Пункты опроса Голосов Проценты
PPPoE 2   20.00%
VPN 8   80.00%
Всего голосов: 10

Гости не могут голосовать 




Reply to this topicStart new topicStart Poll

Страницы: (2) 1 2 
дата: [ i ]
  • Unregistered
  • Статус:
  • Свободен
Нет, если конечноже там стоит умнейший девайс с кучей вспомогательного софта, он может автоматом перебивать мак, но такую штуку делать ооочень глупо. Сменил я ип, и полез под твоим инетом....

Надо видеть девайс, а так просто в воду дуем.
-=Велла=-
дата: [ i ]
  • Group Icon
  • Акула пера
  • Репутация: 2775
  • Статус: Паникёрша и скандалистка )))
  • Member OfflineЖенщинаСвободна
хм.. ну... а как ты узнаешь IP шлюза и DNS серверов? А девайс не знаю какой, тарелка стоит на крыше, а к ней какой-то девайс.
дата: [ i ]
  • Unregistered
  • Статус:
  • Свободен
если я с тобой в одной сети и в одном сигменте это сделать элементарно.
Есть куча прог, одна из них - МACscaner, а днс, в сети у всех одинаков, покрайней метре в одном сигменте... то же самое касается и шлюза...
-=Велла=-
дата: [ i ]
  • Group Icon
  • Акула пера
  • Репутация: 2775
  • Статус: Паникёрша и скандалистка )))
  • Member OfflineЖенщинаСвободна
QUOTE (erm1k @ 27.04.2006 - время: 22:44)
если я с тобой в одной сети и в одном сигменте это сделать элементарно.
Есть куча прог, одна из них - МACscaner, а днс, в сети у всех одинаков, покрайней метре в одном сигменте... то же самое касается и шлюза...

мда... стоит задуматься...
дата: [ i ]
  • Unregistered
  • Статус:
  • Свободен
Еще как надо задуматься, я вобще сугубо отрицательно отношусь к радио каналу.... Чуть гроза и каюк или давление или еще чего ....
GrAnd
дата: [ i ]
  • Group Icon
  • Мастер
  • Репутация: 146
  • Статус: Нас призвали не руки, а желание (С) Пинхэд.
  • Member OfflineМужчинаЖенат
QUOTE (erm1k @ 28.04.2006 - время: 00:49)
Еще как надо задуматься, я вобще сугубо отрицательно отношусь к радио каналу.... Чуть гроза и каюк или давление или еще чего ....

Ну почему "чуть"?

У нас радиоканал на "Cisco AirNet 350" нормально пашет, хоть это и не дорогое оборудование. До головной антенны прова - 2 км. Направленная решетка.
При грозе снижение качества связи незначительное. Давление вообще никаким боком. Вот сильный ветер, действительно, раскачивает мачту и сбивает юстировку. И при ливне сильном возможны перебои. Еще однажды разгерметизовался стык кабеля и от влаги окислилась стыковочная муфта. Уровень сигнала упал до 40% вместо обычных 70%. Но это все равно лучше наших кабельных сетей, когда вот уже 3 недели по ночам кто-то каким-то образом шунтирует целый квартал. И найти не могут.

А если бы высота здания позволила бы установить решетку не на мачте, а в радиопрозрачном контейнере, то проблем было бы еще меньше.
дата: [ i ]
  • Unregistered
  • Статус:
  • Свободен
Так, ладно не будем в даваться в подробности что да как, а то офтоп пошел, а тут обсуждение пппое и впн соединений. ))
GrAnd
дата: [ i ]
  • Group Icon
  • Мастер
  • Репутация: 146
  • Статус: Нас призвали не руки, а желание (С) Пинхэд.
  • Member OfflineМужчинаЖенат
QUOTE (erm1k @ 28.04.2006 - время: 17:11)
Так, ладно не будем в даваться в подробности что да как, а то офтоп пошел, а тут обсуждение пппое и впн соединений. ))

Ну ладно. Сам не специалист, но с высоты плинтуса скажу ...

Прежде всего PPP отличается тем, что связь между провом и клиентом осуществляется не транспортными протоколами TCP/UDP и, может быть, даже не IP и прочими протоколами межсетевого обмена и управления (хотя вот в этом я как раз и очень не уверен), а по протоколу PPP (PPPoE), в пакетах которого как в оболочке заключены уже собственно пакеты транспортных протоколов.
Сервер прова принимает PPP пакеты, вылущивает пакеты транспортных протоколов и посылает их дальше по маршруту.
Чтобы подключиться к такому "вылущивателю", который выполняет роль прокси, и нужна аутентификация. Действительно, картина весьма напоминает Dial-Up. И в том и в другом случае происходит "дозвон" и выделение IP динамически или из зарезервированных по MAC, аутентификация и т.д. Хотя PPP, кажется, может работать и со статическими IP клиента.

В случае же VPN картина несколько другая. Существует некая буферная сеть прова между клиентами и внешним Инетом. В принципе, клиенты этой сети могут даже напрямую общаться между собой, если на роутерах между ними не запрещены такие прямые обращения. И все транспортные протоколы в такой сети существуют в "голом" виде. IP-адреса клиенты получают от DHCP этой сети, либо имеют статические. Аутентификация необходима для того, чтобы шлюз или прокси-сервер, находящийся на границе сети провайдера и внешнего Инета дал добро на ваш выход вовне. Таким образом далее организуется обмен с проксей по протоколам PPTP, SSH или какие еще там протоколы VPN бывают, которые и будут шлюзоваться вовне.

Не знаю как безопасность провайдера, а вот для клиента VPN смерти подобна. Особенно, если злоумышленник находится в одной подсетке с ним. Тогда, при малейшей небрежности настройки файера хакер Вася Пупкин из соседнего Интернет-кафе может показать Кузькину мать, козью морду и где раки зимуют в одном флаконе. Профилактика - методом параноидального запирания всех неработающих вовне портов.

PPPoE в чем-то даже хуже. Тем более, что, как у меня сложилось впечатление, в случае применения PPP фильтрация TCP/UDP/IP пакетов вообще не производится. Я даже не нашел в системе возможности ее настройки. Хотя, казалось бы, что мешает делать ее после "выщелущивания" транспортных пакетов. Приходится ставить дополнительный программный файер. Впрочем, может быть это только у меня такое безобразие.
Зато, все прочие клиенты теперь находятся по отношению друг к другу как бы в различных подсетях. Только если не связаны общим кабелем. В этом случае возможность злонамеренных действий со стороны соседа незначительно снижается.

Ну а для провайдера, IMHO, PPPoE несколько предпочтительнее. Т.к. в этом случае более четко контролируется сетевой трафик. С другой стороны, весь он проходит через его сервер подключения.
VPN же позволяет организовать некую децентрализацию в рамках сети провайдера. Чем и пользуются они для привлечения клиентов. Поди ж многим интересно будет на халяву у себя открыть FTP-сервер или игровой сервер. А это привлечет и других клиентов.

Вобщем, с кондачка решать сложно. Не даром же обе технологии существуют практически на равных. На нашем предприятии, например, 50/50, ибо 2 подключения к различным провам.
дата: [ i ]
  • Unregistered
  • Статус:
  • Свободен
QUOTE
Не знаю как безопасность провайдера, а вот для клиента VPN смерти подобна. Особенно, если злоумышленник находится в одной подсетке с ним. Тогда, при малейшей небрежности настройки файера хакер Вася Пупкин из соседнего Интернет-кафе может показать Кузькину мать, козью морду и где раки зимуют в одном флаконе. Профилактика - методом параноидального запирания всех неработающих вовне портов.


А вот с этим я категорически не согласен. Я сам работаю в одном из провадеров. После получения привязки, даже по доброй воле абонента, ни кто не сможет восполльзоваться интернетом. Если только:
1)У человека стоит линукс или доступ на роутер с которого можно пропинать арпингом и увидеть МАС адресс
2)У абонента должен быть выключен комп, т.к. Каталист не даст возможность врубить идентичный МАС единовременно.
3)Воришка должен быть с абонентом в одном сигменте, т.к. у нас существует 2-е привязки:
а)Ип адресс.
б)Сигментационная привязка.

Если раньше было все построенно так, что я мог давать пользоваться инетом своему соседу и наоборот, то теперь если у кого-то из нас минусовой баланс, то ни то что инетом пользоваться, ты даже в локалку не зайдешь, искл составляет Сайт сети.

Я прекрасно понимаю, что не каждому провайдеру, как минимум, доступно такое оборудование, в некоторых фирмах просто не знают как этого добиться.

Заключение:
Если ты из другого сигмента - ты будешь сидеть без инета, даже если есть пароль и логин.
Если ты из этого же сигмента - ты тоже будешь сидеть без инета, даже если ты знаешь пароль и логин, мак и ип (ип адресс выдается через DHCP, так, что при принудительной постановке ип адресса, на сторонней машине, сразу вылетит конфликт, что не происходит если нет привязки) и если у абонента включен комп.
Если у тебя минсовой баланс, то ты сможешь наслаждаться только сайтом сети, и пинг будет только с DHCP, шлюз пинговаться не будет !
Так, что я считаю что VPN надежней.
дата: [ i ]
  • Unregistered
  • Статус:
  • Свободен
Ребят, а голосовать-то будем ? ))
дата: [ i ]
  • Unregistered
  • Статус:
  • Свободен
Это.. ребят, а что больше ни кто не хочет пообщаться на эту тему ???
GrAnd
дата: [ i ]
  • Group Icon
  • Мастер
  • Репутация: 146
  • Статус: Нас призвали не руки, а желание (С) Пинхэд.
  • Member OfflineМужчинаЖенат
QUOTE (erm1k @ 28.04.2006 - время: 22:34)
А вот с этим я категорически не согласен. Я сам работаю в одном из провадеров. После получения привязки, даже по доброй воле абонента, ни кто не сможет восполльзоваться интернетом.
...
Если у тебя минсовой баланс, то ты сможешь наслаждаться только сайтом сети, и пинг будет только с DHCP, шлюз пинговаться не будет !
Так, что я считаю что VPN надежней.

Я имел в виду в данном случае не кражу внешнего трафика, а уязвимость одного клиента перед злонамеренными действиями другого, направленных на проникновение в его сеть. В частности, при нахождении злоумышленника в одной VPN-подсети с жертвой, возможно проникновение при помощи немаршрутизируемого протокола NetBIOS. А это, наверное, 70-90% всех случаев взлома.
Конечно, это лечится грамотной настройкой файеров. Но PPP этого не позволит сделать автоматом, т.к. на самом PPP-сервере уже происходит маршрутизация и NetBIOS там затыкается.

К примеру, со шлюза, подключенного к VPN сканер сети находит несколько частных подсеток других организаций и домовых систем. Правда, ни к одной из них мне подключиться не удалось, но это означает только то, что я плохо старался. Ведь я их вижу, значит TCP#139 (NetBIOS) открыт!

Так же, из чисто спортивного интереса, я прошелся по этим найденным шлюзам сканером портов. Обнаружил открытые порты TCP#4099 (RAdmin) - 4 раза, TCP#25/TCP#110 (SMTP/POP3) - 2 раза, TCP#21 (FTP) - 1 раз. Правда, на этот FTP доступ и так открыт, а к другим портам приконнектиться не удалось по причине фильтрации IP (RAdmin) или требований аутентификации (почтовики), но ведь попытку я все-таки предпринял! А если бы админ этих сетей где-то что-то забыл перекрыть? Или пароли удалось подобрать?
Впрочем, все эти порты можно просканировать и через PPP. Но согласитесь, для большинства балбесов возможность подгадить своему ближнему гораздо привлекательнее, чем даже взломать сервер администрации президента. Тем более, что последнее ой как чревато кое-чем ... А тут сам принцип организации VPN провоцирует на эти шаги ...

Вобщем, IMHO, вопрос о том, какие сети лучше, некорректен. Каждый подход обладает определенными преимуществами и недостатками. Нужно только уметь их грамотно использовать.
Например, как клиенту Инета мне больше импонирует PPPoE, но передача технологических параметров и аварийных сигналов с удаленных объектов у нас происходит в сети VPN. Как раз по причине того, что она прозрачна и для связи между объектами и диспетчерской не требуется авторизации и прочих бессмысленных телодвижений.

А вот насчет пинга шлюза, это интересно. Получается, что при отрицательном балансе доступ перекрывается не на шлюзе, который смотрит во внешний Инет, а на некотором промежуточном шлюзе, расположенном до Инет-шлюза, но за DHCP. Так?
Но тогда можно пинговать не только DHCP, но и всех остальных клиентов, находящихся, как и ты, до промежуточного шлюза, т.е. в одном сегменте подсети.
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)

Страницы: (2) 1 2

Reply to this topic Fast ReplyStart new topicStart Poll0


Рекомендуем почитать также топики:

Нужен девайс, как звать не знаю :)

больше 99 фото в nero 7

Введение в HTML

караоке

Help!! Проблемы с зависанием Win XP!




>