adsl club

Справочник

Форум

Программы

Фильмы

Ресурсы

Файлообмен

Хостинг

Ростелеком
 
"Дыра" в системе безопасности при настройке бриджа с параметрами 0/35 (либо подключенным к IPTV), в случае некорректной настройки ДСЛАМа на АТС

"Дыра" в системе безопасности при настройке бриджа с параметрами 0/35 (либо подключенным к IPTV), в случае некорректной настройки ДСЛАМа на АТС.

Дата публикации: Tuesday, 26 December, 2006, 00:15; Просмотров: 5704
Внимание! При установке на АТС некорректных  настроек ДСЛАМов (принимающий АДСЛ модем на АТС) возможна ситуация, когда через настроенный бриджем (мостом) слот в модеме (VPI/ VCI  0/35) с настройками 0/35 к Вашему модему и компьютеру смогут получить доступ другие пользователи "находящиеся на Вашей АТС".
"Дырой в безопасности" служит именно бридж соединение с настройками 0/35. Внимание! Это может быть как бриджем настроенный модем для выхода в интернет, а так же и подключение к настроенному роутером модему IPTV (которое как известно настраивается в Новосибирске бриджем).

Для более иллюстративного описание вопроса позволю себе привести свою цитату из форума АДСЛ клуба:


При некорректной настройке на ДСЛАМЕ и при ситуации когда у Вас на модеме есть бридж 0/35 (даже если PVC 1 настроен роутером, но Вам подключили ИПТВ) у Вас получается ДЫРА в модем.
Т.е. происходит следующее, - некий пользователь включая модем тоже пытается получить IP 192.168.1.2 как и вы. При этом при попытке подключения или процессе серфинга вы видите сообщение о конфликте ИП адресов. Или при попытке захода некоего пользователя в админскую часть своего модема, его, например, кидает на адрес вашего модема, - ведь бридж делает для него ваш комп как бы просто локальной сеткой. И если комп не защищен то расшарить его пара пустяков. Если в модеме не сменен пароль по умолчанию то можно зайдя в него (в ваш модем) ввести свой пароль и тогда Вы не получите к нему доступ (если не сбросить к заводским) а тот гаврик сможет прописать Ваш модем шлюзом и получать инет за Ваш счет.


Итак...

Каковы характерные симптомы данной проблемы?
1. Невозможность зайти в админку модема (непринятие пароля, при условии, что Вы его точно помните) или заход не в тот интерфейс (в другой модем)
Или ситуация когда Вы  заходите в модем , но видите не те настройки, которые делали сами.
2.  Появление сообщения что имеется конфликт IP адресов
3.  Появление неизвестных доселе рабочих групп в сетевом окружении.

Чем это может грозить пользователю?
Например, непорядочные пользователи смогут прописать шлюзом чужой модем и выходить в интернет за "его счет".
Кроме того, если Вы так и не удосужились сменить пароль на модеме, а оставили его тем который был по умолчанию, то введя такой пароль, в систему управления Вашего модема сможет зайти злоумышленник и минимум сменить пароль  входа в систему управления модемом, а максимум... ну вообщем хватит и минимума.
Может быть и вовсе анекдотическая ситуация. Например, есть два человека у которых одинаковые модемы (с одинаковой прошивкой и с одинаковым меню). И есть вышеописанная проблема (и конечно большинство не сменило пароли в админке). Заходит человек казалось бы в свою админку и смотрит - а ведь настройки то не те (на самом деле его конечно перекинуло в админку чужого модема). И начинает все менять по своему и еще и пароль со страху меняет в админке и (самое страшное) на всякий случай берет и перенастраивает PVC 1 (для выхода в интернет). Он конечно вводит еще раз свой логин и пароль и облегченно успокаивается. В это время другой пользователь просто не может войти в админку (если он вообще туда ходит), но выходит в инет абсолютно нормально, но уже под логином и паролем того товарища, который менял настройки. И потом тот товарищ не может понять как же так, откуда у него такой счет за Вебстрим? 

Решение
Само собой главное решение - специалистам СТК не нужно делать ошибок в настройках.
Но все же если вышеописанные симптомы у Вас есть то Вам необходимо (пока специалисты СТК не сделали корректную настройку на ДСЛАМе)
а) Уудалить бридж на 0/35 (или если не удаляется, то переназначить его, поставив некорректные параметры, -  например, 0/39). Естественно сам бридж уже работать не будет или не будет работать ИПТВ. Но зато вы получите безопасность.
б) Если зайти в модем не получается, то нужно отключить модем от телефонной линии (оставив подключение к компьютеру) (чтобы он не ходил на чужой 192...) при этом сеть на компьютере должна быть включена. После этого заходите в настройки модема введя http://192.168.1.1/. Вас должны зайти в админку именно вашего модема. Но если некто  уже изменил пароль на вход в  ваш модем (т.е. вы не можете войти - пароль не принимает), то сбрасывайте модем к заводским настройкам и настраивайте заново.
в) После этого срочно!!! (чтобы не допустить ситуации когда с вашим логином и паролем будут ходить в интернет чужие люди.)
идите на  http://service.sibnet.ru/  и в Утилитах меняйте пароль на доступ по PPPoE  и заодно к заходу в статистику. Затем при настройке модема в режиме роутера вводите уже новые значения пароля.
г)  Напишите в личное сообщение (с описанием проблемы) пользователю А. Игнатенко на форуме техподдержки СТК.
д) Звоните по телефону 062 и обрисуйте им проблему.
е) Включайте соединение бриджем на 0/35 только если уверены что проблема на уровне АТС разрешена.
И помните настройка модема бриджем - это само по себе очень опасно. Если Вы не умеете конечно настраивать файрвол. Настройка модема роутером при праильной настройке гораздо безопаснее.

  PS. Правда можно решить данную проблему и не прибегая к отключению/ блокированию бриджа на 0/35.
Можно сделать мак фильтр для бриджа 0/35, чтобы пропускались только пакеты со своего компьютера а не с чужого. Но пока что известно, что такой фильтр можно сделать для модемов Acorp, по другим модемам информации нет. Когда будет готова инструкция по настройке мак фильтра для бриджа 0/35, мы сразу же ознакомим сне всех желающих.

Кроме того, возможен еще такой вариант решения проблемы.
В настройках сети меняем существующие значения на
IP модема меняем на 192.168.X.1 маска 255.255.255.0
IP компьютера  на 192.168.X.2 маска 255.255.255.0
где X произвольное число 2-254
Правда, если два конфликтующих пользователя введут одинаковые значения,  то конфликта опять не избежать. Так, что если Вы решаете вопрос таким методом то помните, что вероятность  совпадения изменяется по закону нормального распределения. Иными словами лучше ставить чсила от 80 до 150.


Автор: hex (отдельное спасибо BorPas-у)