vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

#121 Авторизаторы

Дата публикации: 19.01.2003
Количество просмотров: 5886

Новости сайта.

Вот и начались посленовогодние будни - причем с небольшого скандала местного значения. Неожиданно выяснилось, что один из Екатеринбургских Ethernet-провайдеров умудрился за полгода "подарить" нехорошим пользователям трафика почти на полмиллиона рублей (по входным ценам). Все это время длилась нелегкая борьба админов - правились Firewall'ы и менялись алгоритмы авторизации. Эффект был почти нулевой - дыры росли как головы у гидры.

В конце концов сеть (называть такое оператором связи никак нельзя) расписалась в технической беспомощности, и началась охота на ведьм с привлечением работников МВД. Впрочем, примерно с тем же безнадежным результатом... Попытки изъятия оборудования без санкции прокурора до добра редко кого доводят.

Случай можно без преувеличения назвать клиническим. До такой степени не контролировать собственную сеть - нужно недюжинное умение. С другой стороны, было на практике и кошельке доказано, что сеть на простых свитчах и хабах совершенно беззащитна без квалифицированного администрирования, качественной авторизации и биллинга.

Но хватит о грустном, пора перейти к обновления на сайте:

 

Интересное в сети.

Начать нужно со следующей скромной ссылки, которую прислал Michael Tatarinov.

Самодельный PIX

Берем:

  • железную коробку с блоком питания;
  • материнскую карту Intel SE440BX-2
  • несколько сетевых карт Intel 82557/82558/82559
  • Cisco 16MB PIX Flash card
  • 128MB PC100 SDRAM
  • процессор 350MHZ Processor w/ 512K cache

... И делаем Cisco PIX Firewall. Дешево и вполне сердито.

Кстати, PIX-515 сделан на P-200/MB TX/32Mb, так что можно надеяться на появление своего PIX'а даже у самых небольших операторов. А штука это сильно полезная не только для провайдеров - PIX не помешает иметь на вооружении любой уважающей себя фирме.

 


Передача потоков Е1 через сети Ethernet до сих пор дорогая экзотика. Ассортимент пригодного для этого оборудование расширил MRV Communications. Теперь коммутаторы OptiSwitch могут быть использованы для объединения УАТС через сети Ethernet 100 или 1000 Мбит/с, или передачи голосовых потоков E1 в операторских сетях. Правда стоимость осталась вполне телематическая - по $1000 за порт. Но тенденция использования Ethernet в качестве основной транспортной среды все же есть - а подробности по этой ссылке (прислал Dmitry Kalinin).

 


И еще интересная информация по сетевому оборудованию. Редакция журнала КомпьютерПресс провела свежее тестирование двенадцати неуправляемых коммутаторов. Результат можно найти тут в виде архива. Остается добавить, что в номинации "Самый качественный коммутатор" с небольшим преимуществом победили D-Link DES-1008D и CNet CNSH-800, в номинации "Оптимальная покупка" - HardLink HS-08.

 


Перейдем к "телекомам" и "электросвязям". Их без присмотра никак оставлять нельзя - такого натворят, что придется азбукой морзе шумоподобные сигналы передавать.

Попался в руки прейскурант № 125-7/2002 ОАО "Уралсвязьинформ" "Тарифы на услуги электросвязи для предприятий, бюджетных организаций и населения" (не совсем понятно, действует ли он, или только проект). В этом мутноватом 106-ти страничном манускрипте можно найти и расценки на аренду прямого провода. Приведу самое интересное:

Ежемесячные платежи, за каждые полные или неполные 1000 метров п/п, в зависимости:
В режиме низкочастотной телефонии и телеграфии - 305
В режиме технологических сигналов управления производственными процессами - 1 500
В режиме максимально возможной пропускной способности - 3 000

Т.е. за каждый километр провода пользователь должен выложить 3000 рублей в месяц. Учитывая размеры Перми, выделенка в $500 по абонплате будет обычным делом.

Да, не нужно пытаться обхитрить монополиста - "режим" они делают фильтрами -
первый режим - это полоса 0.3 - 3.4, только чтобы модемы работали;
второй режим - это для низкоскоростных модемов (до 128К);
третий - без ограничений.

И самое неприятное. Ранее указанные цены соответствовали всему п/п, при любой ее длине. Но после запуска "Уралсвязьинформом" сети АДСЛ (с не совсем здоровыми расценками) стоимость п/п для провайдеров резко выросла... :-(

 


Куда же можно пристроить заработанные на эксплуатации дедовской инфраструктуры деньги? Вот ссылка на анонс - ОАО "Уралсвязьинформ" построит в Челябинске широкополосную сеть кабельного телевидения. Это будет первая в городе интерактивная кабельная сеть. На первом этапе оператор намерен инвестировать в проект 26 млн руб....

При создании сети оператор намерен использовать современное оборудование и технологии. В частности, новая сеть будет гибридной: магистральная часть базируется на волоконно-оптических линиях, а разводка внутри домов производится с помощью коаксиальных кабелей.

Во первых, эта технология может померяться давностью с X.25. Во вторых, что-то не припомню в России удачных примеров внедрения гибридных сетей... Ну а в третьих - не понятно, зачем оператору связи вкладывать существенные суммы в непрофильное направление развития. Разве что использовать Челябинск как полигон...

Впрочем, думаю не стоит относиться к этому анонсу серьезно. Суммы в $800 000 хватит только на проект и закупку стартового комплекта для гибридной сети (да откатов), поиграют и бросят... Тем более развертывание всерьез потребует лишь начальных вложений раз в 10-30 больших - столько даже большой "Уралсвязьинформ" "не потянет".

Забавно, что некоторые дома в Киеве подключены к КТВ "навыворот" - цифровой телевизионный сигнал сначала идёт через оптику, а потом уже раздаётся по коаксиалу. Можно зайти на форум юзеров "Воли" http://www.volia.com/ru/forum и почитать отзывы. На сайте есть адреса и телефоны.

В общем, на пример успешного внедрения не тянет - это очень мягко говоря. А столичный Киев, кстати, это не Челябинск... Денег в нем побольше будет для окупания заморских железок.

 


Весьма неплохие обзоры в "Русском журнале" о провайдерах мира. Очередной выпуск цикла - Наши соседи - о Перуанском интернете (прислал Чучанов Сергей).

Кто еще не видел - не новая, но красивая картинка:

SoftwareWar

Большая картинка "подложена" под превьюшку. Кто сделает что-то подобное на тему войны сетевых технологий? Призовой фонд в пределах разумного. :-)

Целая книга (хоть и небольшая) по силовым кабелям - читать тут. Есть масса полезных моментов - в конце концов инфраструктура передачи "слабых" электрических сигналов не так далеко ушла от "сильных" сетей. :-)

Разработка и строительство устройств атмосферной лазерной связи в России несколько затихли. Проект типа Ronja у нас развития не получил. По многим конференциям прошла волна обсуждения, было много сказано о несовершенстве конструкции Clock'а. Однако вот отличие - "там" энтузиасты делали, а тут - говорили (это и в мой огород камень).

И вот в Словакии на атмосферных лазерах работает небольшая любительская сеть...

Ronja

Подробности - тут. Как обычно, подробно запротоколированы и изготовление, и настройка, и работа.

Однако, есть и усовершенствования. Можно посмотреть конструкцию приемника и передатчика на весьма универсальных микросхемах МАХ3964 и МАХ3966 (125Mbps FDDI, 155Mbps LAN ATM, 266Mbps Fibre-Channel, ESCON, Fast Ethernet). Да только работы напильником не убавилось - а ее у нас сильно недолюбливают.

Кстати, несколько советов по построению оптической части можно найти тут. Реальный, но сильно урезанный из маркетинговых соображений опыт построения систем "МостКом".

А в этой ссылке материалы по созданию (движение есть, но очень медленное) отечественной версии любительского атмосферного лазера.

Авторизаторы.

Данный материал опубликован на основании открытого письма Алексея Бартоломея, сеть Конвекс. Внесены небольшие косметические правки.

Последнее время все более актуальной становится проблема несанкционированного доступа в домашних сетях, точнее - подмена IP и MAC адресов. Как это решается с помощью управляемых коммутаторов обсуждать не имеет смысла - есть несколько вполне тривиальных решений. Второй путь - VPN, во многих случаях неудобен. Рассмотрим третий путь - авторизаторы.

Для ясности и краткости назовем нормального пользователя - пользователем, а того, кто подделал IP и MAC - нелегалом.

Cформулируем проблему - на сегодня по сути нет эффективного и недорогого способа выявлять нелегала в сети, построенной на неуправляемых коммутаторах и хабах. Это совсем не значит, что поиск невозможен - но он труден, и занимает много времени.

Существующие авторизаторы, построенные по системе "сервер авторизации и клиент, периодически извещающий сервер о своем присутствии" спасают лишь частично. Во время работы пользователя нелегал тоже может пользоваться сетью. Это особенно справедливо, если они находятся на одном коммутаторе, либо, скажем так, в одном коммутируемом сегменте.

Если они находятся в одном домене коллизий (грубо говоря на одном хабе), то у них работает протокол UDP, но не работает TCP. Это происходит из-за того, что пакеты сервера попадают к обоим хостам, и при открытии сессии пользователем, компьтер нелегала пошлет пакет закрытия сессии, ибо он про эту сессию ничего не знает. Это отчасти спасет сети на хабах, т.к. при неработающем TCP пользователь звонит в техподдержку, а нелегал не получает доступа траффикаемким TCP-ресурсам (FTP, HTTP).

Хуже ситуация, если пользователь и нелегал находятся в одном коммутируемом сегменте. При небольшой активности, они спокойно сосуществуют.

Неуправляемый коммутатор работает следующим образом: у него есть САМ-таблица (соответствия MAC и портов). Коммутатор получает некий пакет, в котором есть MAC отправителя и MAC получателя. При этом MAC отправителя заносится в таблицу, и ставится в соответствие с портом коммутатора, через который этот пакет пришел. Затем анализируется MAC получателя - он ищется в таблице и пакет отправляется в порт, соответствующий этому MAC. Если MAC в таблице нет, пакет отправляется на все порты.

Теперь рассмотрим, как поведет себя коммутатор, если 2 одинаковых MAC подключены к разным портам (к примеру, к порту 1 и 2). При появлении пакета на порту 1 коммутатор запомнит это, и ответы будет посылать в порт 1. Соответственно, если появится пакет в порту 2, то коммутатор переключится, и будет слать ответы в порт 2. Если инициаторами обмена выступают компьютеры пользователя и нелегала, а интенсивность обмена невысока, то каждый отдельно взятый запрос-ответ как пользователя, так и нелегала происходят успешно.

Если интенсивность возрастает, то повышается вероятность попадания пакета к чужому компьютеру, что приводит к закрытию каких-то TCP-сессий. Но и это не мешает продолжать пользователю и нелегалу работать, поскольку пока процент таких ошибок невелик, пользователя это лишь несколько раздражает (эффект аналогичен некачественной работе сети), а нелегалу все равно.

Как с этим бороться?

Должна быть система авторизации, которая учитывает эту специфику работы активного оборудования. Идея ее проста. Все как обычно - сервер авторизации и клиент у пользователя. В случае неуспешной авторизации сервер прекращает маршрутизировать пакет с IP пользователя.

Главное! Инициатором авторизации является сервер, клиент же пассивно слушает определенный TCP-порт. Сервер подключается к порту клиента, отдает ему случайный ключ, клиент генерирует ответ на основе пароля и полученного ключа, сервер сравнивает полученный ответ с тем, что получилось у него и принимает решение.

Посмотрим, что будет происходить в случае, когда пользователь и нелегал находятся на одном коммутаторе. Запрос от сервера не попадет к пользователю, если предыдущий обмен происходил с нелегалом. Соответственно, вероятность неуспешной авторизации при одинаковой активности обоих примерно 50%. Чем выше активность обоих или нелегала, тем выше вероятность неуспешной авторизации.

Такая система была написана, и сейчас проводятся испытания. Серверная часть выполнена на С, шифрование SSH-1, скрипты управления фаерволом (ipfw) на перл, ОС - FreeBSD. Однако не видно препятствий для работы всего этого под любым *nix, нужны лишь соответствующие скрипты. Клиент написан на С по мотивам авторизатора, опубликованного на nag.ru.

Экспериментально подобранные параметры (интервалы авторизации, таймауты при ошибках TCP в процессе авторизации, и др.) позволили достаточно успешно закрывать доступ в случае возникновения нелегала. Время срабатывания 1-5 минут в зависимости от активности.

Все это пока еще сыровато, и если есть заинтересованные люди, умеющие программировать под windows и *nix, и готовые доработать софт до "идеального" состояния - пишите.

Магистраль.

Вполне обычная для домашних сетей коробка:

Магистраль

Отличает ее только повышенная плотность компоновки, да еще то, что это основная магистраль провайдера. Два SDSL модема и хаб - почти джентльменский набор.

Тем не менее - работает. :-)

Анонс

 

  • Материал Zoro о фантомном питании сетевых устройств;
  • Отложенный три раза материал по теории надежности домашних сетей. Ну никак не получается сесть, и вдумчиво подвести базис под надстройку;
  • Обычные и экстремальные веселости;
  • Пополнение в раздел фотографий сетевого оборудования.
  • Жду Ваших материалов - причем с большим нетерпением.
От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/articles/reviews/15496/avtorizatoryi.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться