Рекомендованные сообщения

нет. просто доступ конкурентный. одна поднялась-вторая упала.

я наверно не совсем правильно выразил мысль, конретизирую

допустим злоумышленник врезался в мой кабель (выше этажом), подрубил роутер, остальные 2 пары отдал обратно, запустил снифер, узнал связку логин/пароль + мак, порт и т.п... клонировал всё это в настройки роутера и поехал

вопрос - может ли сервер Би принять злоумышленника как за абонента или нет? (я имел это как раз за параллельную сессию)

 

а кто сказал что vpn куда то "пропадет"?

если останется всё как было, без дальнейших упрощений, оскуднений vpn'a, тогда нет вопросов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я наверно не совсем правильно выразил мысль, конретизирую

допустим злоумышленник врезался в мой кабель (выше этажом), подрубил роутер, остальные 2 пары отдал обратно, запустил снифер, узнал связку логин/пароль + мак, порт и т.п... клонировал всё это в настройки роутера и поехал

вопрос - может ли сервер Би принять злоумышленника как за абонента или нет? (я имел это как раз за параллельную

 

Я правда не понял зачем какая то сложная схема (тем более с попыткой заснифить https трафик) если проще просто поставить роутер или "одолжить" чужой wifi.

если останется всё как было, без дальнейших упрощений, оскуднений vpn'a, тогда нет вопросов

Ну как когда то pptp, vpn тоже "уйдет". Но не сразу. А как уж будут "мотивировать" переходить вопрос открытый, посмотрим. Держать кучу разного оборудования и кучу систем авторизации банально невыгодно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

нет. просто доступ конкурентный. одна поднялась-вторая упала.

я наверно не совсем правильно выразил мысль, конретизирую

допустим злоумышленник врезался в мой кабель (выше этажом), подрубил роутер, остальные 2 пары отдал обратно, запустил снифер, узнал связку логин/пароль + мак, порт и т.п... клонировал всё это в настройки роутера и поехал

вопрос - может ли сервер Би принять злоумышленника как за абонента или нет? (я имел это как раз за параллельную сессию)

Зачем что-то снифать и узнавать какие-то логины/пароли/маки?

Ничего никуда клонировать не нужно, в роутере эта информация не присутствует.

Достаточно просто разделать кабель, а в разрыв вставить заранее настроенный роутер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Зачем ждать, если можно просто указать на WAN интерфейсе роутера MAC-адрес соседа.

Дык это его нужно знать.

А зачем? - Пользователь сам авторизуется, ничего знать не нужно.

Временно обжимаем конец кабеля, идущий к абоненту, и смотрим, с какого MACа идут запросы. Это для тех мошенников, который максимально отводят подозрения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Зачем ждать, если можно просто указать на WAN интерфейсе роутера MAC-адрес соседа.

Дык это его нужно знать.

А зачем? - Пользователь сам авторизуется, ничего знать не нужно.

Временно обжимаем конец кабеля, идущий к абоненту, и смотрим, с какого MACа идут запросы.

Зачем нужно знать этот MAC?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как я уже говорил, атака "человек посередине" возможна и при использовании vpn-соединения, если не используется взаимная аутентификация.

к счастью такая возможность исключена - у кого-то из двух будет всплывать впн-ошибка 691 (это при прямом подключении абонента к линии)

при работающем круглые сутки роутере абонента, 365 дней в году, такая возможность напрчь отсутствует, если к примеру злоумышленнику даже удалось где-то выкрасть логин/пароль абонента (у него будет постоянно висеть впн-ошибка 691)

*это уже пробовал один мой знакомый (любитель поэкспериментировать что-либо в чужих сетях:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как я уже говорил, атака "человек посередине" возможна и при использовании vpn-соединения, если не используется взаимная аутентификация.

к счастью такая возможность исключена - у кого-то из двух будет всплывать впн-ошибка 691 (это при прямом подключении абонента к линии)

при работающем круглые сутки роутере абонента, 365 дней в году, такая возможность напрчь отсутствует, если к примеру злоумышленнику даже удалось где-то выкрасть логин/пароль абонента (у него будет постоянно висеть впн-ошибка 691)

*это уже пробовал один мой знакомый (любитель поэкспериментировать что-либо в чужих сетях:)

Не исключена, это вполне осуществимо. Ошибок не будет никаких. Для роутера абонента это будет выглядеть как кратковременное пропадание связи с коммутатором.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Dima G., почему на l2tp любые попытки врезаться заканчиваются впн-ошибкой 691 и почему такую же практику нельзя применить на ipoe?

Потому что так устроен L2TP, в котором он выступает "оберткой" над всем Инет-трафиком. И чтобы врезаться, придется полностью притвориться устройством авторизованного клиента, используя те же идентификаторы туннеля, адресацию и т.д. Это очень сложно. Другой вариант - поднять собственный VPN сервер и притвориться для соседа БиЛайном, чтобы он типа поднимал сессию и попадал в Инет, который к тому моменту уже должен быть на устройстве мошенника. Следовательно, данный тип врезки требует знаний логина/пароля соседа, для первичного поднятия сессии.

В случае IPoE ничего вышеописанного не требуется. Да, снижение защиты, точнее почти ее полное отсутствие. Но в наши дни стоимость Инета и его доступность такова, что смысла во всех телодвижениях по крайней мере в Москве абсолютно никаких. Рублей 150-200 в месяц найдет любой нищий, вместо вех морочек и риска.

 

Временно обжимаем конец кабеля, идущий к абоненту, и смотрим, с какого MACа идут запросы.

Зачем нужно знать этот MAC?

Для исключения подозрений в виде неожиданно потребовавшейся авторизации. У меня бы это вызвало подозрение, т.к. знаю, что роутер и его МАС не менял.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Временно обжимаем конец кабеля, идущий к абоненту, и смотрим, с какого MACа идут запросы.

Зачем нужно знать этот MAC?

Для исключения подозрений в виде неожиданно потребовавшейся авторизации. У меня бы это вызвало подозрение, т.к. знаю, что роутер и его МАС не менял.

Во первых - это у Вас вызвало бы подозрения, а большинство пользователей - не Вы.:D

А во вторых - был бы кратковременный сбой подключения (время на обжим 2-х коннекторов), а потом потребовалась бы авторизация - абсолютное большинство пользователей решили бы, что это какой-то сбой у провайдера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Потому что так устроен L2TP, в котором он выступает "оберткой" над всем Инет-трафиком. И чтобы врезаться, придется полностью притвориться устройством авторизованного клиента, используя те же идентификаторы туннеля, адресацию и т.д. Это очень сложно. Другой вариант - поднять собственный VPN сервер и притвориться для соседа БиЛайном, чтобы он типа поднимал сессию и попадал в Инет, который к тому моменту уже должен быть на устройстве мошенника. Следовательно, данный тип врезки требует знаний логина/пароля соседа, для первичного поднятия сессии.

Если при авторизации с VPN-сервером провайдера использовать без изменения пакеты, посылаемые абонентом, то логин/пароль не нужен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@nlpet, то есть из всего вышеописанного и подробно от @Dima G., мне стало понятно, что Билайн жертвует безопасностью отдельно взятого абонента ради того 1-го % абонентов, которым l2tp доставляет некие трудности при подключении с впн'а Би на впн другого провайдера?

По опубликованным данным, на конец 2013 года, абонентов ШПД у Билайна более 2-х миллионов. Из них 99% по барабану на каком протоколе работает их провайдер, лишь бы инет был стабильным. Про издержки по безопасности при переходе на ipoe они тоже не в курсе.

Ну что же, вполне логично. Только Билайн при этом почему-то не хочет учитывать интересы тех, кто догадывается или уже знает о последствиях смены протокола в части обкатанной (уже лет 15) в сетях Корбины безопасности авторизации абонента при впн.

 

*- Корбину, как впрочем и Голден Телеком, строил Совинтел (советско-американское СП) и безопасность тоже по принципу американской.

Билайн же не обслуживает МО РФ и никакие другие правительственные структуры. Зачем же убивать эту систему безопасности для физических лиц?

Ведь для юридических наверняка оставите функционировать в полной мере. Неужели дороже тот самый 1% недовольных собственным невежеством?

Понятно, что впн несет в себе кое какие издержки абоненту, в части роутеров или потерь трафика при прямом доступе. Но по мне лучше пусть будет так, чем вышеописанное. И я например не вижу разницы в типах доступа. Равнозначно могу подключиться к впн-серверу как с Би(л2тп), так и с МТС (джипон) или с Мегафон (пппое). Никаких загвоздок!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я, например, до сих пор не перешел на тариф выше сотки, потому что не хочу дома иметь зуксель, а асусы нормально не тащут. Думаю, что я не один такой и нас не 1%, следовательно переход принесет билайн деньги. К тому же этот переход прямой путь к гигабиту в ближайшем будущем, что так же офигенно и клал я на людей, которые сидят на 15 мегабитах и радуются.

Изменено пользователем dragonxfly
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@nlpet, то есть из всего вышеописанного и подробно от @Dima G., мне стало понятно, что Билайн жертвует безопасностью отдельно взятого абонента ради того 1-го % абонентов, которым l2tp доставляет некие трудности при подключении с впн'а Би на впн другого провайдера?

Ну почему 1%?

Некоторым недодают 8 мегабит из 100, другие хотят 100Mbit на роутере за 1000руб.

Я думаю, что процентов побольше наберётся.

Хотя в чём я с Вами согласен - абсолютному большинству пользователей всё это абсолютно фиолетово, ибо их всё устраивает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

<много текста>

Не с той стороны размышляете. И, опять же, если не захотите переходить-не переходите. В средней перспективе опция работы через vpn никуда не денется.

 

Да и я не очень понимаю-в чем и кого вы убедить то пытаетесь? Я рассказываю, отвечаю на вопросы если кому то интересно по работе новой системы авторизации, спорить или объяснять скрытые (и не очень) мотивы ни с кем не собираюсь :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я, например, до сих пор не перешел на тариф выше сотки, потому что не хочу дома иметь зуксель, а асусы нормально не тащут. Думаю, что я не один такой и нас не 1%, следовательно переход принесет билайн деньги. К тому же этот переход прямой путь к гигабиту в ближайшем будущем, что так же офигенно и клал я на людей, которые сидят на 15 мегабитах и радуются.

А я, например, сижу на тарифе 100 (пардон, 92 :lol: )Mbit и переходить на больший не собираюсь, ибо никакого смысла в этом не вижу.

А меряться пиписьками - отнюдь не относится к интересующим меня занятиям.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

<много текста>

Не с той стороны размышляете. И, опять же, если не захотите переходить-не переходите. В средней перспективе опция работы через vpn никуда не денется.

А как же быть с этим:

если останется всё как было, без дальнейших упрощений, оскуднений vpn'a, тогда нет вопросов

Ну как когда то pptp, vpn тоже "уйдет". Но не сразу. А как уж будут "мотивировать" переходить вопрос открытый, посмотрим. Держать кучу разного оборудования и кучу систем авторизации банально невыгодно

Или я что не так понял?

(вобще трудно выразить мысль в двух-трех словах, поэтому что бы было более понятно приходится набивать <много тнкста>)

Да и по поводу <вытащить из вас побольше служебной информации> - ошибаетесь - i'm not spy :D просто жаль становится действующую полтора десятка лет систему авторизации. Вот если реализуете такую же в ipoe, тогда вопросы сами отпадут, ибо будет уверенность что тебя не взломает какой-нибудь прыщавый "хакер" из соседнего подъезда... :D

 

На этом всё, заканчиваю. Спасибо за потраченное на меня время!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну я же и говорю, как с pptp, сколько лет работало после появления l2tp тарифов? Точно не один год.

 

 

П.С. Удачи)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

*- @V_V_S, про пиписки - это намек на толстые обстоятельства?:D

Знайте, те кто подключил Гигабит, используют его по назначению, а не ради соревнований...

Изменено пользователем KeroGas

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

про пиписки - это намек на толстые обстоятельства?:D

Это намёк по поводу "и клал я на людей, которые сидят на 15 мегабитах и радуются".

Не люблю хамства.:angry:

Знайте, те кто подключил Гигабит, используют его по назначению, а не ради соревнований...

Я в гигабитном подключении смысла не вижу, но это, в общем-то, здесь офтопик, так что не надо...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По поводу безопасности, крайне рекомендую к прочтению: https://xakep.ru/2006/12/16/35784/

Смех смехом, а между делом они могут навести шороху где угодно и вполне способны спровоцировать ядерную войну.

Только вот настоящие взломшики систем, а не прыщавые юнцы, обижаются когда их обзывают хакерами

 

@V_V_S, ок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Dima G., почему на l2tp любые попытки врезаться заканчиваются впн-ошибкой 691 и почему такую же практику нельзя применить на ipoe?

Потому что так устроен L2TP, в котором он выступает "оберткой" над всем Инет-трафиком. И чтобы врезаться, придется полностью притвориться устройством авторизованного клиента, используя те же идентификаторы туннеля, адресацию и т.д. Это очень сложно. Другой вариант - поднять собственный VPN сервер и притвориться для соседа БиЛайном, чтобы он типа поднимал сессию и попадал в Инет, который к тому моменту уже должен быть на устройстве мошенника. Следовательно, данный тип врезки требует знаний логина/пароля соседа, для первичного поднятия сессии.

В случае IPoE ничего вышеописанного не требуется. Да, снижение защиты, точнее почти ее полное отсутствие. Но в наши дни стоимость Инета и его доступность такова, что смысла во всех телодвижениях по крайней мере в Москве абсолютно никаких. Рублей 150-200 в месяц найдет любой нищий, вместо вех морочек и риска.

Подожди-подожди минуточку, не пропадай Dima G.! Интересный аопрос!

Дело не в доступности интернета по деньгам и в не нищебродстве. Это ж что ж получается? Если я провожу платежи (или иные транзакции) в финансовых системах через Билайн, то врезавшийся в мой кабель соседский хакер будет знать номера моих кредиток и пин-коды к ним? А так же читать перписку в почтовом ящике и видеть все мои фотки, видео в компьютере?

Ну час от часу не легче, чем больше читаю про IPoE, тем больше сомневаюсь... =(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Bee Maya,

Ну час от часу не легче, чем больше читаю про IPoE, тем больше сомневаюсь... =(

Интересный момент - все время существования Кобины/Билайна стоял вопрос : когда же избавятся от L2TP,теперь когда этот момент наступает у всех непонятная реакция происходит.

Имхо это все от того что все считают себя очень продвинутыми в вопросах построения и безопасности сети больше чем сам ISP...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Господа, прекратите уже мусолить эту тему снова и снова. Сомневаются они в IPoE. :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Потому что так устроен L2TP, в котором он выступает "оберткой" над всем Инет-трафиком. И чтобы врезаться, придется полностью притвориться устройством авторизованного клиента, используя те же идентификаторы туннеля, адресацию и т.д. Это очень сложно. Другой вариант - поднять собственный VPN сервер и притвориться для соседа БиЛайном, чтобы он типа поднимал сессию и попадал в Инет, который к тому моменту уже должен быть на устройстве мошенника. Следовательно, данный тип врезки требует знаний логина/пароля соседа, для первичного поднятия сессии.

Если при авторизации с VPN-сервером провайдера использовать без изменения пакеты, посылаемые абонентом, то логин/пароль не нужен.

Верно. Это первый вариант, который я и написал. Но это сложный вариант.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Bee Maya,

Ну час от часу не легче, чем больше читаю про IPoE, тем больше сомневаюсь... =(

Интересный момент - все время существования Кобины/Билайна стоял вопрос : когда же избавятся от L2TP,теперь когда этот момент наступает у всех непонятная реакция происходит.

Имхо это все от того что все считают себя очень продвинутыми в вопросах построения и безопасности сети больше чем сам ISP...

Вам легко рассуждать. До Воронежа пока доберется, рак на горе свистнет! А тут уже окружают Москву... =)

А я всё это читаю и особенно вот это http://habrahabr.ru/post/170371/ и мне не по себе становится!

У меня на картах не мало капитала набралось и я не хочу в один прекрасный день с ним расстаться только потому, что кто-то видите ли не может зайти на какой та vpn с vpn Билайна!

Ага, я бы посмотрела на Вас (Завхоз), когда появился бы риск что с Вашего склада могут унести грабли или лопату с тачкой по подложным авизовкам или чё там у Вас ценного хранится... =))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А я всё это читаю и особенно вот это http://habrahabr.ru/post/170371/ и мне не по себе становится!

 

После фразы "На данную технологию даже нет RFC" эту статью можно не читать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подожди-подожди минуточку, не пропадай Dima G.! Интересный аопрос!

Дело не в доступности интернета по деньгам и в не нищебродстве. Это ж что ж получается? Если я провожу платежи (или иные транзакции) в финансовых системах через Билайн, то врезавшийся в мой кабель соседский хакер будет знать номера моих кредиток и пин-коды к ним? А так же читать перписку в почтовом ящике и видеть все мои фотки, видео в компьютере?

Ну час от часу не легче, чем больше читаю про IPoE, тем больше сомневаюсь... =(

Зря сомневаетесь. Платежи и прочие личные кабинеты работают по шифрованному протоколу. Это как было недоступно сейчас даже для провайдера, так и недоступно будет в будущем. Инфа закрыта на всем пути от компьютера пользователя до сайта. А современная тенденция такова, что сайты в принципе переходят на HTTPS, то бишь шифрование. И никто не сможет видеть, что вы там на сайте читаете, постите.

Что касается остальной инфы, она и сейчас в открытом виде :-) Представьте, что провайдер - это курьер с прозрачным пакетом (L2TP), а пакеты на тележке (IP). После перехода на IPoE, курьерам разрешат не класть каждую бумажку в отдельный пакет, а сразу класть её на тележку (IP).

 

IPoE - это прекрасно! Это чуть быстрее Интернет, это возможность подключить любое сетевое устройство, это более скорое появление родного (native) IPv6 в БиЛайне (могут запустить сразу же после перехода на IPoE), это гораздо меньшее число маршрутов в роутерах, это одна подсеть, а не две, как сейчас. Наконец, это защита от мусора (броадкаст) соседей по дому/району, защита от подделки районных шлюзов (ARP-spoofing). В частности, от броадкастового шторма могло страдать ТВ. Да, есть защиты на свитчах, но они срабатывают после некоторого кол-ва мусора, допустим, в течение 30 секунд.

Изменено пользователем Dima G.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Dima G., фух! Ну спасибо, наконец та отлегло, успокоили. А то фик знает что творится... Одни спец.терминами друг в друга кидаются, один умней другого, ничего не понять из перепалок (в коментах на хабре) Другие два или три слова пробубнят под нос про какой там RFC, который мне нафик ничего не говорит... Вот сиди и думай как проводить платежи.

Я ведь мелким бизнесом занимаюсь, покупаю в он-лайн бутиках Европы косметику и продаю знакомым не втридорога, как наши ретейлеры, а только с 20% надбавкой. Все довольны. А поэтому опасаюсь прозрачности моих действий, особенно если врежется какой та негодяй в кабель и будет видеть все мои действия.

Ну ладно, проехали. Молчу =))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подожди-подожди минуточку, не пропадай Dima G.! Интересный аопрос!

Дело не в доступности интернета по деньгам и в не нищебродстве. Это ж что ж получается? Если я провожу платежи (или иные транзакции) в финансовых системах через Билайн, то врезавшийся в мой кабель соседский хакер будет знать номера моих кредиток и пин-коды к ним? А так же читать перписку в почтовом ящике и видеть все мои фотки, видео в компьютере?

Ну час от часу не легче, чем больше читаю про IPoE, тем больше сомневаюсь... =(

Зря сомневаетесь. Платежи и прочие личные кабинеты работают по шифрованному протоколу. Это как было недоступно сейчас даже для провайдера, так и недоступно будет в будущем. Инфа закрыта на всем пути от компьютера пользователя до сайта. А современная тенденция такова, что сайты в принципе переходят на HTTPS, то бишь шифрование. И никто не сможет видеть, что вы там на сайте читаете, постите.

Что касается остальной инфы, она и сейчас в открытом виде :-) Представьте, что провайдер - это курьер с прозрачным пакетом (L2TP), а пакеты на тележке (IP). После перехода на IPoE, курьерам разрешат не класть каждую бумажку в отдельный пакет, а сразу класть её на тележку (IP).

Если врежется или авторизуется не пацан, а профи с целью похитить данные, то https тут как в финской бане лыжи.

Так же сможет скрыто следить за жертвой в реальном времени при помощи её камеры и микрофона.

Взломать для слежки могут любого абонента при наличии официального разрешения - санкции прокуратуры.

В настоящее время создаются все условия для беспрепятственной работы спецслужб в этой отрасли. Билайн не исключение.

 

@Bee Maya, если вам ставят диагноз - паранойя, то это не значит, что за вами не следят.

Учтите, абсолютно всё контролируется спецотделами при провайдерах, как только пользователь входит в сеть.

 

IPoE - это прекрасно! Это чуть быстрее Интернет, это возможность подключить любое сетевое устройство, это более скорое появление родного (native) IPv6 в БиЛайне (могут запустить сразу же после перехода на IPoE), это гораздо меньшее число маршрутов в роутерах, это одна подсеть, а не две, как сейчас. Наконец, это защита от мусора (броадкаст) соседей по дому/району, защита от подделки районных шлюзов (ARP-spoofing). В частности, от броадкастового шторма могло страдать ТВ. Да, есть защиты на свитчах, но они срабатывают после некоторого кол-ва мусора, допустим, в течение 30 секунд.

Не со всем, но в целом да, согласен.

Изменено пользователем tsak

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.