1. Статьи
  2. обзор
Заметки пользователей
18.02.2004 02:00
9259
0
18.02.2004 02:00
PDF
9259
0

Биллинги "домашних сетей"

Новости.

За неделю лента телекоммуникационных новостей (news.nag.ru) успела пройти серьезный эволюционный путь. Анализ посещаемости страниц просто вынудил изменить "основную линию" градуса эдак на 64.

 

  • Во-первых, решено сделать главный упор на небольшие авторские новости по теме провайдинга. Пусть это сложнее, однако нужно, и поэтому будет.
  • Во-вторых, неожиданно востребованы оказались новости от производителей оборудования. Поэтому и они начнут появляться чаще - особенно, если последние будут присылать свои анонсы.
  • Ну и в-третьих, своеобразным фоном для всего этого пойдут новости провайдеров. При желании их можно легко отфильтровать и не показывать, однако постараюсь и без этого выбирать только самые интересные...
  • Ну а самым ненужным, судя по статистике, стали заметки из "большого" бизнеса о всяческих слияниях и покупках 0,1% акций. Их доля будет сокращаться так же неуклонно, как и значение каналов ТДМ в передаче данных.

    По мере расширения и обкатки авторского коллектива (ну и тяжкая это работа, как оказалось) новостей на news.nag.ru будет все больше, и будут они интереснее. По крайней мере, так задумано. :-)

    Кстати сказать, ленту можно довольно легко экспортировать не только в RSS, но и сразу на веб. Например, так сделано на странице "провайдеры Екатеринбурга". Там лента отфильтрована по "территориальному признаку", но ничего не мешает использовать другие настройки.

    Размещение как ленты, так и новостей свободное, желательно только ставить ссылку на сайт. Впрочем, в любом случае nag.ru к копирайтно-озабоченным проектам не относится. Так что используйте, а если что-то не понятно с механизмом RSS или встраиванием ленты - просто пишите.

     


    Традиционные обновления в разделах.

     

    • Продолжена седьмая глава второй части книги о домашних сетях. Тема не самая легкая - взаимоотношение домашних сетей с муниципальными властями.
    • На форуме "влиты" обратно в "Технические вопросы" ранее выделенные "VoIP" и "Спутниковые каналы". Эксперимент показал, что отдельные направления хиреют. Там редко пишут, еще реже отвечают - а значит в общем обсуждении решить эти специфические вопросы будет намного проще.
    • В разделе оборудование все по старому, даже прайс без изменений. Разве что на днях ожидаются модули для 3com 1100/3300 с одноволоконными одномодовыми приемопередатчиками...
    • Прошло небольшое, но вполне традиционное пополнение и внутренностей сетевого оборудования. Высылка фотографии на nag@nag.ru приветствуется.
    • Для нового проекта (ленты новостей) по прежнему требуются авторы. Добровольность приветствуется, но предусмотрена и кое-какая оплата.
      ;-) Если нужны подробности - пишите мне на email.

    Интересное в сети.

    В Москве интрига с участием Stream продолжает разворачиваться полным ходом. На поверхности еще ничего нет, но изнутри рынок бурлит серьезно. У некоторых Ethernet-провайдеров уже появились "лобовые" ответы на демпинговую инициативу "МТУ-Интел" - типа "1Gb за $29" или "750 руб - 600 Мб".

    Но мне кажется, что эффективным такой симметричный и предсказуемый ответ не будет. Нужно "выводить" сети из под конкурентного удара... И менять психологию. Следует понимать, что происходящее очень важно не для столицы - в данном случае ее можно рассматривать скорее как полигон, на котором Связьинвест (о одном из своих лиц) обкатывает технологии захвата рынка с помощью монополии на телефонную медь последней мили.

    Понятно, что бороться по цене крупные домашние сети со "Стримом" смогут - вот пара примеров, которые попались на скорую руку - 1, 2. Так же не безнадежна ситуация с качеством - оно растет на глазах (в следующем обзоре как раз ожидается материал на эту тему), и местами вполне сможет конкурировать с АДСЛ.

    Но провайдерам необходимо использовать козыри Ethenеt. А конкретно - более высокую скорость, и маленькое время пинга. А значит, на щит должны быть подняты видео (причем лучше DVD), локальные P2P системы, и игры. Эти сервисы нужно возводить в ранг культа, сделать их известными абоненту еще до подключения.

    И второе. Нужно перестать продавать трафик как товар. Только не надо это понимать как банальный и популярный у enduser'ов призыв к безлимитным тарифам. Дело в другом.

    Гигабайты в Москве дешевые. Даже средние сети могут его покупать от $5 и ниже (да еще есть надежда что uplink'и пойдут навстречу по цене, предвидя тяжелые времена). Поэтому можно не смотреть сколько "выходит на гигабайте", а предлагать услугу, которая позволит получить с абонента максимальное количество денег (получить максимальную прибыль теперь не даст Стрим).

    А уж будет ли это безлимитный тариф, полоса, или подсчет трафика - вопрос второй. Совсем не очевидно, например, что 512к полосы за $50 покажутся большинству пользователей привлекательнее, чем 1Гб за $30.

    Просто надо думать о продаже услуги, а не мегабайт. И все - остальное придет при внимательном изучении тарифных планов сотовых операторов. ;-)

     


    Небольшое развлечение (фото присла Sergey).

    Биллинги "домашних сетей"

    Раньше люди полки с книгами ставили в такие места, хоть ненадолго, но к культуре тянулись. А тут раз - и розеточка Ethernet. Ну ничего, то ли еще будет, когда в моду окончательно войдет радио-езернет.

     


    Следующую новость можно бесспорно назвать знаковой для отрасли. Компания .masterhost предлагает владельцам интернет-ресурсов получать плату за создаваемый ими интернет-трафик. Т.е. чем больше генерируешь, тем меньше платишь (или больше получаешь).

    Как бы ни мала компенсация за трафик - это первое в России публичное предложение, которое ставит провайдера и контентщика как равных и нужных друг другу партнеров. И надеюсь, что от этого отрасль только выиграет. Кстати, тут выложена моя статья на эту тему. Только в ней рассмотрены несколько непривычные цифры - ведь написано это было более двух лет назад.

    Хотя начисления за исходящий трафик касаются только России, но определяться принадлежность к ней будет не по таблицам маршрутизации, а по географическому признаку.

    Окончательные условия обещают опубликовать 25-го февраля. Но уже сегодня (18.02) на Мастерхост была проведена длительная DDOS атака, вызвавшая частичную неработоспосбность оператора. То ли совпадение, то ли кто-то сильно боится, что серьезные трафикогенерирующие ресурсы окажутся у конкурента.

    Надо сказать, что история провайдинга уже знает пример, когда длительная DDOS атака приводила к разорению и закрытию хостера (британский CloudNine Communications). Как бы интересная инициатива во враждебном окружении не обернулась потерями клиентов...

     


    Кстати сказать, вырисовывается интересная связка. По сообщению газеты "Коммерсант" от 28 января 2003 (перепечатка тут) выходит следующее:
    В ближайшее время правила игры на московском рынке интернет-услуг серьезно изменятся. Один из крупнейших российских провайдеров, ЗАО «Компания "Транстелеком" (ТТК), с этого года пересматривает соглашения с московскими интернет-компаниями. Теперь они будут платить за российский интернет-трафик, проходящий к их серверам через сеть ТТК,— ранее денег за это с них не брали...

    Учитывая давнее партнерство Транстелекома и Мастерхоста, можно представить смысл задуманной комбинации. ТТК - продает. Мастерхост производит, и, что бы делать это в больших масштабах, делится с веб-ресурсами. Красивая схема? По крайней мере новая и интересная - точно. Так что через 1-2 месяца будем подводить итоги, что из нее получилось...

     


    Небольшая ссылка-рассказ про телекоммуникации силиконовой долины. Юмор, конечно, своеобразный. Но читать стоит - приведу фрагмент:
    ... Звонок в 6:30 утра. Hmmm, sorry to wake up you, I'm calling from NY, but our web site is down. Хорошо, включаю комп, еще не успел залогинится, раздается второй звонок. Уже из офиса. Internet is down. Звучит интереснее. Собираюсь, еду, по дороге звонят из ISP, we can not ping your router, is it down? Да вроде нет... до офиса добираюсь окольными путями, т.к. на улице уже неделю чего-то роют, но сегодня там стоит вееесьма здоровый FiberFinder (жаргонное название экскаватора). Yep, он самый...

     


    И еще одна заметка с названием Маниловщина на Руси не умрет. Это о пресс-конференции на CSTB, которую давал директор Федерального центра распределения радио- и телепрограмм (ФЦРТ) Святослав Буняев. Обещал на всей территории России сделать доступным пакет услуг, включающий в себя телевидение, доступ в Интернет и IP-телефонию. Для чего РТРС собирается создать общероссийскую транспортную платформу, которая обеспечит обмен контентом между всеми регионами.

    Далее лучше привести цитату -
    О том, что руководители РТРС совершенно не понимают существа проблемы, говорят, например, такие их высказывания. Для подключения к "универсальной розетке", которая обеспечит получение полного спектра мультимедийных услуг в едином цифровом потоке, предполагается "бесплатно раздавать" потребителям телевизионные коммуникационные приставки (set-top box, STB). Примерную стоимость STB в РТРС определили в $15, что вызвало оживленный смех в зале.

    В общем, вторая "Электронная Россия", никак не меньше. И ведь такие рассказы ложатся в основу планов, под них выделяются деньги (!), за них отчитываются. Непостижимо и безобразно сие...

    Зарисовки узлов провайдеров. Антенны.

    Для начала, несколько интересных фотографий от PPF "Radioprom".

    Биллинги "домашних сетей"

    Это армейская передвижная антенна, тип "Сосна". Планируется использовать ее на 802.11б. ;-)

    А тут показана стойка на крыше одного завода.

    Биллинги "домашних сетей" Биллинги "домашних сетей"

    Стоит это сооружение уже два года. И антенн на нем становится все больше и больше...

     


    Следующий рассказ прислал Михаил. Такая вот антенна живет на даче его друга. Высота - 12,5 метров. Телескопическая, выдвигается системой тросов через рукоятку снизу. Есть шкала высоты подъема. Три яруса поддержки через тросики. Выдержала 2 года эксплуатации без переделок.

    Биллинги "домашних сетей"

    Место установки: Владимирская область, по прямой порядка 90 км от МКАД. Используется для приема телевидения. Билайн и МТС там принимаются без дополнительных антенн, а ближайший интернет-провайдер в 20-25 км, и radioethernet не предоставляет.

    PS. Редуктор у антенны мощный. Первоначально ее продали с неправильно уложенным тросом (продавец еще говорил "трос новый - заменили"). При первой же попытке выдвинуть антенну был легко порван внутренний стальной трос диаметром 4мм.

     


    Ну а следующие фотографии сделаны на пожалуй самом известном в мире высотном здании. Ныне, к сожалению, не существующем (фото прислал Jenix JIM).

    Биллинги "домашних сетей" Биллинги "домашних сетей"

    Биллинги "домашних сетей"

    Все же масштабная картина, что не говори.

    Биллинги "домашних сетей"

    Материал прислал Denis Fedorishenko (Nuclearcat), Ливан.

    Со времени возникновения домашних сетей и перехода многих из них на коммерческую основу прошло много времени. Коаксиал успел смениться витой парой, скорости передачи данных по Ethernet выросли более чем в 100 раз.

    Однако многие новорожденные домашне-сетевые провайдеры по прежнему сталкиваются с избитым вопросом - "какой биллинг взять, как настроить, на чем поставить". Актуален и вопрос доморощенных хакеров, ворующих авторизационные данные и трафик. В данной статье я попытаюсь кратко изложить свои соображения по организации системы авторизации, подсчета трафика, защите от взлома.

    Уровень защиты "железный", или цена дешевизны и простоты.

    Итак начнем от уровня железного, точнее организации самой сети. Наиболее важно в Ethernet то, что данный протокол фактически не подразумевает защиту от злоумышленников, и самое печальное работа сети может быть полностью нарушена спуфингом MAC адресов. Опишу кратко предполагаемую технологию атаки, при условии, что сеть организована на недорогих свитчах.

    Злоумышленник, нелегально подключенный к сети, запускает генератор ARP пакетов, и фальсифицируя MAC адрес важного сервера (например шлюза в сеть Интернет), портит таблицу мак-адресов на коммутаторе. Как минимум, подобными атаками можно нарушить функционирование сети, как максимум - перехватить важные данные (например авторизационные данные для доступа в Интернет). Подобные нападения хорошо описаны в других статьях, и очень часто применяются в домашних сетях.

    Как защититься от атак? Можно применить несколько вариантов защиты, я перечислю те, которые приходят в голову в первую очередь из-за частого использования в реальном провайдинге.

    1. В сети должны находится управляемые коммутаторы, конечно не везде, но они необходимы в больших сетях для возможности их сегментированного отключения. Зачем? При обнаружении атаки, вы можете программно выключая сегменты сети локализовать местоположение нарушителя.

    Для сетей с дефицитом бюджета подходит вариант c наличием доверенных людей на ключевых точках, которые могут произвести отключение неуправляемого коммутатора тумблером питания.

    Из-за особенностей работы Ethernet - это практически единственный способ локализовать нарушителя. Существует гораздо более дорогой вариант, а именно - управляемые коммутаторы имеют возможность закрепления МАК адреса(ов) клиента к порту, однако рентабельность данного способа очень сомнительна.

    2. Коммутаторы должны быть хорошо защищены физически, для исключения нелегального подключения посредством "втыкания" провода в ваш хаб. Если в случае нарушения правил сети нарушителя можно наказать, то в случай с нелегальным подключением гораздо сложнее, нарушитель не связан с вами договором, и не несет материального риска (к примеру не потеряет деньги на счету).

    Уровень программный, единственная надежда домашних сетей.

    Очень многие сети применяют старый, проверенный, но тем не менее ненадежный метод авторизации. В случае его применения сетью задача хакера предельно упрощается, но он удобен для системных администраторов. Подсчет трафика сводится к банальному правилу в firewall, подсчитывающему трафик "с" и "на" определенный IP.

    Так же часто ограничивают работу с этим IP с посторонних MAC-адресов. Простота данного метода подкупает, но небезопасна, и пожалуй подходит исключительно для корпоративных локалок, где можно контролировать манипуляции с клиентскими PC.

    Для данного метода существует множество подпорок, которые усложняют жизнь хакеру, некоторые из них позволяют исключить воровство авторизационных данных. Перечислю и опишу известные мне.

    Дополнительная авторизация через веб-страничку, с вводом логина-пароля. Незначительно усложняет жизнь хакеру, кроме подмены IP/MAC необходимо украсть логин с паролем, что многим "доморощенным" хакерам уже недоступно.

    Тем не менее кража пароля возможна (прослушивание трафика или man-in-the-middle атака с перехватом авторизации). Проблему можно исключить полностью - совершая авторизацию через SSL с сертификатом, в этом случае пользователь должен быть внимателен и проверять сертификат на его правильность. Или же совершая авторизацию специальным ПО, которое пересылает по сети не открытый пароль, а к примеру его MD5 хеш (данная схема может быть реализована на javascript).

    Но опять же, как и все подпорки данная схема остается уязвимой из-за наличия человеческого фактора - возможен перехват авторизации, и замена скрипта безопасной авторизации на небезопасную, внешне похожую, а сообщение о изменении сертификата клиент может на "автомате" упустить.

    Другая очень серьезная опасность работы по "голому" IP - возможность быть взломанным хакером, просканировавшим локальную сеть, если у вас не установлены последние апдейты безопасности и компьютер недостаточно защищен.

    Второй вариант защиты, на мой взгляд более надежный и простой в эксплуатации. Способ авторизации - VPN различного вида. Кажущаяся его сложность обманчива, приведу пример перехода сети работающей по принципу IP+MAC на авторизацию по VPN.

    Существует сервер биллинга, который проверяет соответствие IP/MAC и засчитывает трафик проходящий на клиентский IP. Простейший способ перехода, но требующий дополнительного сервера - установка сервера VPN "перед" сервером старого биллинга. Сервер VPN имеет 2 сетевых карты, одна из которых подключена к сети клиентов, другая к старому биллингу.

    На старом биллинге требуется лишь завернуть роутинг всех клиентских IP на сервер VPN и отключить проверку MAC, клиент получает свой "биллинговый" IP уже на сервере VPN только при условии авторизации через пароль-логин. Для старого сервера это тот же IP трафик, т.е. не требуется делать изменений в биллинге, на VPN сервере - логин, пароль и IP который следует выдать клиенту. По опыту работы, рекомендуется использовать PPPoE, который предназначен именно для авторизации в сети Ethernet.

    В качестве дополнительной рекомендации (в случае использования PPPoE), стоит удалить протокол TCP/IP из свойств сетевой карты, тогда компьютер становится неуязвимым для многих атак из локальной сети (воровство файлов, паролей, нюкание и известные эксплоиты (например DCOM exploit)). Правда теряется возможность работы с "сетевым окружением", но провайдер может компенсировать это установкой рядом с биллинговым сервером "за VPN сервером" бесплатного FTP, где зарегистрированные пользователи смогут обмениваться файлами, которые будут проверяться антивирусом.

    Естественно, найдутся "элементы", не прислушивающиеся к рекомендациям, но в данном случае можно смело говорить - что это сознательное нарушение рекомендаций клиентом, приведшие к взлому оного.

    Вторая рекомендация - включить только авторизацию по CHAP-протоколу, который не передает пароль в открытом виде, и запретить PAP протокол (при котором возможна подмена сервера "ложным", т.е. атака man-in-the-middle), причем сделать это нужно на стороне клиента.

    Кратко о PPPoE

    PPPoE протокол позволяющий подключить сеть (хост) через простое коммутирующее устройство через специальный сервер доступа, где каждый подключенный хост имеет собственный стек (виртуальный канал) PPP, и свой персональный интерфейс (вольный перевод с cisco.com)

    Фактически PPPoE предназначен для того, чтобы облегчить задачу провайдера по управлению доступом и биллингом пользователя, устанавливая при доступе сессию со специальным сервером доступа, подобную диалапу.

    Огромным преимуществом PPPoE является то, что под него существует множество аппаратных решений, в том числе клиентские точки, имеющие встроенный брандмауэр (firewall) и маскарадинг (NAT). Стоимость данных устройств называемых Cable router колеблется около 100 долларов.

    Установка таких решений клиентам, способным себе это позволить, решает множество проблем с настройкой доступа в интернет, и позволяет решить проблемы с безопасностью сетей.

    Более подробную информацию можно прочесть:

    www.faqs.org, www.unixfaq.ru, www.rdtc.ru

    И последняя идея - вариант авторизации. В настоящее время большинство способов базируется на статических популярных методах (пароль-логин, авторизационный ключ) подверженных воровству, в большинстве случаев любые хитрые способы авторизации (даже обмен хешами) содержат в себе статические данные, которые можно украсть или перехватить.

    Логический вывод - данные должны изменяться и по возможности хранится на невзламываемом носителе. Какой самый надежный носитель? Мозг! К примеру клиенту выдается формула - N*456*365/Z. Число N запоминается, формулу можно написать на бумагу.

    Число Z выдается на авторизационной страничку в известном для клиента месте, производя несложные вычисления в уме, он получает результат, который является паролем. Весь фокус в том, что "хеширование" производится в человеческом мозге, и перехват на стадии ввода пароля (кодового числа) почти незвозможен.

    К сожалению, в домашних сетях IQ некоторых клиентов не позволит применить данный метод, однако надеюсь, что авторизация использующая human factor будет востребована.

    Поговорим теперь о конкретных технических решениях, позволяющих использовать PPPoE...

    Ну а продолжение, как водится, в следующем выпуске.

    Анонс

     

    • Нормы пользования сетью, и вообще, нужно ли обучение пользователя перед подключением.
    • По прежнему предполагаются зарисовки узлов разных провайдеров.
    • Еще один способ бороться с вирусами;
    • Издевательство над VDSL, пришлось его в очередной раз перенести;
    • Репортаж о протяжке нами, линка на 176 метров, с использованием ЭликсКабеля.
    • Сети учебных заведений в Германии;
    • Традиционный пункт - ссылки на интересные места Сети. Присылайте письма - они очень нужны для обзоров. Обязательно сообщайте, нужна ли Ваша подпись, ссылка, или лучше обойтись без нее;
    • В "ужастиках" - даже не знаю пока из чего выбрать. Много, и одно другого страшнее.
  • 0 комментариев
    Оставлять комментарии могут только авторизованные пользователи