The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Защита сети от постороннего вещания IPTV (All Groups)"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Безопасность системы / Другая система)
Изначальное сообщение [ Отслеживать ]

"Защита сети от постороннего вещания IPTV (All Groups)"  –1 +/
Сообщение от sanmiron email(ok) on 12-Фев-15, 18:47 
Здравствуйте!
Может кто поможет, посоветует что нибудь полезное)
Имеется сеть, не маленькая, топология - дерево. Головная боль, это IPTV. Проблема в том, что клиенты толи по своей воле, толи нет, бывают включают ненужное оборудование в порт телевиденья в последствии чего от него начинает идти флуд в сеть (он запрашивает All Group), забивается канал и у всех абонентов начинает сыпать тв. Вопрос заключается в том, как обезопасить уже сформированую сеть от этого...?) Вариант с 802.1х по макам? Или еще что нибудь.....
Краткая схемка:

Стримеры--->Cisco Multicast--->Switch1 L2--->Switch2 L2--->Switch3 L2--->IPTV Box Abonent

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Защита сети от постороннего вещания IPTV (All Groups)"  +/
Сообщение от rusadmin (ok) on 13-Фев-15, 11:34 
>[оверквотинг удален]
> Имеется сеть, не маленькая, топология - дерево. Головная боль, это IPTV. Проблема
> в том, что клиенты толи по своей воле, толи нет, бывают
> включают ненужное оборудование в порт телевиденья в последствии чего от него
> начинает идти флуд в сеть (он запрашивает All Group), забивается канал
> и у всех абонентов начинает сыпать тв. Вопрос заключается в том,
> как обезопасить уже сформированую сеть от этого...?) Вариант с 802.1х по
> макам? Или еще что нибудь.....
> Краткая схемка:
> Стримеры--->Cisco Multicast--->Switch1 L2--->Switch2 L2--->Switch3 L2--->IPTV Box
> Abonent

В пределах одного VLAN сомневаюсь, что есть возможность запрета. Может быть на портах абонента повесить фильтр, на котором разрешено принимать мултикаст только определенных адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Защита сети от постороннего вещания IPTV (All Groups)"  +/
Сообщение от fantom (ok) on 13-Фев-15, 12:13 
>[оверквотинг удален]
>> начинает идти флуд в сеть (он запрашивает All Group), забивается канал
>> и у всех абонентов начинает сыпать тв. Вопрос заключается в том,
>> как обезопасить уже сформированую сеть от этого...?) Вариант с 802.1х по
>> макам? Или еще что нибудь.....
>> Краткая схемка:
>> Стримеры--->Cisco Multicast--->Switch1 L2--->Switch2 L2--->Switch3 L2--->IPTV Box
>> Abonent
> В пределах одного VLAN сомневаюсь, что есть возможность запрета. Может быть на
> портах абонента повесить фильтр, на котором разрешено принимать мултикаст только определенных
> адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним

Если свичи управляемые  - го ту зе igmp snooping....

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Защита сети от постороннего вещания IPTV (All Groups)"  +/
Сообщение от sanmiron email(ok) on 13-Фев-15, 12:22 
>[оверквотинг удален]
>>> и у всех абонентов начинает сыпать тв. Вопрос заключается в том,
>>> как обезопасить уже сформированую сеть от этого...?) Вариант с 802.1х по
>>> макам? Или еще что нибудь.....
>>> Краткая схемка:
>>> Стримеры--->Cisco Multicast--->Switch1 L2--->Switch2 L2--->Switch3 L2--->IPTV Box
>>> Abonent
>> В пределах одного VLAN сомневаюсь, что есть возможность запрета. Может быть на
>> портах абонента повесить фильтр, на котором разрешено принимать мултикаст только определенных
>> адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним
> Если свичи управляемые  - го ту зе igmp snooping....

А там что?) У нас он просто включён, да и всё, никаких замутов, разве что нужно какой то фильтр для портов седать, это имеетс яввиду?)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Защита сети от постороннего вещания IPTV (All Groups)"  +/
Сообщение от fantom (ok) on 13-Фев-15, 12:29 
>[оверквотинг удален]
>>>> Краткая схемка:
>>>> Стримеры--->Cisco Multicast--->Switch1 L2--->Switch2 L2--->Switch3 L2--->IPTV Box
>>>> Abonent
>>> В пределах одного VLAN сомневаюсь, что есть возможность запрета. Может быть на
>>> портах абонента повесить фильтр, на котором разрешено принимать мултикаст только определенных
>>> адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним
>> Если свичи управляемые  - го ту зе igmp snooping....
> А там что?) У нас он просто включён, да и всё, никаких
> замутов, разве что нужно какой то фильтр для портов седать, это
> имеетс яввиду?)

фильтры-профили...
К сожалению кнопки "сделать все зашибись" стоят баснословных денег и при этом ак правило все равно неработают :)

Для начала "как это работает"
http://habrahabr.ru/post/217585/

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Защита сети от постороннего вещания IPTV (All Groups)"  +/
Сообщение от rusadmin (ok) on 16-Фев-15, 10:03 
>[оверквотинг удален]
>>>> адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним
>>> Если свичи управляемые  - го ту зе igmp snooping....
>> А там что?) У нас он просто включён, да и всё, никаких
>> замутов, разве что нужно какой то фильтр для портов седать, это
>> имеетс яввиду?)
> фильтры-профили...
> К сожалению кнопки "сделать все зашибись" стоят баснословных денег и при этом
> ак правило все равно неработают :)
> Для начала "как это работает"
> http://habrahabr.ru/post/217585/

А вы не путаете с MVR?
На практике группы-профили на IGMP Snooping использовали? Я про обычные коммутаторы, не 4 и 6 - тонники

....Позже добавил:
Действительно, похоже что механизмы у снупинга есть тоже
http://www.opennet.dev/openforum/vsluhforumID6/859.html

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Защита сети от постороннего вещания IPTV (All Groups)"  +/
Сообщение от fantom (ok) on 16-Фев-15, 10:22 
>[оверквотинг удален]
>> К сожалению кнопки "сделать все зашибись" стоят баснословных денег и при этом
>> ак правило все равно неработают :)
>> Для начала "как это работает"
>> http://habrahabr.ru/post/217585/
> А вы не путаете с MVR?
> На практике группы-профили на IGMP Snooping использовали? Я про обычные коммутаторы, не
> 4 и 6 - тонники
> ....Позже добавил:
> Действительно, похоже что механизмы у снупинга есть тоже
> http://www.opennet.dev/openforum/vsluhforumID6/859.html

Конечно есть, даже в дешевых L2 noname китаезах (может не у всех поголовно) железяках уже лет 5 как есть по крайней мере ограничение на количество подписок на порт, например ставите максимум 3 подписки - и более 3-х каналов за раз абон не увидит...

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру