"Стрим": Сколько дыр в решете
АрхивВ фокусеНедавно в популярном московском ADSL-сервисе "Стрим" была введена фильтрация входящего трафика по портам TCP 21, 23, 69, 80 и др. В связи с этим мы решили задать компании несколько не самых приятных вопросов.
Клиенты "МТУ-Интел", пользующиеся услугами ADSL-доступа в Москве ("Стрим"), получили в конце июня новость: компания решила ввести фильтрацию входящего трафика по портам TCP 21, 23, 69, 80, 8080, 254, 255, 161, UDP 69, 161.
Те, кто разбирается в сетевых технологиях, сразу заподозрили неладное: список портов явно указывает на запрет установки серверных ресурсов у клиентов (несмотря на динамический IP-адрес это вполне реально с применением служб динамических DNS) и удаленного управления компьютером. Тем более что "Стрим" выгодно отличается от районных Ethernet-сетей именно "чистым" каналом с реальным адресом. Один из наших читателей даже прислал в редакцию открытое письмо, адресованное "МТУ-Интел". В связи с этими событиями мы решили задать компании несколько не самых приятных вопросов, на которые нам весьма оперативно ответил начальник отдела рекламы и информации "МТУ-Интел" Артур Алекперов.
- Для чего МТУ прикрывается заботой о пользователях, решая совершенно другую задачу?
- Мы не прикрываемся заботой о пользователях, а решаем технические проблемы. Сейчас услуга "Стрим" рассчитана на подключение абонентского оборудования (ADSL-модема) в режим бриджа и установку сессии PPPoE на абонентском компьютере. В то же время не секрет, что многие абонентские ADSL-модемы поддерживают режим работы в качестве маршрутизатора. Преимущества такого режима очевидны - можно одновременно подключить к Интернету несколько компьютеров и часть бытовой техники через один канал. Недостатки же чаще видны со стороны провайдера. Прежде всего, это более сложная конфигурация такого режима на ADSL-модеме, требующая определенной квалификации и опыта работы в публичных IP-сетях. И вдвойне большая квалификация необходима, чтобы осуществлять поддержку такой конфигурации по телефону.
В настоящий момент мы не запрещаем установку абонентского модема в режим маршрутизатора, но и не можем осуществлять поддержку такой конфигурации. Еще недавно можно было пройтись по сетям, из которых выдаются IP-адреса для PPPoE-подключений, и на каждом десятом адресе увидеть веб-сервер или телнет-доступ абонентского модема с широко известными логинами и паролями из установок по умолчанию. Можно было бы закрыть на это глаза, но именно на этом устройстве хранится логин и пароль для PPPoE-доступа в сеть, и он становится доступен фактически любому. И это кроме специфических уязвимостей конкретных моделей ADSL-маршрутизаторов.
Вот эти проблемы мы и хотим закрыть введением дополнительной фильтрации. Решение далось нам нелегко, но в данной ситуации оно было необходимо. В то же время мы не видим нужды в излишней фильтрации абонентского трафика, оно не выгодно ни абонентам, ни провайдерам. Поэтому мы ведем некоторые работы, с тем чтобы у абонента была возможность выбрать уровень фильтрации со стороны провайдера.
В первом приближении это могло бы выглядеть как три уровня фильтров:
* первый, безусловный, снять который мы себе позволить не можем. Яркий пример - SMTP-трафик на 25-м порту TCP. Бесконтрольная установка почтовых серверов на абонентской стороне порой ведет к блокировке всего почтового трафика, проходящего через наши серверы посредством разнообразных черных списков. Не говоря уже о лавинообразном росте транзитного спама;
* второй, текущий общеупотребительный, куда можно было бы включить популярные троянские порты, естественные уязвимости операционных систем и прочие порты, популярные для так называемого сетевого шума;
* третий, по умолчанию, куда попадает все вышеописанное + характерные уязвимости клиентского оборудования (это, собственно, та фильтрация, которую мы ввели на данный момент).
Выбирать фильтры второго или третьего уровня, наверное, можно будет в личном кабинете.
- Что мешает внедрить систему фильтрации трафика, настраиваемой пользователем?
- Неготовность технических средств, это большой объем работы.
- Рассматривался ли компанией вариант изменения оплаты услуг, например, с учетом исходящего трафика?
- Мы не решаем вопросов блокирования серверов на абонентской стороне. Наоборот, только этому рады. Но в данной ситуации нам, к сожалению, пришлось пойти по пути временной блокировки.
- Затронет ли эта мера корпоративных пользователей услуг ADSL от МТУ?
- Нет, такая услуга по определению предполагает наличие на абонентской стороне маршрутизатора и квалифицированного персонала для его настройки.
- Собирается ли МТУ бороться с действительно вредным трафиком на портах TCP 135, 139 и 445?
- Такая фильтрация введена уже давно. Единственное, что она была выполнена на уровне входа в сеть и пакеты от абонентов той же услуги не фильтровались. Сейчас уровень фильтрации продвинут до абонентского порта.
- Пытались ли вы исследовать, какой процент пользователей услуги "Стрим" использует канал для подключения серверных ресурсов? Каковы могут быть убытки компании от подобного использования "Стрима"?
- Нет, это не представляет интереса. Убытков никаких, сплошная прибыль, нам выгодно, чтобы оба направления каналов загружались равномерно.
- Понимают ли специалисты МТУ, что существуют технологии обхода вводимых ограничений?
- Да, и мы очень надеемся, что квалифицированная часть пользователей, которая содержит такие серверы, просто передвинет их на другие порты, не затронутые фильтрацией. Мы очень сожалеем, что вендоры клиентских модемов сделали основным режимом их конфигурации HTTP на порту 80/TCP.
- Из журнала "Компьютерра" от 20 июля 2004 года.