שאלה בקשר חייגן בכבלים

אהלן

יש לי חבר שיש לו אינטרנט בכבלים והוא אמר לי שהוא בחיים לא השתמש בחייגן אינטרנט (פשוט מחבר את המודם למחשב ויש אינטרנט)

לי יש אינטרנט בכבלים אבל אני צריך להשתמש בחייגן.... איך אני עושה שאני לא אצטרך חייגן? אולי זה בהגדרות של המודם?

הוא מחובר ב MPLS - שזו צורת חיבור שאף ספק כמעט אינו מאפשר אותה היום (נראה לי שרק 012 עדיין מאפשרים את זה), ובצורה כזאת אתה מקבל מהכבלים את הקישור לספק, ולא עובר למעשה בשרתי האימות של הספק שלך (שזה אחוז ניכר מסיבת קיומו של החייגן)

בספקים מסויימים אם תעשה מספיק בלאגן יעבירו אותך לעבודה כזו, ברובם לא. האמת? אין בזה יתרונות גדולים לעומת החסרון הגדול ביותר בו אתה חשוף עוד יותר לסכנות שיש ברשת הכבלים (רשת ישנה מאוד - DOCSIS 1 - אף ספק כבלים בעולם כבר לא עובד בתצורה כזו) - הסכנה הכי גדולה היא פשוט לחטוף וירוסים כגון סאסר/בלאסטר ובכלל מתוך הרשת כי כל מחשב ברשת יכול לעשות מה שבא לו פחות או יותר.

והסיבות העיקריות לכך שלא מאפשרים יותר עבודה בצורה הזו (ולתמצות של מה שאמרתי) - הם רוצים שתתאמת מולם כדי שהם יוכלו לדעת מתי אתה מחובר וכדי שיוכלו לשלוט במשאבים שאתה מקבל בצורה טובה יותר, ומחינתך אתה פחות חשוף לסכנות ברשת הפנימית (אם כי אתה עדיין חבר בה).

אז בעיקרון זה חיסרון אבטחתי מול יתרון נוחות?

אז בעיקרון זה חיסרון אבטחתי מול יתרון נוחות?

בעקרון, כן.

בעקרון, כן.

טעות נפוצה. מאחר ורשת הכבלים היא רשת TCP/IP לכל דבר ועניין, הרי שוירוסים, תולעים ושאר הטפילים יכולים לנוע על גביה בקלות. לכן במעבר לחייגנים, חברת הכבלים בסה"כ שינתה את ה-range של כתובות ה-IP: מכתובות אינטרנטיות של הספקים, לכתובות אינטראנטיות, של רשת פנימית. לא חלף זמן רב והרשת הזאת שמאכלסת את כל משתמשי הכבלים בארץ המחוברים באמצעות חייגנים, הפכה להיות מקום מרבצם של אותם שרצים ובייחוד אנו זוכרים "לטובה" את ה-Blaster הארור. כך שלמעשה, ההיפך הוא הנכון: הסיכוי שלך להידבק באחד הנגעים הללו גדול עוד יותר כשהחיבור הוא באמצעות חייגן על גבי הרשת הפנימית הזו.

אנאלוגיה למתקשים: נסו לדמיין ילד קטן שלא מסוגל לשלוט בשלפוחית השתן שלו. כעת, שוו בנפשכם שאתם נאלצים לשהות באותו מקווה מים יחד איתו. היכן תעדיפו אם כן לשהות עימו, בבריכה או בים?

טעות נפוצה. מאחר ורשת הכבלים היא רשת TCP/IP לכל דבר ועניין, הרי שוירוסים, תולעים ושאר הטפילים יכולים לנוע על גביה בקלות. לכן במעבר לחייגנים, חברת הכבלים בסה"כ שינתה את ה-range של כתובות ה-IP: מכתובות אינטרנטיות של הספקים, לכתובות אינטראנטיות, של רשת פנימית. לא חלף זמן רב והרשת הזאת שמאכלסת את כל משתמשי הכבלים בארץ המחוברים באמצעות חייגנים, הפכה להיות מקום מרבצם של אותם שרצים ובייחוד אנו זוכרים "לטובה" את ה-Blaster הארור. כך שלמעשה, ההיפך הוא הנכון: הסיכוי שלך להידבק באחד הנגעים הללו גדול עוד יותר כשהחיבור הוא באמצעות חייגן על גבי הרשת הפנימית הזו.

אנאלוגיה למתקשים: נסו לדמיין ילד קטן שלא מסוגל לשלוט בשלפוחית השתן שלו. כעת, שוו בנפשכם שאתם נאלצים לשהות באותו מקווה מים יחד איתו. היכן תעדיפו אם כן לשהות עימו, בבריכה או בים?

ממש לא. גם כשאתה בחיבור ללא חייגן, אתה עדיין ברשת הפנימית של הכבלים. החייגן מספק לך "מנהרה" אל הספק דרכה עובר האינטרנט (להלן VPN), שבעוד שכמובן ניתן לפרוץ את אבטחת ה"מנהרה הזו", כשאתה ללא חייגן אתה פשוט מקבל את המידע ישירות מהרשת הפנימית (דרך החיבור שבין חברת הכבלים לספקיות השונות) ואתה יותר חשוף אליהם.

לא, אתה לא.

מי שמחובר ללא חייגן לא מסוגל לבצע Ping לאף IP בתחום 172.21-29. לפיכך, אין הוא מסוגל לתקשר עם אף אחד מהמחשבים ברשת הפנימית הזו...

כמובן שמי שמחובר ללא חייגן מנותב על גבי אותו ציוד הכבלים ש"מחזיק" את הרשת הפנימית הזו (החוצה לאינטרנט ישירות), אך הוא אינו חשוף לכל הזבל שנמצא בה, פשוט בגלל שהכתובת שלו לא נמצאת ב-range של אותה רשת פנימית ולפיכך אין הוא פגיע אל מול אותם משתמשים שמחשביהם מפיצים וירוסים, לרוב ללא ידיעתם של הבעלים התמימים.

לא, אתה לא.

מי שמחובר ללא חייגן לא מסוגל לבצע Ping לאף IP בתחום 172.21-29. לפיכך, אין הוא מסוגל לתקשר עם אף אחד מהמחשבים ברשת הפנימית הזו...

כמובן שמי שמחובר ללא חייגן מנותב על גבי אותו ציוד הכבלים ש"מחזיק" את הרשת הפנימית הזו (החוצה לאינטרנט ישירות), אך הוא אינו חשוף לכל הזבל שנמצא בה, פשוט בגלל שהכתובת שלו לא נמצאת ב-range של אותה רשת פנימית ולפיכך אין הוא פגיע אל מול אותם משתמשים שמחשביהם מפיצים וירוסים, לרוב ללא ידיעתם של הבעלים התמימים.

מה קשור פינג לכל דבר אחר? גם אי אפשר לעשות פינג ל www.cnn.com אז מה?

כל מודם שמחובר לכבלים, בין אם דרך חייגן ובין אם לא מחובר לרשת הפנימית בכבלים. ההבדל הוא שללקוחות ללא חייגן מתחברים ישירות לחיבור בין הכבלים לספק, ומקבלים IP קבוע (שד"א, טכנית יכול להשתנות) כדי שהניתוב יעבוד. שאר הלקוחות פשוט צריכים ליצור את החיבור הזה בצורה ידנית ע"י VPN, ובכך לעבור דרך שרתי הרדיוס של הספק (לעומת ע"י הניתוב)

ומכיוון ששניהם מחוברים פסופו של דבר לרשת הפנימית שניהם פגיעים אליה - ההבדל היחיד הוא שחייגן נותן אבטחה נוספת (למשל פירוול על החייגן, הצפנה וכדומה)

מה שכן שמתי לב אליו, זה שלקוחות שעובדים ללא חייגן בד"כ פגיעים פחות לוירוסים מוכרים, אולי בגלל שהמידע עובר דרך הרשת הפנימית של הכבלים, ושם נחסמו פורטים של הוירוסים הללו (דוגמת בלאסט וכדומה) - אם כי לגבי זה אני ממש לא בטוח, זה רק ניחוש, אבל זה נשמע לי הגיוני.

כן, אבל לא הגיוני שכל IP פנימי ברשת לא יגיב לפינג. אתה מסכים שלפחות אחד מתוך אותן כתובות יגיב ל-ICMP, נכון? אז כן, Ping זה מדד נכון, ביחוד כאשר רבים לאמתמשים בפירוול שיכול למנוע תגובה ל-ICMP.

אתה טועה - טכנולוגית הכבלים היא רשת לכל דבר, רק על ציוד של חברת HOT. כלומר ניתן לשנע על גביה packet בפרוטוקול TC/IP ללא קושי. הטכנולוגיה הזו משמשת גם את הלקוחות המחוברים עם חייגן, רק שכאן הם מבצעים חיבור VPN-י לשרת של הספק שלהם. מי שמחובר ללא חייגן אינו מחובר עם VPN שהוא so-called שקוף כפי שאתה מתאר ולא משנה כמה תתעקש על כך. הספקים בארץ ניצלו את היכולת של ה-VPN כברירה היחידה לחבר לקוחות אליהם (משמע, להעבירם דרך מערכת אותנטיקציה שבשליטתם הגמורה) על גבי רשת ה-IP של הכבלים.

מה שאני מנסה לומר זה, שחברת HOT יצרה למעשה טווח כתובות שמי שמקבל אחת מהן, יש לו גישה לשרתי ה-VPN של הספקיות. לפיכך, כולם גלויים לכולם שם - כלומר לקוחות עם חייגן חשופים ללקוחות אחרים עם חייגן מכל ספקית שהיא. לעומת זאת, מי שמחובר ללא חייגן מן הסתם עדיין עושה שימוש בציוד של HOT, אך אינו, אני חוזר א-י-נ-ו חשוף לרשת הפנימית הזאת. היא קיימת, היא חיה ונושמת, אך מי שמחובר ללא חייגן ומקבל IP מה-pool של ה-ISP שלו, מנותב ישירות על גבי ציוד הכבלים, אך נמצא מחוץ לרשת המלאכותית ההיא שמשמשת לקוחות עם חייגן.

אתה רוצה הוכחה? אני מחובר בכבלים ללא חייגן. תן לי בבקשה IP מהרשת הפנימית של הכבלים כדי שאבצע כלפיו פקודת tracert ו\או ping שלא תעלה חרס. או יותר טוב, שרת כזה של ISP שאמור לקבל חיבור VPN-י מלקוחותיו ונמצא בטווח 172.2x (כאמור, רק כך הוא חלק בלעדי ברשת הכבלים): שרת כזה אמור לקבל בקשה לחיבור VPN בפורט 1701/1723 המשמשים את פרוטוקולי ה-VPN, נכון? אוכיח לך שאין אני מסוגל ליצור עימו כל קשר, כולל telnet במבואות.

אתה רוצה הוכחה? אני מחובר בכבלים ללא חייגן. תן לי בבקשה IP מהרשת הפנימית של הכבלים כדי שאבצע כלפיו פקודת tracert ו\או ping שלא תעלה חרס. או יותר טוב, שרת כזה של ISP שאמור לקבל חיבור VPN-י מלקוחותיו ונמצא בטווח 172.2x (כאמור, רק כך הוא חלק בלעדי ברשת הכבלים): שרת כזה אמור לקבל בקשה לחיבור VPN בפורט 1701/1723 המשמשים את פרוטוקולי ה-VPN, נכון? אוכיח לך שאין אני מסוגל ליצור עימו כל קשר, כולל telnet במבואות.

לא יודע איך זה בחברות אחרות, אבל באינטרנט זהב זה 213.8.8.84 ל L2TP

לא מתוך הפול הפנימי, ועדיין פתוח לחברי הרשת הפנימית...

לא יודע איך זה בחברות אחרות, אבל באינטרנט זהב זה 213.8.8.84 ל L2TP

לא מתוך הפול הפנימי, ועדיין פתוח לחברי הרשת הפנימית...

זהו IP אינטרנטי, נגיש לכל (כל משתמש ברשת האינטרנט על גבי כדור הארץ יכול ליצור עימו קשר, כעיקרון). אני מדבר על IP ברשת פנימית: 192.168 וכו' 10.0 וכו' ובמקרה שלנו 172.2x כאשר X נע בין 1 ל-9 כמדומני - זהו טווח הרשת הפנימית שהוקמה על גבי ציוד הכבלים שמטרה לחבר לקוחות עם חייגנים.

במילים פשוטות, אני צריך IP כלשהו מהכבלים. אם אתה מחבור עם חייגן למשל, תן לי את ה-Default Gateway שלך או כל כתובת 172.2x שאתה עובר בדרך אל שרת ה-VPN של הספק שלך (אל חשש, אין לי דרך להגיע אליך).

עריכה: אני לא מסוגל לבצע ping לשרת הזה. האם אתה, בהנחה שאתה מחובר עם חייגן, מסוגל לבצע ping אליו כאשר אתה לא מחובר?

זהו IP אינטרנטי, נגיש לכל (כל משתמש ברשת האינטרנט על גבי כדור הארץ יכול ליצור עימו קשר, כעיקרון). אני מדבר על IP ברשת פנימית: 192.168 וכו' 10.0 וכו' ובמקרה שלנו 172.2x כאשר X נע בין 1 ל-9 כמדומני - זהו טווח הרשת הפנימית שהוקמה על גבי ציוד הכבלים שמטרה לחבר לקוחות עם חייגנים.

במילים פשוטות, אני צריך IP כלשהו מהכבלים. אם אתה מחבור עם חייגן למשל, תן לי את ה-Default Gateway שלך או כל כתובת 172.2x שאתה עובר בדרך אל שרת ה-VPN של הספק שלך (אל חשש, אין לי דרך להגיע אליך).

עריכה: אני לא מסוגל לבצע ping לשרת הזה. האם אתה, בהנחה שאתה מחובר עם חייגן, מסוגל לבצע ping אליו כאשר אתה לא מחובר?

אני אישית מחובר דרך ADSL.

מוזר שאתה לא מסוגל לבצע פינג אל השרת, כי הוא נגיש לכל לקוח כבלים. וכן, לקוחות חייגן בהחלט מסוגלים (למעשה חייבים להיות מסוגלים) לקיים תקשורת עם השרת.

גם לי מכאן משום מה אין לא פינג ולא טרייס, קרוב לוודאי שהוא פתוח רק בתוך הרשת הפנימית אליה הוא מחובר.

אני תומך בתמיכה טכנית, אני מתעסק עם הדברים האלה על בסיס יומיומי.

לפי מה שאתה טוען, לקוחות כבלים ללא חייגן לא היו אומרים לקבל BLASTER/SASSER ודומיהם מהרשת הפנימית - עובדה שחטפו בריבוע, עד שחסמו את הפורטים האלה.

מעבר לכך, משיחות ועידה עם הכבלים אני כן יודע שתומכי הכבלים מסוגלים לעשות פינגים אל לקוחות - אולי זה חד כיווני, אני לא יודע, אבל בכל מקרה לא היה לי צורך לנסות דבר כזה אי פעם מהתמיכה....

זה לא מוזר, זה בדיוק מוכיח את טענתי. מסתבר שהשרת המדובר, אף על פי שהוא אינטרנטי לכל דבר ועניין, מגיב ל"בקשות תקשורת" מצד אלו שנמצאים ברשת הכבלים הפנימית. אתה, שמחובר ב-ADSL ואני, שמחובר בכבלים אך ללא חייגן - נמצאים מחוץ לרשת הזאת ולכן אין ביכולתנו לתקשר עם הגורמים המרכיבים אותה.

זה לא מוזר, זה בדיוק מוכיח את טענתי. מסתבר שהשרת המדובר, אף על פי שהוא אינטרנטי לכל דבר ועניין, מגיב ל"בקשות תקשורת" מצד אלו שנמצאים ברשת הכבלים הפנימית. אתה, שמחובר ב-ADSL ואני, שמחובר בכבלים אך ללא חייגן - נמצאים מחוץ לרשת הזאת ולכן אין ביכולתנו לתקשר עם הגורמים המרכיבים אותה.

מה הדיפולט גיטווי שלך?

הוא IP אינטרנטי ושייך ל-ISP שלי, כלומר לא מתחיל ב-172 או כל IP פנימי אחר; עוד "ראייה" ששכחתי להציגה...

לפי מה שאתה טוען, לקוחות כבלים ללא חייגן לא היו אומרים לקבל BLASTER/SASSER ודומיהם מהרשת הפנימית - עובדה שחטפו בריבוע, עד שחסמו את הפורטים האלה.

לא אמרתי זאת! ברור שגם בחיבור ללא חייגן אתה חשוף לסכנות. אני יצאתי כנגד הטענה שלך שבחיבור בחייגן הסיכון מועט יותר, דבר שהוא לא נכון כי גם הרפש שהצטבר ברשת של הכבלים שווה ערך, אם לא גרוע אף יותר מבאינטרנט, בעיקר בגלל שמדובר בהבדל ה'חשיפה': IP אחד אל מול מאות אלפים (רשת הכבלים הפנימית) לעומת IP אחד אל מול מיליונים (רשת האינטרנט). דווקא הסבירות יכולה להיות גבוהה יותר ב"בריכה" ולאו דווקא ב"ים", למרות או אולי בגלל שכמות המים שם עצומה בהשוואה ישירה והסיכוי להידבק קטן יותר.