ako zabranit neopravnenemu zdielaniu pripojenia

[emel]

Zdravim vospolok,

potreboval by som radu ako zabranit neopravnenemu zdielaniu internetoveho pripojenia.

Popis situacie: Klient je pripojeny k CCR1009, ktore robi NAT a routing internej siete do Internetu. Verejna IP adresa je na jednom z interfacov CCRka, ale to asi nie je podstatne. Klient je na 192.168.1.0/29 sieti. Tento rozsah dostane klient cez DHCP na svoje zariadenie.

Problem: Ako zabranit neopravnenemu pripojeniu. Napr. aby klient mohol pripojit svoj WiFi router a teda ma konektivitu na kabli aj na WiFi, ale aby napr. pri pripojeni dalsieho routra uz internet nebol pouzitelny.

Ako by ste toto riesili? Mne napadlo na CCR nastavit hodnotu TTL na 2 smerom k zakaznikovi. Idea je taka, ze paket k nemu by presiel, ale ak by pripojil dalsi router, ten by uz paket na zaklade TTL zahodil. Pripadne pouzit PPPoE server, kde by na strane servera bolo nastavene aj one-session-per-host: yes (neviem, ci by to zabranilo zdielaniu pripojenia, keby legitimny klient prezradil svoje udaje inemu, neopravnenemu klientovi)

Akekolvek ine/lepsie napady su viac nez vitane

[ludvik]

Co mu zabrání si TTL na svém routeru zase zvýšit?

Troufám si tvrdit, že řešení neexistuje.

[emel]

jedine to, ze je predpoklad, ze klient nebude natolko technicky zdatny

[K3NY]

trosku nerozumim otazce, ale zkusim si odpovedet sam. sit /29 je interni a kazdy klient dostane jedno privatni IP, ne cely rozsah /29. Moznosti jak povoli pouze jedno IP, nebo sit (to uz nehraje moc roli) per klient je hned nekolik
1. firewall -> konkretni adresa/sit = konkretni ifce
2. ukladani MAC adres klienta -> asi nejjednodussi cesta pres ARP, nevyhoda je ze pokud vymeni zarizeni budes muset zasahnout
3. pppoe -> per klient
4. vlan/bridge -> DHCP pouze na bridge a porty s klienty jsou v bridge, ostatni jsou mimo tento bridge takze IP nedostanou a ani se neodroutuji
5. NAT per klient -> kazdy ma svuj separatni preklad, ne sit jako celek
takhle by se asi dalo pokracovat hodne dlouho, takze zalezi na tobe co si vyberes

[ludvik]

A všechno co jsi napsal lze obejít routerem s NATkou ....

[Matess]

zakazanim v obchodnich podminkach a vysokou pokutou.

[emel]

Vdaka K3NY, ta siet /29 bola len ako priklad. Je mozne pouzit aj /30, ale to tiez neriesi situaciu (je jedno aka velka bude siet), kedze klient=1 bytova jednotka, si moze pripojit svoj router (a na 100% si ho aj pripoji, uz len kvoli moznosti vyuzivat WiFi vramci svojho bytu).
Ide o to, ako (ak je to vobec technicky mozne) zabranit aby svoju internetovu konektivitu neposkytoval dalej (napr. susedovi po kabli, ak by kabel zapojil svojho LAN portu a druhy koniec do WAN portu susedovho routra) Tam by za predpokladu nie velkej technickej zdatnosti a pouziti lacnych routrov malo podla mna obmedzenie TTL zmysel.

[emel]

zakazanim v obchodnich podminkach a vysokou pokutou.

To je sice pekne, ale ako to klientovi dokazes? Ak sa jedna o noveho klienta, nepoznas jeho typicky denny/tyzdenny/mesacny prenos dat, cize nevies posudit, ci to preniesol sam, alebo sa s niekym delil...

[cerva]

Technicky není možné jednoznačně odlišit větší/nestandardní síť jedné domácnosti a více domácností při sdílení konektu. Můžeš detekovat nestandardní provoz (různá odchozí TTL, počty spojení, vytížení, ..), můžeš udělat pár obstrukcí (TTL 1 na zákaznickém routeru), ale to je tak vše. Pokud máš podezření, můžeš poslat výhružný dopis a zákazník se možná vzpamatuje. Do VOP samozřejmě zákaz pod pokutou.

BTW: Některé modely Tendy zvyšují TTL do LAN na 255 tak nějak by default : -)

[rsaf]

Základ je dát si to do VOP s nějakou pokutou a možností okamžitého přerušení poskytování služby. Když zjistíš, že někdo sdílí, tak ho prostě střihneš a jeho "zákazníci" pak třeba přijdou sami Máš taky páku aby si takový vykuk nestěžoval, že mu to nejede jako garantovaná linka...
Další kroky jsou rozumná cenotvorba (mít "tarif pro každého") aby to lidi nelákalo a mít vstřícný přístup k zákazníkovi (kvůli 100kč/měs nepůjde od providera se kterým je spojen k překupníkovi).
A pak prostě neřešit kraviny - jestli budeš mít v tisícovce zákazníků 10, kteří to budou sdílet pro další 2-3 tak tě to prostě nezabije.

[Matess]

meli jsme na siti jednoho takoveho vykuka ktery to prodaval spouste dalsi rodin. Dostalo do stavu ze nas lidi sami volali ze mam internet od toho a toho a nefunguje mi router a muzete mi ho vymenit? Potom k nemu prijdete a udelate tracert a ejhle to je nase sit... Kolega se na to zameril a podarilo se mu odposlechnout komunikaci a padaly z toho desitky icq cisel, ruzne emaily atp... potom stacilo pres tyto emaily par takovych kontaktovat a uz to jelo...

[Gemb]

Neporadim ti priamo ako zabranit zdielaniu avsak poviem ti co sme spravili v jednom pripade. Kolega siel na servis "zakaznikovi 1". Tento zakaznik mal od nas internet, jeden z nizsich tarifov. Servis sa vykonal (dajake zle poe ci daco) a bolo vybavene. Kolega prisiel naspat na firmu s tym, ze zakaznik tam ma dajaky FTP preves dalej do ineho baraku. V tom momente sa ozval "zakaznik2" ktory mal rovnaku adresu ako tento. Tak sa tam islo na servis. Kolega prisiel,pozera riesi...ale ved vy od nas internet nemate, sused vedla ma. Ze to je jedno jemu to nejde...aby to vyriesil. No aka drzost V tom momente sa prislo "zakaznikovi 1" - pocuvaj zdielas tu net, tvoj sused si nas zavola este drzo na servis. Moznosti su dve. Bud za tie 4 roky co mas od nas net zaplatis tolko a tolko pokutu (uvedene vo VOP) alebo to spravime po dobrom, nechame to tak ale tvoj sused si da od nas net. Aj tak bolo, dal si net a mal si dvoch ludi.

AKo narovinu. Ludia budu zdielat, pokial zdielaju cez stenu baraku jednu wifi, nech zdielaju to mi az tak nevadi. Pokial si ale drzo natiahnu kabel, spravia previs alebo v advanced pripadoch namontuju na strechu omnitik tak po takych sa ide. Bud po dobrom alebo po zlom.

[rsaf]

Jasně, ale někde v bytovce to takhle neodhalíš. Leda při servise že mu tam bliká nějak moc portů...

Ale na druhou stranu jsme měli i poctivě platícího zákazníka kterému několik měsíců doma nefungoval wifi router a byl připojený na sousedovu wifi (asi mu někdy řekl heslo) - ale platil

[zubodravec]

Muzes na zakaznika zkusit hrozbu pokuty, trestniho stihani.
1) upravit starsi hlasku od IP-echelon aby to sedelo na zakaznikovu adresu, a kontaktovat ho ze tady mas hlaseni o sireni SW ktery podleha dusevnimu vlastictvi. Bude tvrdti ze nic nestahuje a ty mu naznacis ze to muze byt nekdo jiny.
2) cekat az ti prijde nejaka zadost od Policie (ci je ip, uzivatele, adresu - a kdyz jeto IP NAT cele site, muzes s zadosti pracovat), a opet muzes tvrdit ze zatim je jednim z podezrelych, ale ze to jeste analyzujete.

Vyvolat v uzivateli neprijemny pocit, ze si zadelava na zbytecne problemy, trravi tim vice casu nez je zdravu, prestane se citit komforme, kdyz sdili neopravnene internet.

Pozor je to ciste obecna rada, aby tady nezcal nekdokamenovat ze Policie ma mlcenlivost a s tim Echolonem je jinak.

Zdravim vospolok,

potreboval by som radu ako zabranit neopravnenemu zdielaniu internetoveho pripojenia.

Popis situacie: Klient je pripojeny k CCR1009, ktore robi NAT a routing internej siete do Internetu. Verejna IP adresa je na jednom z interfacov CCRka, ale to asi nie je podstatne. Klient je na 192.168.1.0/29 sieti. Tento rozsah dostane klient cez DHCP na svoje zariadenie.

Problem: Ako zabranit neopravnenemu pripojeniu. Napr. aby klient mohol pripojit svoj WiFi router a teda ma konektivitu na kabli aj na WiFi, ale aby napr. pri pripojeni dalsieho routra uz internet nebol pouzitelny.

Ako by ste toto riesili? Mne napadlo na CCR nastavit hodnotu TTL na 2 smerom k zakaznikovi. Idea je taka, ze paket k nemu by presiel, ale ak by pripojil dalsi router, ten by uz paket na zaklade TTL zahodil. Pripadne pouzit PPPoE server, kde by na strane servera bolo nastavene aj one-session-per-host: yes (neviem, ci by to zabranilo zdielaniu pripojenia, keby legitimny klient prezradil svoje udaje inemu, neopravnenemu klientovi)

Akekolvek ine/lepsie napady su viac nez vitane

[hapi]

a jak ta tvoje rada zjistí sdílení internetu? případně tomu zabrání? Ty už popisuješ to co následuje potom ale jak na takového člověka přijdeš případně tuhle cestu znesnadníš?