vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

#113 Защита провайдеров. Сокол-нет

Дата публикации: 23.11.2002
Количество просмотров: 7534

Новости.

На прошедшей неделе пришлось наблюдать устранение небольшой аварии сети электроснабжения дома. Надо сказать, не сильно это отличается от домашней сети, даже в ее классическом "пионерском" понимании. Гниловатые кабеля, соединенные не слишком прямыми руками (и с нарушением длинного списка требований и стандартов), проблемы с ключами и зонами ответственности. Чудовищная нехватка инструментов, материалов, полное отсутствие средств связи. Безграмотность "низовых" монтажников. Нет, похоже в некоторых сетях работа поставлена заметно лучше...

Напоминаю, что сайт согласен оплачивать интересные статьи по тематике провайдинга, сетей, и телекоммуникаций в общем. Жду Ваших предложений в почту.

Новые материалы в "разном":

 

  • Закончен спецпроект Провайдеры среднего Урала. Постараюсь примерно раз в квартал обновлять этот материал, и вносить в него дополнения (изменения). Тем более, к концу декабря подкатывает реальный передел местных телекомов (электросвязей) после недавно завершившегося укрупнения структурных подразделений холдинга "Связьинвест". Где-то новые начальники, где-то новые правила игры, где-то новые деньги...
  • На страничке "оборудование" новинка - Lucent DSLMAX 20. Это модульный DSLAM, от 8 до 32-х портов SDSL.
  • Добавление (от Sirco) в застоявшийся раздел "железного пингвина". Выложены мануалы на чип Chip IP178A и импульсный стабилизатор питания 34063ADM (устанавливаются в коммутаторы типа Surecom EP-808X). Надеюсь, хоть это даст новый стимул развития проекта Open Hardware.
  • И в завершение - начат новый проект, в рамках которого будет проводиться коллекционирование фотографий внутренностей хабов и коммутаторов. Буду рад, если кто-то пришлет материалы в пополнение этой небольшой подборки.

    Понятно, что технические параметры и внешний вид легко найти на сайте производителей оборудования. Но для экстремальных способов провайдинга этого мало. Да и национальная традиция призывает пощупать, посмотреть качество монтажа, использованную элементную базу... А уж только после этого делать выбор "железа" для массового применения.

    Тем более восточные друзья такое порой в описании творят, аж страшно становится. Вот из инструкции к Surecom'y (прислал Turek):

    Инструкция к коммутатору Surecom

    Но это еще не все, как говорит порой ящик с экраном (который не монитор). Велико желание доработать китайские поделки под нужды Ethernet-провайдеров. Тем более, это возможно - но об этом ниже по тексту. :-)

  • И чуть не забыл - выложен очередной, шестой параграф 5-ой Главы. Книга становится все толще - хоть немного и жалко, что на диске это совсем не заметно.

    Обсудить тему  | Написать письмо

    Ссылки.

    Для начала немного экзотики - Чучанов Сергей существенно пополнил список радиомодемов на своем сайте. Никогда бы не подумал, что в ноосфере есть столько устройств, так или иначе заполняющих эфир голосом и данными.

     


    Кто-то говорит о возможности самостоятельной разработки и изготовления коммутаторов. А кто-то берет, да и делает. Вот ссылка на разработку Дмитрия.

    Себестоимость (платы, импульсного блока питания, импульсного стабилизатора и т.п.) составляет 1178 рублей. В отличии от китая, это устройство специально разработано для суровых чердачно-подъездных условий. Плюс встроенная грозозащита на газовых разрядниках.

    Краткое описание наиболее интересных возможностей коммутатора (вернее, его центрального чипа):

    1. Non-blocking nine-port switching controller with MAC controller, switching engine, packet buffer and PHY which offer a low cost and simple solution.
    2. Store-and- forward operation support.
    3. Full line speed capability of 14880 packet/sec for 10M and 148810 packet/sec for 100M, with no HOL blocking.
    4. Broadcast storming prevention
    5. Support up to 8 groups port-based VLAN
    6. Full-duplex (IEEE802.3x) and three-way half-duplex flow control (Back pressure)
    7. Data buffer SSRAM embedded. Buffer management included
    8. CoS support: Port-based, VLAN tag, TCP/IP TOS/DS
    9. Intelligently back-pressure and flow control turned on/off in the port with priority frames
    10. 93C46 EEPROM interface
    11. Local MAC address filtering

    Есть печатная плата и схема свитча в формате Pcad 2001. Центральный чип - adm6609 (8 портов, 100 Мбит). Надеюсь, к следующему обзору подойдут фотографии и более подробное описание.

    А эта ссылка, наоборот, относится скорее к "делам давно минувших дней". Трехпортовый хаб на транзисторах 2N3904A (не путать с пассивным хабом). Смело рекомендую настоящим экстремалам сетей.

    Как бы он красиво смотрелся в приличном корпусе, да еще от солидного бренда... Особенно если поставить в красивую выставочную витрину.

     


    К недорогим устройствам RadioEthernet все уже привыкли. А для серьезных систем кроме Cisco (Aironet) и Alvarion (BreezCOM) по большому счету ничего в России и не используется.

    Но есть и другое оборудование операторского класса. Довольно неплохие описания на русском языке можно найти по следующим ссылкам:
    Proxim;
    Wi-LAN;
    ApertoNetworks.

     


    Но если не нравится такая серьезность, и достаточно одной линии между близко стоящими домами - можно посмотреть на развитие конструкции "баночной" антенны.

    Антенна на базе Принглс

    Собственно, ничего сложного не предвидится. Методика расчета и изготовления выложена тут. Результат вполне приличный - 12дБ. Изготовлено, как можно легко догадаться, из совершенно бросового материала.

    Обсудить тему  | Написать письмо

    Сеть в поселке Сокол (рядом с Магаданом)

    Материал прислал Alexandr Kornilov. Как обычно, текст переписки преобразован в удобочитаемый вид (с максимальным сохранением сути вопроса).

    На мой взгляд, это очень хороший пример того, что сети могут существовать не только в больших городах. Все зависит от людей. Если есть, кому двигать проект - сеть появится даже в самых неблагоприятных условиях. И будет жить несмотря на все трудности.

    ... Началась сеть почти 6 лет назад (в декабре), когда двое фидошников протянули между собой коаксиал для скачивания почты. Посчитали, что маразм качать по модему, если живут в 15 метрах друг от друга... Третий участник жил на другом конце поселка (Олег - наш первый админ, собственно без него все бы так и заглохло). Для того, что бы получилась сеть, он поднял еще троих желающих по дороге до своего дома.

    Все было построено на хабах (два хаба в точке заменяли коаксиальный репитер) и естественно, на полное расстояние не заработало. Поселок у нас как бы поделен на две части, "верхнюю" и "нижнюю". Как раз в середине пришлось ставить машину под маршрутизатор.

    Соколнет - схема

    Постепенно в сети собралось около 30 человек. А потом пришел местный кризис... Вообще-то у нас грозы довольно редкое явление, а тут долбануло практически в соседний дом. И сгорело ВСЕ.

    Два месяца сеть не работала вообще, потом собрали собрание, скинулись и больше с коаксиалом дел не имели.

    Сейчас в сети 70 человек, из оборудования 12 хабов, 10 свитчей, 4 маршрутизатора на cелеронах с "Драконом" (линукс досовский) и центральный сервер (PDC, WWW, файлсервер, гейт в интернет). Сетью охвачен практически весь поселок. В очереди на подключение стоит 12 человек.

    С финансовой стороны у нас не легко, но жить можно. Платим взносы, 100 рублей месяц. За подключение брали 500 рублей, буквально на днях подняли до 1000. Человек, который обслуживает сеть, ничего не платит, и получает 10% от взносов и подключений. Так решили на собрании.

    Соколнет - пользователи

    Захотелось этим летом легальности, да не тут-то было. Почитал литературу, сходил к юристу. Вывод - легализацию мы не потянем ни при каких условиях. Разве что найдется идиот, который подарит штук 20 баксов.

    Интернет через DialUp. До ближайшего провайдера 50 км, две сопки (600 и 1200 м). Плюс рядом аэропорт, с радио много не сделать. Пробовали обратиться в "Ростелеком". Там пообещали за $12 000 придумать что-то на 128к.

    Но надежда на выделенный канал все равно есть - когда нибудь он обязательно появится и у нас...

    Обсудить тему  | Написать письмо

    Защита провайдеров

    Широко заявленная в заголовке, эта тема действительно может считаться необъятной. Как при любом соревновании защиты и нападения - абсолютный результат недостижим. На сегодня придется ограничиться в основном вопросами. Решения требуют более тщательной проработки.

    Вообще говоря, вопросы "защиты" мало поднималась в обзорах ранее - по принципу "не буди лихо". Но недавно проверил, что думают об атаках на сеть поисковики. И немного растерялся. Стало понятно, что джинн давно покинул бутылку, и замалчивать его присутствие на просторах Рунета не имеет смысла.

    Вот небольшая (и далеко не полная) коллекция утилит, полученная по первой же ссылке c Google.com:

    EtherFlood. Затопляет коммутируемую сеть Ethernet фреймами со случайными аппаратными адресами. В результате коммутаторы начинают отсылать весь трафик на всех портах, так что вы сможете сниффернуть всю сеть.
    GrabItAll. Выполняет переадресацию трафика, посылая поддельные ARP ответы. Программа может переадресовывать трафик с одного компьютера на компьютер атакующего, или переадресовывать трафик между двумя другими компьютерами через компьютер атакующего.
    SendIP v2.0 Посылает произвольные IP пакеты. Имеет большое количество опций. Позволяет определять содержание каждого заголовка TCP, UDP, ICMP или IP пакета и добавлять любые данные к пакету. Рассчитывает контрольные суммы автоматически, но есть возможность отсылки неправильных контрольных сумм.
    SING. Инструмент, который посылает полностью настроенные ICMP пакеты в командной строке. Главная цель состоит в том, чтобы заменить команду ping, добавляя такие расширения, как фрагментация и посылка/получение подложных пакетов. Так же имеется возможность отправки различных типов ICMP пакетов (ECHO, подобно ping, маска адреса, timestamp) и различных сообщений об ошибках (redirect, unreachable, and time exceeded). Не упущена возможность посылки больших пакетов.
    IP Sorcery. Простой генератор TCP/IP пакетов. Позволяет "засыпать" TCP, UDP и ICMP пакетами указанный хост. Имеет GTK+ интерфейс.

    Фактически даже малоквалифицированный пользователь может устроить несладкую жизнь администратору сети, соседям, и себе (если художества будут обнаружены). Воровство трафика, перехват "чужих" данных, временная неработоспособность, генерация трафика... Этот перечень еще совсем не полный.

    Но не это самое страшное. Мелкие шалости пользователей, вызванные изначальной неприспособленностью Ethernet для нужд провайдинга, будут рано или поздно ликвидированы. Благо, инструменты для этого "растут" с двух сторон. Во-первых, Ethernet вполне может стать управляемым на уровне клиентских портов (это решает большинство проблем). Во-вторых, мощность процессоров растет (благодарим закон Мура), что позволяет надеяться на возможность полной (и недорогой) шифрации трафика в ближайшем будущем.

    Хуже другое. Структура мировой сети Интернет просто не приспособлена для решения части сегодняшних задач. Много сделано для создания инфраструктуры быстрой доставки трафика, нет особых проблем в выборе оптимальных маршрутов и сохранения связности. Но фактически нет инструментов для блокирования нежелательных потоков данных.
    Это не заложено на уровне протокола IP.

    Ситуацию можно легко понять. Создатели сети Интернет оперировали понятием "каналов", считать трафик никто не собирался. Соответственно, проблема флуда (большого потока данных на узел) стояла только на уровне обеспечения нормального функционирования атакованного узла.

    Даже от этой, достаточно очевидной опасности полностью защититься так и не удалось. Серьезные провайдеры вооружились брандмауэрами, анализаторами трафика... Полумеры сняли остроту атак. Но только там, где нет платы "за гигабайт".

    Чем грозят среднему Российскому провайдеру лишние 100-200 Гб зарубежного трафика, объяснять не надо.

    А защита от этого... Ее нет. Конечно, от безумных атак спасут правильно настроенные фильтры апстрима (например, Ростелекома). Но в остальном - остается вручную (т.е. буквально по телефону) просить закрыть атакующий хост на его входе в сеть провайдера-апстрима (а перед этим его определить).

    Но что противопоставить аккуратному, рассредоточенному флуду, который не порождает потоков, явно загружающих каналы? Что делать, если на пользователей сети "упадут" лишние 30-40% трафика?

    Обсудить тему  | Написать письмо

    Хаб, просто хаб.

    Тут даже комментировать нечего. :-)

    Хаб, просто хаб

    Анонс

     

    • Практический рассказ о использовании оборудования Iola.
    • Продолжение темы безопасности сетей.
    • Возможно, получится материал о оптоволоконных кабелях для наружной проводки.
    • Очень рассчитываю на Ваши материалы. Всегда рад письмам с ними.
От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/articles/reviews/15755/zaschita-provayderov-sokol-net.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться