) на случай, если абонент обнулит ONU-шку и настроит вручную.

Таким образом работать смогут только автоматически настроенные ONU.

можна все сделать проще, все зависит от конкретных настроек которые нужны провайдеру ... мне например IP на ону нах@р не нужны соответственно я сделаю так что ону не будет доступна ниоткуда ... кому нужны - надо будет придумать что-то другое Відредаговано 2014-09-28 10:04:35 Lynx100

[Lynx100 90]

Проблема с фаером на устройстве? почему нельзя зафильтровать управление и оставить только для определенных адресов.

вы с поном от БДКОМ дело имели ? если нет - рассказывать долго.... Відредаговано 2014-09-28 10:03:54 Lynx100

[Земеля 711]

куча всего написано) 

если абон даже и поменял Велан на соседский, и не ребутает онушку

вопрос в другом если у вас дхцп82 вы че не увидите что другой мак ПК клиента

2. вариант если абон такой хитрожопый. то через 3 месяца демонтаж кабеля ( в договоре должны были указать)

хотя у себя настроил что если абон 1 месяц долг идет смена велана на ону

[sanyadnepr 305]

 

 

в консолі олта чисто, він бідолаха навіть не здогадується...

ОЛТу фиолетово эти изменения !

Еще раз, повторяю, покажи vlan на ону из консоли ОЛТа, покажи маки на ону, в каком они влане, ОЛТ выдал ону настройки которые в конфиге, попробуй из "левого" влана хотя бы шлюз пропинговать !? ОЛТ на эту ону будет передавать/принимать только трафик из своего для ону конфига, на ону руками можеш настраивать как тебе угодно, ОЛТ ложил большой и толстый болт на конфигурацию самой онушки, ОЛТ будет передавать/принимать данные согласно своего конфига для этой онушки !!!

 

ну с влан понятно что ОЛТ будет отправлят пакеты согласно своего конфига

а вот рейт лимит реально где делается на ОЛТ или ОНУ ?

 

Все данные передаются согласно конфига ОЛТа, и никак иначе, для начала смоделируйте на стенде, проверьте будут в реальности применены изменения, доступные для просмотра данные с самой ону не совпадают с реальностью, и исчезают после ребута ону, развели тут балабольство. 

 

хотя у себя настроил что если абон 1 месяц долг идет смена велана на ону

В твоем случае совершенно другая песня. Відредаговано 2014-09-28 10:54:49 sanyadnepr

[Nightly Wanderer 588]

Тему я створив не для того шоб тут доводити комусь шо таке можна робити, а вияснити чи з цим хтось бореться засобами олта. Бачу поки не знайшлось борців, мабуть треба буде тунель робити, типу пппое або шось таке...

дякую за увагу.

 

Яка адекватна людина буде з цим боротися. Ви краще задайте собі запитання. А скільки є людей які спроможні таке зробити і які будуть таке робити. Один на 300 на 500? ТО в чому проблема. Подзвоните до такої людини і надаєте тумаків і питання закрите. Ми в себе раніше робили привязку по маку. Якщо в людини мак не збігається, то нету в неї немає. А зараз зняли. Щоб ловити на живця таких хитрих. І так можуть налаштування тільки сусідські поставити в межах влана. У нас влан на дім або майданчик. І така людини враз вичисляєтсья. Дзвонить абонент зі скаргою на поганий звязок або його відсутність. Пускаєте пінг по АРП і бац а два маки пінгуються під однією айпішкою. Якщо в людини той самий компютер, то зразу стає ясно хто айпішку вручну вписав сусіда свого. А якщо інший, то тут теж 2 хвилини роботи. І все. Таке було декілька разів за декілька років відколи привязку забрали.

Пінгуйте людину яка скаржиться і дивіться, який мак висить додатковий. І все.

 

Ну а якщо людина влан поміняє, то ви ж будете бачити що за онушка в тому влані. Хоча може змінити мак якщо там є така можливість. Тоді методом виключення вирішується. Дивитеся в якого абонента мак невідомий.

Відредаговано 2014-09-28 11:03:54 Nightly Wanderer

[Lynx100 90]

2 sanyadnepr
Смоделировано еще несколько дней назад
Работает

понятно что после перегрузки ону надо опять ручками заходить и менять себе вланы или что там тебя интересует ... но это я думаю не проблема если оставлять доступ

Відредаговано 2014-09-28 13:45:06 Lynx100

[domdom 0]

2) Делаем аутентификацию OLT->ONU (поищите, у BDCOM-а есть) на случай, если абонент обнулит ONU-шку и настроит вручную.

Таким образом работать смогут только автоматически настроенные ONU.

а можна детальніше про аутентифікацію?

[KaYot 3 606]

Используем ону как тупой медик, с pppoe поверху. Что там может делать абонент мне не интересно.

[McLlaren 3]

 

2) Делаем аутентификацию OLT->ONU (поищите, у BDCOM-а есть) на случай, если абонент обнулит ONU-шку и настроит вручную.

Таким образом работать смогут только автоматически настроенные ONU.

а можна детальніше про аутентифікацію?

 

Я думаю имеется введу loid аутентификация. Перед установкой на ОНУ устанавливается пароль который отправляется на ОЛТ и говорит ему что ОНУ "своя". После ресета пароль станет дефолтовым и ОНУ не пройдет аутентификацию. Вот так. Кстати да, хороший вариант защиты, не только от переконфигурирования ОНУ.

[ttttt 195]

McLlaren, сори, не в ту тему минус нажал

[domdom 0]

 

 

2) Делаем аутентификацию OLT->ONU (поищите, у BDCOM-а есть) на случай, если абонент обнулит ONU-шку и настроит вручную.

Таким образом работать смогут только автоматически настроенные ONU.

а можна детальніше про аутентифікацію?

 

Я думаю имеется введу loid аутентификация. Перед установкой на ОНУ устанавливается пароль который отправляется на ОЛТ и говорит ему что ОНУ "своя". После ресета пароль станет дефолтовым и ОНУ не пройдет аутентификацию. Вот так. Кстати да, хороший вариант защиты, не только от переконфигурирования ОНУ.

 

Виглядає ніби те шо треба, є навіть на олті якісь команди для конфігурації loid, але в документації БДКОМА ні слова про це нема. Хтось користується loid?

[domdom 0]

Проблема вирішилась з допомогою loid аутентифікації, всім дякую за участь в обговоренні.

 

п.с. майже вирішилась..)