Как я подключался к "домовой сети" ТТ

Как я подключался к "домовой сети", или "бизнес по-русски"

Сегодня широкополосный доступ в интернет – вещь, нужная многим для работы, учёбы, развлечения. Современные технологии и развитие экономики позволяют сделать соответствующие услуги доступными многим. Вполне логично, что на рынке появилось множество "провайдеров", наперебой предлагающих подключиться к ним и платить деньги за "самый лучший интернет"…

Я уже довольно давно пользуюсь широкополосным доступом в интернет, мне это необходимо для работы. Далеко не во всём удовлетворённый качеством услуг используемого провайдера (ADSL от "ЦентрТелекома"), активно интересуюсь "альтернативными" предложениями. И вот, в августе 2007 г. на подьезде моего дома появилось рекламное объявление от ООО "ТензорТелеком", предлагающее подключиться к их "домовой сети", получить (дословно) "коллективное подключение к Интернету по выделенной оптической линии", "подключение бесплатно" и т. д.

Возможность подключения к этому провайдеру в моём доме (в микрорайоне "Сокол") существовала довольно давно, но была малоинтересна из-за высокой стоимости подключения (наконец-то они догадались привести её в соответствие с рыночными реалиями). Поинтересовавшись тарифами, я решил "на пробу" подключиться и посмотреть на обещанные высокую скорость и т. д. и т. п. – резервное подключение мне в любом случае не помешает, да ещё и "домовая сеть" с "кучей бесплатных ресурсов"…

Итак, 15 августа меня успешно подключили и я начал разбираться, что же я получил. Прежде всего, выяснилось, что DHCP-сервер у провайдера есть и используется, но выдаёт неправильную маску подсети и совсем не выдаёт адрес шлюза. Притом, что для раздачи интернета используется PPTP и собственно сервер PPTP находится не в этой подсети – это, скажем так, странно. Впрочем, не так важно (если провайдеру нравится создавать лишнюю работу собственной техподдержке – это их дело) – после ручной настройки всё заработало. Вопрос в том, как заработало. Типичный пинг до шлюза – порядка 200..400 мс, иногда меньше; скорость "за пределами подсети" - несколько десятков килобайт в секунду. Как выяснилось (что подтвердили администратор и схема оптики на сайте оператора), наш микрорайон подключен по радиоканалу, а оптика только в проекте. Причём маршрутизатор находится за радиолинком. Разумеется, узкий радиоканал в большой сети с бесплатным внутренним трафиком оказался забит. Вспоминаем о вышеописанном рекламном объявлении…

Идём дальше. О том, что же у нас получается хотя бы с "домовой сетью внутри микрорайона". Где (по крайней мере, теоретически – практически проверить мне не дали) только быстрые наземные каналы. А получается следующее. В подсети закончились IP-адреса. Поэтому новым абонентам раздают адреса из новой подсети. Но старым адреса не меняют. Напоминаю, маршрутизатор находится за радиолинком. Т. е. даже если бы на нём была прописана маршрутизация на "старую" подсеть (а это, судя по симптомам, не сделано, т. к. не нужно провайдеру, поскольку "старым" абонентам интернет раздаётся по PPPoE) – для связи внутри микрорайона использовался бы узкий и забитый радиоканал "наружу" со всеми вытекающими гадостями. Да, как оказалось, основной способ обмена файлами между пользователя – с использованием "общего доступа" Windows. А поиск ресурсов – с помощью сетевого сканера (!). "Глобальный" сервер DirectConnect в сети оператора недоступен из-за использования радиолинка (что логично), "локального" нет, только "самодеятельность" абонентов, которая, естественно, живёт в большой "старой" подсети, куда доступа у "новых" абонентов нет…

Вы думаете, это всё? Как бы не так.

Как человек, уже много лет профессионально занимающийся компьютерами вообще и сетевыми технологиями в частности, я заинтересовался тем, как раздаётся интернет в этой "домовой сети". И, увы, мои худшие опасения оправдались. То, что доступ предоставляется по PPPoE/PPTP – это нормально. Но шифрование принудительно выключено. Что тоже нормально. Но только в случае, есть сеть построена на достаточно "умных" и грамотно настроенных управляемых коммутаторах, что позволит обеспечить приемлемую степень защиты от того, что очередной юный кулхакер станет пользоваться интернетом за мой счёт. Поскольку вопрос достаточно серьёзный, я задал его администратору сети и получил ответ (не дословно, пишу по памяти) "у нас такая защита есть, но только на управляемых коммутаторах, и вообще спрашивать лучше не меня" и предложил мне обратиться к другому специалисту.

Для тех, кто не знает технических деталей, краткое пояснение (очень упрощённо). У каждой Ethernet сетевой карты есть уникальный MAC-адрес (и он может изменяться программно). Современные Ethernet-сети строятся с использованием так называемых Ethernet-коммутаторов – многопортовых устройств, пересылающих Ethernet-пакеты на определённые порты в зависимости от MAC-адреса назначения. Возможности Ethernet-коммутатора по максимально поддерживаемому количеству MAC-адресов весьма ограничены (как правило, от 1024 у самых дешёвых до нескольких тысяч у самых "продвинутых"). В случае, если MAC-адрес назначения коммутатору не известен (например, из-за переполнения таблицы MAC-адресов) – пакет отправляется на все порты. Защиты от намеренного переполнения этой таблицы "нехорошим" абонентом путём отправки большого количества пакетов с разными MAC-адресами у неуправляемых коммутаторов нет в принципе, у большинства управляемых коммутаторов есть (но её необходимо включить и правильно настроить). Причём всё это - не секрет, это широко известные факты, причём активно используемые по всему миру в "нехороших" целях.

Что это означает? Это означает, что любой мало-мальски технически грамотный человек (умеющий пользоваться поисковыми системами – вся необходимая документация и программное обеспечение свободно доступны в интернете) имеет возможность, например, "прослушивать" весь трафик, проходящий через Ethernet-коммутатор, к которому он подключен. И, вообще говоря, не только через этот коммутатор. Кроме того, я пока не буду рассматривать более изощрённые "атаки", их слишком много. Возможность "прослушивания" трафика, например, позволяет "видеть" всё, чем занимаются другие пользователи сети, получать копии скачиваемых ими файлов, e-mail, пароли на доступ к различным ресурсам и т. д. и т. п.

Само по себе это неприятно. Но что действительно ненормально – при желании можно получить доступ к интернету за чужой счёт. Без необходимости подключаться к чужому кабелю, взламывать компьютеры провайдера и т. д. и т. п. Не нужно узнавать чужой пароль, не требуется даже взламывать используемую схему аутентификации – достаточно формировать Ethernet-пакеты на основе информации, полученной «прослушкой» трафика других пользователей (шифрация не используется, вся нужное передаётся в открытом виде). Что самое противное – "поймать за руку" нарушителя очень сложно и трудоёмко, а напрямую страдает от его деятельности не провайдер, а обычные пользователи (у которых будут возникать вопросы типа "когда это я столько накачал?"). Лично меня такое не устраивает, я не собираюсь платить за то, что кто-то будет пользоваться интернетом за мой счёт, причём по вине провайдера.

Итак, 23 августа я отправил e-mail с этим вопросом в техподдержку. Сначала меня не поняли (или сделали вид, что не поняли) и предложили включить "безопасную передачу пароля". Когда я ещё раз разжевал суть проблемы, получил ответ (дословно):
"Работы по улучшению безопасности ведутся, однако таких случаев, насаколько мне известно еще не было, ввиду некоторой сложности процедуры. Шифрования трафика, безусловно, будет рано или поздно внедрено."
(авторская орфография сохранена).
Поскольку, естественно, ответ в духе "рано или поздно" меня не удовлетворил, в следующем e-mail я пообещал, что, если проблема не будет решена до 1 сентября 2007 г., я широко разрекламирую факт её наличия в их сети. Я получил ещё одно письмо с вопросом (дословно) "а смысл?". И пояснил, что это, как сожалению, единственный работающий способ воздействия на поставщиков небезопасных продуктов/услуг. Вечером того же дня я обнаружил, что связь по Ethernet с "домовой сетью" пропала. На вполне логичный вопрос администратору "почему" я получил ответ (дословно) "Вас отключили по распоряжению руководства". На вопрос о причине мне предложили позвонить этому самому начальству, которое отправило меня звонить лично их генеральному директору (!). Который отказался сообщить мне формальную причину отключения (и я, и он прекрасно понимают, что это отключение – нарушение действующего договора) и рассказал мне, что я "не прав" потому, что строить безопасную сеть слишком дорого (!)...

Напоследок. На мою официальную претензию ответ до сих пор не получен (впрочем, формально у них ещё есть на это время), соответственно, остаток с лицевого счёта мне до сих пор не вернули. Причём я даже не могу посмотреть в системе УЛС (кстати, жутко неудобной) точную сумму этого самого остатка, т. к. доступ мне туда тоже был заблокирован. И ещё они предложили вернуть мне даже не остаток, а весь внесённый аванс в обмен на документы о том, что я действительно был к ним подключен (!). Разумеется, я отказался.

Я думаю, прочитавшие это уже сделали для себя выводы о "профессионализме", "грамотности", "заботе об интересах абонентов" и попросту соблюдении договора этим "провайдером". Как ни печально, всё написанное здесь – правда…

О продолжении истории я расскажу, когда в ней появится что-то новое (например, ответ на мою претензию или его отсутствие в установленный законом срок).

Если у Тензора ,допустим, такая хрень, то как обстоят дела у других провайдеров?

У Корбины выключено..

Ну почему отключили -- понятно.
Как там в Крепком Орешке 4.0?

"Этот чел с ноута за несколько минут взломал сеть ПВО, вы думаете я ВАС боюсь?"

void
По моему ты просто в пустую тратишь свое время, что судиться будешь? ))) Это бесполезно. Не нравится то лучше просто не пользуйся их услугами.

он просто пытаеццо подначить какого-нить юного кулхацкера на вышеописанные действия.
что и приведёт к решению этой проблемы. через некоторое время, конечно.

Это реклама ООО "ТензорТелеком", потому что для рекламы хорошо любое упоминание, кроме некролога.

Вспомнился анекдот про киллера на велосипеде...

void

не понял.. ты общался с директором тензора или хозяином локальной сети ?
в самом тензортелекоме руководство вроде бы вполне адекватное..

тензор в топку !!!

Знаю только про ЦТК - у них нормальное управляемое оборудование, за чужой счёт не попользуешься. Что у других операторов - не в курсе, не сталкивался. Но подозреваю, что тоже далеко не шоколадно...

Да, возможно, я действительно впустую трачу своё время. Но за отключение меня от сети в нарушение договора я намерен заставить их ответить, при необходимости - в суде. Это вопрос принципа (хотя и деньги они мне ещё не вернули).

К сожалению, это единственный работающий способ заставить поставщиков небезопасных продуктов/услуг исправить недоработки. И это - общепринятая практика. Против которой, естественно, выступают эти самые поставщики. Почитайте, например, http://en.wikipedia.org/wiki/Full_disclosure (на английском)

Именно так. Их ген. директор мне так и написал (уже после отключения) - дословно "Реклама нам не помешает!".

Кто-нибудь может мне объяснить, зачем они меня отключили? Явное и намеренное нарушение договора. В суд захотелось сходить? Или создать у меня желание нарисовать официальные жалобы в гос. организации по защите прав потребителей, надзору и т. д. и т. п.?

Я подробно и аккуратно всё расписал - о причинах отключения я общался по телефону с г-ном Ярцевым, ген. директором ООО "ТензорТелеком".

Я тоже думал, что руководство у них адекватное.