socdef Цитата: А на письма их техподдержка, имхо, принципиально не отвечает, а может быть, даже и не читает,
Что значит принципиально не отвечают??? Я им, что враг, или достал их, или вопросы глупые задаю (хотя, это право каждого клиента), или в долг у них беру? Это самый прямой путь к потере своего лица и клиентов. К слову сказать по Dialup МТУ, всегда отвечала тех. поддержка.
XMMS Цитата: никак... ты согласился с фильтрацией трафика при заключении договора.
Я согласился, может быть, с фильтрацией, а не с закрытием порта 21 на моей локальной машине. При чём здесь фильтрация? Я тебе говорю, мне нужен 21 порт, чтобы просто запустить ФТП - сервер, а он не работает. Зачем мне тогда на моём локальном комп. 21 порт? И зачем мне тогда такая фильтрация? И от каких - таких эксплойтов они фильтруют 21 порт?
Поэтому я сразу и сказал, что это уже не фильтрация, а простыми словами закрытие порта на локальной машине. А ты мне начинаешь про фильтрацию рассказывать. А, что означает эта "фильтрация" уже понятно, но с фильтрацией во благо пользователей, а не ущемления их, это не имеет ничего общего, а именно:
Стрим: Сколько дыр в решете
Клиенты "МТУ-Интел", пользующиеся услугами ADSL-доступа в Москве ("Стрим"), получили в конце июня новость: компания решила ввести фильтрацию входящего трафика по портам TCP 21, 23, 69, 80, 8080, 254, 255, 161, UDP 69, 161.
Те, кто разбирается в сетевых технологиях, сразу заподозрили неладное: список портов явно указывает на запрет установки серверных ресурсов у клиентов (несмотря на динамический IP-адрес это вполне реально с применением служб динамических DNS) и удаленного управления компьютером. Тем более что "Стрим" выгодно отличается от районных Ethernet-сетей именно "чистым" каналом с реальным адресом. Один из наших читателей даже прислал в редакцию открытое письмо, адресованное "МТУ-Интел". В связи с этими событиями мы решили задать компании несколько не самых приятных вопросов, на которые нам весьма оперативно ответил начальник отдела рекламы и информации "МТУ-Интел" Артур Алекперов.
- Для чего МТУ прикрывается заботой о пользователях, решая совершенно другую задачу?
- Мы не прикрываемся заботой о пользователях, а решаем технические проблемы. Сейчас услуга "Стрим" рассчитана на подключение абонентского оборудования (ADSL-модема) в режим бриджа и установку сессии PPPoE на абонентском компьютере. В то же время не секрет, что многие абонентские ADSL-модемы поддерживают режим работы в качестве маршрутизатора. Преимущества такого режима очевидны - можно одновременно подключить к Интернету несколько компьютеров и часть бытовой техники через один канал. Недостатки же чаще видны со стороны провайдера. Прежде всего, это более сложная конфигурация такого режима на ADSL-модеме, требующая определенной квалификации и опыта работы в публичных IP-сетях. И вдвойне большая квалификация необходима, чтобы осуществлять поддержку такой конфигурации по телефону.
В настоящий момент мы не запрещаем установку абонентского модема в режим маршрутизатора, но и не можем осуществлять поддержку такой конфигурации. Еще недавно можно было пройтись по сетям, из которых выдаются IP-адреса для PPPoE-подключений, и на каждом десятом адресе увидеть веб-сервер или телнет-доступ абонентского модема с широко известными логинами и паролями из установок по умолчанию. Можно было бы закрыть на это глаза, но именно на этом устройстве хранится логин и пароль для PPPoE-доступа в сеть, и он становится доступен фактически любому. И это кроме специфических уязвимостей конкретных моделей ADSL-маршрутизаторов.
Вот эти проблемы мы и хотим закрыть введением дополнительной фильтрации. Решение далось нам нелегко, но в данной ситуации оно было необходимо. В то же время мы не видим нужды в излишней фильтрации абонентского трафика, оно не выгодно ни абонентам, ни провайдерам. Поэтому мы ведем некоторые работы, с тем чтобы у абонента была возможность выбрать уровень фильтрации со стороны провайдера.
В первом приближении это могло бы выглядеть как три уровня фильтров:
* первый, безусловный, снять который мы себе позволить не можем. Яркий пример - SMTP-трафик на 25-м порту TCP. Бесконтрольная установка почтовых серверов на абонентской стороне порой ведет к блокировке всего почтового трафика, проходящего через наши серверы посредством разнообразных черных списков. Не говоря уже о лавинообразном росте транзитного спама;
* второй, текущий общеупотребительный, куда можно было бы включить популярные троянские порты, естественные уязвимости операционных систем и прочие порты, популярные для так называемого сетевого шума;
* третий, по умолчанию, куда попадает все вышеописанное + характерные уязвимости клиентского оборудования (это, собственно, та фильтрация, которую мы ввели на данный момент).
Выбирать фильтры второго или третьего уровня, наверное, можно будет в личном кабинете.
- Что мешает внедрить систему фильтрации трафика, настраиваемой пользователем?
- Неготовность технических средств, это большой объем работы.
- Рассматривался ли компанией вариант изменения оплаты услуг, например, с учетом исходящего трафика?
- Мы не решаем вопросов блокирования серверов на абонентской стороне. Наоборот, только этому рады. Но в данной ситуации нам, к сожалению, пришлось пойти по пути временной блокировки.
- Затронет ли эта мера корпоративных пользователей услуг ADSL от МТУ?
- Нет, такая услуга по определению предполагает наличие на абонентской стороне маршрутизатора и квалифицированного персонала для его настройки.
- Собирается ли МТУ бороться с действительно вредным трафиком на портах TCP 135, 139 и 445?
- Такая фильтрация введена уже давно. Единственное, что она была выполнена на уровне входа в сеть и пакеты от абонентов той же услуги не фильтровались. Сейчас уровень фильтрации продвинут до абонентского порта.
- Пытались ли вы исследовать, какой процент пользователей услуги "Стрим" использует канал для подключения серверных ресурсов? Каковы могут быть убытки компании от подобного использования "Стрима"?
- Нет, это не представляет интереса. Убытков никаких, сплошная прибыль, нам выгодно, чтобы оба направления каналов загружались равномерно.
- Понимают ли специалисты МТУ, что существуют технологии обхода вводимых ограничений?
- Да, и мы очень надеемся, что квалифицированная часть пользователей, которая содержит такие серверы, просто передвинет их на другие порты, не затронутые фильтрацией. Мы очень сожалеем, что вендоры клиентских модемов сделали основным режимом их конфигурации HTTP на порту 80/TCP.
k00L Haцker, блин... 