Krotkie szkolenie z modemow kablowych

212.33.80.* napisał:

Miało być w wątku ekstremalny tweaking ale jakoś mi nie wyszło i wskoczyło jako oddzielny wątek - wybaczcie :-)
Tak czytam to i czytam od jakiegos czasu i wtrące swoje 3 grosze:
Wszystkie informacje na temat technologii modemów kablowych i ogólnie transmisji danych w standardzie DOCSIS są dostępne w specyfikacji standardu na stronie www.cablelabs.com. Ale ku szkoleniu krótki kurs:
Modem po dostrojeniu się od strony RF wysyła żądanie DHCP REQUEST na które dostaje odpowiedź od serwera dhcp operatora kablowego.
W pakiecie dhcp jest informacja o adresie serwera tftp i nazwie pliku który modem ma pobrac. Te wszystkie przeboje były możliwe z dwóch powodów:
- software na modemach nie był do końca zgodny ze standardem DOCSIS, a standard mówi, że modem NIE MOŻE wysyłać żadnych
requestów po interfejsie innym niż CABLE.;
- operatorzy nie stosowali czegoś co sie nazywa BPI - otóż to taki wynalazek który działa następująco: przy generowniu pliku jest używany klucz który "szyfruje" plik. Ten sam klucz jest umieszczony na kontrolerze modemów. Po zakończeniu logowania modem wysyła to co wyciągnął jako hash z pliku do kontrolera - kontroler porównuje to z tym co uzyska po kodowaniu pliku kluczem który ma u siebie - jak sie zgadza modem dostaje autoryzacje - jak sie nie zgadza - modem WON :-)
Wiec jak sie nie ma klucza szyfrującego to NAWET jak sie ma stary soft to
i tak nie zadziała z braku zgodnosci efektów szyfrowania. A zdobycie tego klucza to cud ....a i zmiana jego to max 15 minut pracy dla całej sieci.

Software producenci poprawili, operatorzy uruchomili BPI i wszystko zaczyna dzialac tak jak trzeba czyli abonent nie może nic zmienic :-)
Gdybyscie sie zapoznali ze standardem DOCSIS to widac tam podejscie twórców:
1 - nie ufaj użytkownikowi i nie zakładaj ze jest idiotą;
2 - patrz punkt 1

Informacje na temat BPI nie do końca są dokładne bo wymaga to sporo informacji aby przekazac co i jak
Pozdrawiam z drugiej strony barykady :-)

62.141.193.* napisał:

No tak... rzeczywiście bardzo krótki wykład... może nawet zbyt krótki... Jeśli jesteś z drugiej strony barykady (jak mniemam Pan Admin) to ja się bardzo z tego faktu cieszę, bo masz spore braki w wiedzy. Bez urazy... nie mam zamiaru Cię obrażać, a tylko wykazać podstawowe błędy w Twoim "szkoleniu" . I tak:

Pomijając specyfikację docsis czy eurodocsis (za dużo pisania, a i tak niewiele osób jest zainteresowanych dogłębnym zbadaniem tego tematu),
modem na wstępie wysyła pakiet rozgłoszeniowy DHCP DISCOVER a nie REQUEST, a to jest różnica. Odbywa się to z adresu 0.0.0.0 ==> 255.255.255.255 czyli do wszystkich. Odpowiedzieć może DOWOLNY serwer DHCP. Nikt nie powiedział, że w sieci może być tylko jeden taki host . Co z tego wynika? Mam nadzieję, że odpowiedź jest oczywista. Wystarczy dwóch użytkowników, dwa komputery i dwa modemy i.... trochę zabawy z ustawieniami IP, ale to raczej nie sprawi większych trudności nawet userowi, którego wiedza o sieciach jest na poziomie średnim. Trochę kłopotów może sprawić konfiguracja serwera DHCP i TFTP. Niestety te usługi są dostępne tylko w linuxie, Windows NT i Windows .Net Serwer 2003, ponieważ te typowo sftwarowe są raczej mizerne, przynajmniej te, które znam. Ale jak komuś bardzo zależy... zrobi wiele. W tym wypadku na nic się zdadzą Routery CMTS, kodowanie plików, czy blokowanie interfejsów USB i ETHERNET w modemie. Po załadowaniu configu (standardowy dla docsis sprawdza się w 100%) zostaje już tylko zmiana ustawień IP na auto, albo na te od ISP i to w zasadzie wszystko. Czasami dla pewności warto troszkę zfloodować serwer DHCP ISP, ale nie jest to konieczne, bo i tak wysyła on całą masę pakietów ARP, więc jest mało prawdopodobne, że pierwszy odpowie na DISCOVER modemu. Oczywiście przed floodem wypada zmienić sobie MAC i wywlec jakiś inny IP z serwera DHCP. Ofkoz MAC musi być zarejestrowany (banał - jest tyle softu do skanowania sieci, że ciężko się zdecydować który lepszy), a komputer podpięty do tegoż modemu wyłączony. Celowo znacznie upraszczam cały opis żeby nie prowokować potencjalnych chętnych do "tuningu" własnego modemu. Kolejna sprawa to SNMP, który całkowicie pominąłeś. Osławione community string sprawiające tyle kłopotów userom. Panowie Admini, żenada. Prosta zmiana ustawień IP, zwykłe polecenie "tftp -i xxx.xxx.xxx.xxx get nazwa configu" i to wszystko. A w pliczku coż widzimy??? Ano wszystkie snmp_mib_object jak na dłoni z community string read & write na czele. To ma być zabezpieczenie??? snmp_mib_object 1.3.6.1.2.1.69.1.2.1.6.2 = string "" również nie pomoże, bo nie można niczego zmienić we własnym modemie ale po CABLE można. Tak, wiem ==> snmp_mib_object 1.3.6.1.2.1.69.1.2.1.5.2 = int 2 to może pomóc, ale na nic się nie zda jeśli mogę załadować własny config prawda?

Reasumując:

Tak naprawdę nic nie jest zabezpieczone, a polskie sieci oparte na docsis dopiero raczkują. To nie krytyka, a tylko chłodna ocena faktów. Jestem pewien, że za kilka lat sytuacja ulegnie zmianie, ale na dzień dzisiejszy jedyną nadzieją administratorów powinno być to, że nie wszyscy userzy mają wystarczającą wiedzę do tego, żeby się "pobawić" swoim modemem, a Ci którzy wiedzą jak to zrobić są na tyle uczciwi by swojej wiedzy nie wykorzystywać w taki sposób. A jak już jesteśmy przy uczciwości... W pewnym mieście i w pewnej sieci TV kablowej jest oferowane łacze 512/256kbps... Jakież było moje zdziwienie kiedy w pliku configu znalazłem ustawienia 512/128kbps. Chcę wierzyć, że to pomyłka... czyli rzecz ludzka, ale wrócę tam za jakiś czas i sprawdzę czy Pan Admin poprawił plik.

Pozdrawiam z tej strony barykady.

62.179.0.* napisał:

Heh ,prawda jest taka ze userzy dziela sie na 2 glowne typy:
1.Radosna brac www/chaty/poczta i troche downloadu mniej lub bardziej przypadkowego

2.Ludzie ktorzy NAPRAWDE korzystaja z netu ,czyli wymiana plikow,pomniejsze serwery ,dzielenia lacza,serwery gierek,SPORY download itp itd.

Pierwszym raczej niewadza ograniczenia ilosci mb oraz predkosc lacza byle dzialalo i dzialalo w miare szybko.Zapewne te wszystkie durne ograniczenia maja za zadanie ochronic grupe pierwsza przed druga i ja to wpelni rozumiem,ze jak jeden user zacznie ladowac 2mbity po swoim modemie to komus moze zaczac sie "wlec" net.
Ale wedlug mnie gdyby wszelcy providerzy trochu pomysleli to moznaby po pierwsze zbic trochu wiecej kasy po drugie uszczesliwic OBIE grupy po trzecie powstrzymac wszelkie "hacki" modemow itp.

Dobry przyklad debilnego zarzadzania jest w UPC,jest lacze 512/128 ,ale w prezencie otrzymuje sie 15gb limit downloadu, co czyni lacze dosc bezuzytecznym dla grupy 2giej, a wystarczyloby dodac "opcje" ze przykladowo od 1 do 7 rano mamy lacze 1mbit/512 i wylaczanie w tym czasie zliczania danych ,za pewna oplata ,powiedzmy 20zl miesiecznie,zaloze sie ze wielu "dywersantow" przyjeloby taka propozycje z zadowoleniem,obciazenie sieci w takich godzinach jest duzo mniejsze bo grupa 1sza sobie smacznie spi wiec to zaden problem z punktu widzenia przepustowosci,provider by "dorobil" trochu szmalcu a 1szej grupie by to nie pogorszylo w zaden sposob dostepu.
No ale z takim tokiem myslenia, ludzie bardziej zdolni beda "grzebac" bo dosc drazniace jest ze gdy posiadam modem 2mbit/2mbit i przepustowosc lezy odlogiem to trzeba sie "meczyc" z ograniczeniami ilosci oraz predkosci przesylanych danych.
Najsmutniejsze sa reakcje ludzi za to odpowiedzialnych ,w kilku mejlach z roznych okazji sie pytalem czy nie planuja jakichs innych rodzajow dostepu itp.itd ,w 90% dostawalem jakies marketingowe formulki a w pozostalych 10% wrecz grozoni mi kodeksami i umowa ktora podpisalem ;[

212.33.82.* napisał:

To co napisałeś wynika tylko z lenistwa lub braku czasu admiów takich sieci - sam standard - o ile jest respektowany przez producentów praktycznie na 100 % uniemożliwia tego typu zabawy

Pozdrawiam

62.141.193.* napisał:

Hmmm... trudno nie przyjąć Twoich argumentów... Jednak po części pokrywają się z tym co wcześniej napisałem. Za kilka lat być może sytuacja będzie wyglądała jak w Twoim opisie. Być może faktycznie istnieją takie sieci (moja do takich nie należy ), w których dostanie się do modemu jest prawie niemożliwe. Tak do końca niemożliwych rzeczy nie ma... . Poza tym wraz z rozwojem zabezpieczeń rozwija się dynamicznie technika ich omijania. Zupełnie inna sprawa to rzeczywista wiedza i umiejętności administratorów... Nie chciałbym tu uogólniać, bo zdarzają się czywiście świetni fachowcy i wtedy wykoanie jakichkolwiek "ruchów" w ich sieci jest bardzo, bardzo trudne. W mojej sieci tez jest kontroler i router CMTS. Na ten drugi mam swój sposób, ale z oczywistych przyczyn nie będę go tu przytaczał . A kontroler, hmm... możliwe, że nie jest właściwie skonfigurowany. Jeśli zaś chodzi o DISCOVER przez ETHERNET czy USB, sprawa też nie jest aż tak bardzo skomplikowana . W przeciwieństwie do serwera DHCP ISP ja wiem, który modem będzie wysyłał DISCOVER, więc mogę tak skonfigurować swój DHCP, że będzie wysyłał konkretny pakiet DHCP OFFER do konkretnego modemu. Poza tym całkiem niezłe rezultaty przynosi manipulacja bramami... Ale szczegóły niech pozostaną moją tajemnicą. Dyskutować na te tematy można nieskończenie długo... Poza sporem jednak pozostaje fakt, że nie można idealnie zabezpieczyć żadnej sieci, no chyba że się ją wyłączy . A tak na marginesie zasada nr 1 z docsis działa w obie strony - Nigdy nie ufaj administratorowi, nie uważaj go za idiotę, ale sprawdź dokładnie co potrafi, bo zawsze jest w lepszej sytuacji od Ciebie. Poza tym daleki jestem od tego, żeby uważać administratorów za swoich naturalnych wrogów, a moje eksperymenty z modemami kablowymi za główny cel mają pogłebianie wiedzy praktycznej w tej dziedzinie i kontrolę nad poczynaniami administratora, a nie przyspieszanie sobie łącza czyli jak by na to nie patrzył oszustwo... Chociaż nie powiem .. czasami późną nocą lub wczesnym rankiem odpalę sobie na dwie godzinki 1,5M/512kbps i jakieś Giga danych zassam. Ale jak dotąd mojemu adminowi to chyba nie przeszkadza i niech tak zostanie.

Pozdrawiam

212.33.82.* napisał:

Owszem - masz rację. Ludzi zajmującymi się tym w Polsce nie jest aż tak wielu i raczej sie znamy. Główny powód to notoryczny brak czasu na bezpieczeństo - problem jest niewidoczny do czasu aż wylazi mocno na jak dawny problem z softem do modemów Motoroli w paru dużych sieciach. Sztuczka z bramą (jeśli mamy to samo na myśli) jest banalna do zablokowania - wymaga odpowiednich filtrów IP na modemie. Dodanie do kompletu filtrów LLC i taki modem jest nie do ruszenia. Administratorzy też się uczą i widząc co było na ostanich szkoleniach na których bywam od czasu do czasu i bywa na nich 80% adminów to bardzo szybko pojawią się w skali kraju tego typu filty - u mnie zredukowały zbędny ruch o prawie 90 % !!. Podkreślam jedyne co nam doskwiera to brak czasu - takie rzeczy są bardzo czasochłonne do wdrożenia, bo wczesniej to trzeba przetestować zanim cos się ustawi tysiącom ludzi..

Jedyne zagrożenie do wyciek specjalnych wersji softu do modemów tzw. soft diagnostyczny :-) - a tego sie bardzo pilnuje..
Pozdrawiam.

62.141.193.* napisał:

Heh... To może wrzuć jakiegoś linka do tego softu albo coś. A tak na poważnie słyszałem już o tym programie diagnostycznym. Czyżby był tak dobry jak mówią? Prędzej czy później i tak będzie w necie... Na całym świecie jest sporo motorolek i sporo sieci opartych na docsis. Pożyjemy zobaczymy.

Pozdrawiam

P.S. Gdybyś miał ochotę na dalszą dyskusję i wymianę doświadczeń - harry3612wp.pl

212.33.82.* napisał:

Jak na razie dziekuję ...:-)

Pozdrawiam.

80.48.86.* napisał:

dla chcacego nic trudnego...powiedz jaki soft cie interesuje to sprawdze czy mam ...a i serwisowy by sie znalazl

pozdr..
PS
prowadzcie dalej dyskusje..wiele mozna sie dowiedziec..aczkolwiek potrzebna mi wiedze (wiadomo do czego) jush mam...tylko jak na razie nie ma potrzeby zeby z niej skorzystac...

217.172.244.* napisał:

hm soft diagnostyczny??
HEHE a moze sie okaze ze userzy nie musza walczyc z configami , z ich sciaganiem, ladowaniem itp. tylko istnieja takie oid-y SNMP ktore pozwola na zdalna zmiane np. predkosci lacza lub nazwy pliku konfiguracyjnego. Juz znaleziono taki ktory wlacza dostep do modemu z sieci LAN a nie tylko z coaxiala - tylko jak narazie chyba nie wszedzie to dziala HEHEHEEHH

P.S.
Ciekawe w jakiej sieci userzy sa tak "nieszczesliwi" majac za admina Spocka

Pozdro !!!

00 01 02 03 04 05 06 07 08 09 10 11