Ответы пользователя по тегу Сетевое оборудование
  • Как настроить NAT на Juniper SRX650?

    @yaror
    10 лет в мобильном телекоме
    А не может ли узел с ip-адресом 192.168.16.1, который для SRX является default gateway, отфутболивать уже прошедший через NAT клиентский трафик?

    И что, кстати видно на SRX, если при попытке запустить пинг наружу выполнить
    show security flow session?

    И, кстати, а вот это - оно зачем?
    pool 192.168.16.0/24 {
    address-range low 192.168.16.186 high 192.168.16.254;
    router {
    192.168.16.1;
    }
    propagate-settings ge-0/0/1.0;
    }
    Ответ написан
  • Ограничение трафика на открытые порты?

    @yaror
    10 лет в мобильном телекоме
    В принципе, если Ваш провайдер готов разделить Ваш канал на два VLAN и настроить в нём QoS таким образом, чтобы каждый VLAN имел некоторую гарантированную полосу, то почему нет?
    Сделать это со стороны провайдера обычно можно, но - лень )

    А ещё есть техническая возможность отсеять DDoS с вашей стороны, однако, для этого придётся либо воспользоваться услугой очистки трафика от провайдера либо специализированной конторы, либо - самый "лобовой" способ - поднять с вашим провайдером BGP + BGP Flowspec.
    Полагаю, коммерческие вопросы обсуждаются обычно отдельно )

    Итак, BGP Flowspec: RFC 5575/7674.
    Если кратко, то BGP Flowspec позволит Вам попросить вышестоящего провайдера даже в автоматическом - важно! - режиме заблокировать входящий трафик, удовлетворяющий некоторым критериям:
    - Source Prefix
    - Destination Prefix
    - IP Protocol
    - Source port/Destination port
    - Packet Length
    и т.д.

    То есть, с помощью стандартного расширения протокола BGP Вы можете попросить Вашего провайдера: "Пожалуйста, не пропускайте в мою сторону UDP-пакеты размерами от 100 до 150 байт с source port из диапазона 1000-2000 и имеющие Source ip address из диапазона 1.2.3.0/24"

    Таким образом - да, трафик, который Вы попросили к Вам не пропускать, умрёт ещё у Вашего провайдера (а может, и у провайдера Вашего провайдера), и Ваш канал перегружен не будет.
    Открытым, конечно, остаётся творческий вопрос "как понять, какой именно трафик следует блокировать" )

    Вероятно, BGP Flowspec есть смысл использовать _совместно_ с разделением канала на два VLAN с гарантированной минимальной полосой: один VLAN для управления и, если понадобится, ручной модификации правил Flowspec, а второй - продуктивный.
    Ответ написан
    Комментировать
  • Варианты блокировка контента на уровне провайдера?

    @yaror
    10 лет в мобильном телекоме
    Уж очень общий вопрос.
    Примерно как "приведите пример автомобиля". Приводим: от Оки до БелАЗа.
    Обычно вопрос более детальный: "На чём можно возить от одного до трёх человек по построенным по ГОСТ дорогам со скоростью до 100 км/ч".

    Или, может быть, в этом вопрос и состоит - оценить возможные масштабы?
    Ну, тогда аналог Оки - это программное, собранное на коленке решение под линукс: iptables + squid + mitmproxy.

    А если нужно что-то операторского класса по надёжности либо пропускной способности (аналог: от полуторки до БелАЗа), можно глянуть на решения:
    - Cisco SCE / ASR5xxx
    - Sandvine
    - Procera
    - Huawei SIG
    - Ericsson SSR
    - Allot
    Ответ написан
    Комментировать
  • Как подключить коммутатор к другому коммутатору?

    @yaror
    10 лет в мобильном телекоме
    Это зависит от того, что там, за Dlink DES-1024A, и как устроена Ваша сеть.
    Вообще, Ваши коммутатору настройке не подлежат: они неуправляемые.

    Если:
    1. Ваши устройства получают ip-адреса по DHCP, и
    2. За Dlink DES-1024A находится Ваш маршрутизатор, эти ip-адреса выдающий любому желающему, и
    3. На Вашем маршутизаторе настроены NAT и политики доступа "Ip-адреса, выдаваемые по DHCP, пускать куда угодно"

    То проблем при каскадном включении "sip-телефон + компьютер" -> D-link DGS-1005A -> Dlink DES-1024A быть не должно.

    Невыполнение любого из этих трёх условий уже потребует что-то делать руками.
    Ответ написан
    1 комментарий
  • Как защититься от опасного роутера?

    @yaror
    10 лет в мобильном телекоме
    Windows голым задом в интернет?
    Он же и ip-маршрутизатор, а брандмауэр (он межсетевой экран, он же файрволл), он же security gateway?
    Мсье знает толк...

    Тогда так:
    1. Какие меры безопасности можно предпринять чтобы не допустить кражи конфиденциальной информации?
    1.1. Завести отдельное устройство для организации стыка с Интернетом. Пусть даже просто сервер с юниксом (OpenWRT/pfSense/m0n0wall), но отдельное.
    1.2. Разделить сеть на непересекающиеся функциональные сегменты:
    - управление оборудованием
    - лица, зашедшие через удалённый доступ
    - основные отделы организации
    - руководство
    - общие ресурсы
    1.3. Уточнить у руководства, кто, откуда и куда должен попадать. Любой иной доступ должен быть закрыт.

    2. Можно ли настроить роутер так, чтобы красть информацию/шпионить за всеми, кто подключается к этому роутеру?
    Любое устройство, через которое проходит трафик, технически способно этот трафик проанализировать, записать - да что угодно с ним сделать: и украсть, и нашпионить.
    Ответ написан
    Комментировать
  • Juniper SRX 100 не видит порты?

    @yaror
    10 лет в мобильном телекоме
    Круто! А в конфиге всё-всё нормально?
    Предлагаю подцепиться COM-портом и посмотреть:
    > show system commit - вдруг кто-то таки что-то менял? Можно будет посмотреть, что и когда.
    > show interface terse - состояние интерфейсов
    > show configuration interface - настройки интерфейсов
    > show log messages - вдруг что-то интересное есть
    Ответ написан
    Комментировать
  • Как оператор сотовой связи понимает, что сим-карта выдаёт интернет на смартфон или на роутер/USB-модем?

    @yaror
    10 лет в мобильном телекоме
    Уже немного обсуждалось здесь:
    Работа роутера?

    Ещё раз повторюсь, немного творчески переработав ответ.
    Детекцию раздачи трафика можно условно разделить на несколько рубежей.

    1. Рубеж первый
    Каждое устройство в сотовой сети в момент регистрации сообщает сети свой IMEI - код устройства, по которому можно однозначно определить модель Вашего устройства.

    Да, нужна база IMEI с device capabilities - описанием того, что это за устройство и что оно умеет. Но она у мобильного оператора уже есть: Вам, когда Вы впервые вставляли сим-карту в новый телефон, прилетали SMS-кой настройки интернета? Настройки у разных производителей немного разные, поэтому надо знать модель абонентского аппарата.

    Получается, что как только ты вставляешь сим-карту в Wi-Fi-роутер, оператор сразу понимает, что это роутер, а значит, он будет раздавать интернет через Wi-Fi.
    Реализация этой технологии оператору обходится совершенно бесплатно.

    2. Второй рубеж: анализ TTL.
    Надо понимать, что на первом рубеже будут отловлены только собственно роутеры, а включенная в настройках телефона точка доступа Wi-Fi оператору не видна.
    Но есть уловка: устройство, раздающее интернет по Wi-Fi, по умолчанию будет уменьшать поле TTL на всех проходящих через него ip-пакетах.
    Зная типичные начальные значения TTL для мобильных платформ, можно реагировать на все прочие значения как сигнал, что здесь где-то притаился Wi-Fi.
    Для реализации этого, оператору уже потребуются дополнительные расходы.
    Понятно, что ставить отдельное устройство для отлова любителей Wi-Fi никто не будет, поэтому обычно этим занимается операторский DPI - комплекс, занимающийся классификацией и "раскраской" абонентского трафика, благодаря которому и становятся возможны, скажем, отдельные условия тарификации социальных сетей.
    Кстати, удивительно, но, во-первых, не все DPI это умеют (Эриксон, вам же стыдно, да?). Во-вторых, те, что умеют, умеют это за отдельные деньги в виде подлежащей покупке лицензии.

    3. Рубеж третий: эвристика
    Тема интересная и увлекательная.
    Да, абонент может поменять IMEI прямо в настройках телефона.
    Да, абонент может перепрошить телефон, чтобы тот не трогал TTL.
    Но, как только хитрых абонентов становится много, оператору становится выгодно вкладываться в расширенный анализ трафика на том же DPI.
    Итак, что можно сделать?
    Ну, сходу:

    3.1. Вы выходите в интернет прямо с телефона через встроенный браузер? Поздравляем, Вы только что в поле User-Agent протокола HTTP рассказали оператору, какая у вас мобильная платформа, и какой версии!
    Как так, с одного устройства оператор видит разные User-Agent, указывающие то на Android, то на Apple? Ребята, да у вас там Wi-Fi!

    3.2. TCP/IP fingerptinting. Разные мобильные платформы (те же Android/Apple) используют разные начальные значения полей в ip-пакетах. Да взять хоть тот же TCP Window size! Анализируя их, можно угадать как минимум производителя платформы. А комбинируя это с тем же анализом по IMEI...
    Ребята, а как так: само устройство у вас от Apple, а значения полей в ip-пакетах характерны для Windows Phone?
    Или почему ваш трафик похож то на Android, то на Blackberry?

    Понятно, что эвристический анализ реализован тем более не на каждом DPI, и за тем более отдельные деньги за лицензию. Да и производительность подобный анализ просаживает очень здорово...
    Однако, технические средства уже есть и, как только они начнут окупаться финансово, оператору становится выгодно их внедрять.
    Ответ написан
    5 комментариев