ISP co nepoužívá VLANy - názor

[zorbon]

Zdravím,
chtěl bych se zeptat, co si myslíte o ISP (relativně velký), který v rámci subnetu nepoužívá VLANy a tak každý z cca 180 koncových zákazníků (hádám, že tak má každý subnet) může skenovat ostatní zařízení. Nehledě na to, že třeba můj NAS si najde jiné smart TV mimo moji síť.
Poskytovatele jsem na to upozornil cca v prosinci, kdy jsem zjistil neobvyklou aktivitu na mém routeru a zkusil tak oskenovat celý rozsah - kromě koncových bodů tam jsou i zařízení onoho ISP jako access pointy, switche a pod. ISP řekl, že se o tom interně pobaví po novém roce, ale zřejmě z toho sešlo a na další mail už neodpovídá.

Myslíte, že to má smysl řešit? A případně jak?

[hapi]

jak si může nas najít smartky když má v cestě router? Nebo ty nemáš doma wifi router v režimu router?

Samozřejmě tento problém nesouvisí s tím jestli používá vlany nebo ne.

[zorbon]

Samozřejmě, že ho mám jako router. Nezkoumal jsem, zda to jsou reálně smart TV, ale dle něčeho je ten NAS identifikoval (konkrétně řady a výrobce). Když se NAS dostane k té síti za mým routerem, tak je otázkou jak jsou nastavené některé koncové routery ostatních zákazníků.

Spíš mi jde o to - proč když se dnes hlavně ve firmách vše dělí na VLANy (LAN,WLAN, quest WLAN, infra,...), že to o to více neplatí u ISP. Přičemž stačí jeden nakažený zákazník a může to postihnout ostatní, kteří mají router od ISP. Nejde mi ani tak o mě - já mám svůj router, aktualizovaný a zabezpečený - ale ostatní.

[Zsir]

To je pak velky riziko poskytovatele, že klasicky zakazník zapojí LAN jako přívodní kabel router a pošle DHCP do sítě a klienti přestanou jet, protože dostanou špatnou IP.
A pokud třeba se jedná o GPON (u nás ZTE), tak stačí zapnout DHCP spoofing a nejenom že prvky na sebe nevidí, ale i jste chraněni proti podvrhování IP adres.

Ale do infrastruktury přesně nevidíš, můžou to mít ošetřené jinak.

[zorbon]

Obávám se, že spíš nemají. Sám majitel mi prve potvrdil, že by si s tím měli něco udělat (že by si i v případě potřeby nechali poradit - ode mě nebo mých kolegů) a že si možné důsledky neuvědomili. Switche tak mají co vím starší Allied-Telesis (zrovna v našem vchodě) a pak Mikrotiky.

[Sidi]

Viděl jsem více sítí a přijde mi to jako běžná praxe ...

[hapi]

já bych řek že smrdí něco jak u ISPíka tak u tebe doma. Jak můžeš vidět cizí smartky? To by ty i ten dotyčnej museli mít routery v bridge a nebo prvně do switche a pak wifi router a ve switchy tvůj nas atd.. nevim, nemá smysl se tím zabejvat.

[newster]

Pokud na těch obyčejných routerech zapneš (nebo v defaultu je zapnuté) UPnP tak na WANu tu televizi vidět můžeš. Hodně lidí mají v routerech vypnuté firewally. Otevřené porty atd.... znám taky takové ISP a je v té síti takový bordel, že to není ani možné. Mám v takové siti připojenou jednu firmu a vše tam šlo raději na VPN.

Když to lidi neumí tak ať to nedělají....

[the.max]

Co když na routeru má puštěné UPnP?

[hapi]

Pokud na těch obyčejných routerech zapneš (nebo v defaultu je zapnuté) UPnP tak na WANu tu televizi vidět můžeš. Hodně lidí mají v routerech vypnuté firewally. Otevřené porty atd.... znám taky takové ISP a je v té síti takový bordel, že to není ani možné. Mám v takové siti připojenou jednu firmu a vše tam šlo raději na VPN.

Když to lidi neumí tak ať to nedělají....

proč by si televize otvírala porty na routeru?

[newster]

Televize ne ale router otevře porty. Mrkni co dělá UPnP. Na všech těch obyčejných routerech TP-Link je UPnP defaultně povolené.

[zorbon]

Ano, 90% routerů jsou TP-Linky (asi 3 modely). Já si vše navenek, kromě VPN tunelu, blokuju.

A víte co je náhoda? Ještě nedávno (v rámci dnů) byl problém ještě aktuální. Dnes jsem přijel, zkusil a již nějaká ochrana funguje (už se na nic nedostanu a po vyčištění cache DLNA serveru na Synology vidím jen svou TV) nebo to blokují jen na mě .

[hocimin1]

Podle toho popisu na zacatku bych to videl asi takto:

Ten tvuj ispik udelal subnet na panelaku napr pro 254 adres /24. No a uz neresi co si tam kdo zapoji, takze pc bez routeru se zapnutym sdilenim slozek, pak nejakou tv a podobne. Pak nekdo pripoji adsl router s vypnutym dhcp serverem a mysli ze ma wifi router, ale ma jen ap a sdili vesle dal.

Takze asi tak nejak, ze vidi ten tvuj nas.

Spicifikuj co mas za router.

To jestli pouziva vlan nebo ne to ty nepoznas ani nemusis vedet. Klidne muze mit jednu vlan pro celej panelak. Ale asi nepouziva chytre switche, nema dhcpsnoop, takze ta sit pujde lehce zborit.

[kadlcikales]

já bych řek že smrdí něco jak u ISPíka tak u tebe doma. Jak můžeš vidět cizí smartky? To by ty i ten dotyčnej museli mít routery v bridge a nebo prvně do switche a pak wifi router a ve switchy tvůj nas atd.. nevim, nemá smysl se tím zabejvat.

Já bych spíše řekl že položil špatně dotaz spíše myslí že si vzal lokální rozahy IP 192.168.0.0/16, 172.16.0.0/12, 172.16.0.0/12 a strefil se do rosahu který použil jeho ISP a protože je to pepa z horní dolní tak je udivenej že našel tisíce Mikrotiků a UBNTček a dalších zařizení

[zorbon]

to hocimin1:
Já mám Ubiquity Router X s Unify AP na POE.

ISP používá /23 subnet (stále jsem v něm - ale k ostatním se už nedostanu jako předtím ani z routeru ani od sebe), když jsem tehdy skenoval tak 160~200 aktivních IP (a ano, jedno PC bylo napřímo). Jedna věc bylo to, že jsem viděl ostatní, ale ta druhá právě to, že jsem viděl infra ISP v tom subnetu (switche, AP, IPTV/DLNA server(y) s mnoha otevřenými porty,...).

to kadlcikales:
Ne, mám svůj vlastní rozsah 192.168.60.X/24 a ISP má za routerem 172.20.22.0/23. Těch infra ISP bylo několik (cca 10), ostatní byly koncový zákazníci s TP-Linky, Asusy s WRT,...