Сергей Леонов, sleo@computerra.ru
Опубликовано: 20.7.2004
Те, кто разбирается в сетевых технологиях, сразу заподозрили неладное: список портов явно указывает на запрет установки серверных ресурсов у клиентов (несмотря на динамический IP-адрес это вполне реально с применением служб динамических DNS) и удаленного управления компьютером. Тем более что «Стрим» выгодно отличается от районных Ethernet-сетей именно «чистым» каналом с реальным адресом. Один из наших читателей даже прислал в редакцию открытое письмо, адресованное «МТУ-Интел». В связи с этими событиями мы решили задать компании несколько не самых приятных вопросов, на которые нам весьма оперативно ответил начальник отдела рекламы и информации «МТУ-Интел» Артур Алекперов.
— Мы не прикрываемся заботой о пользователях, а решаем технические проблемы. Сейчас услуга «Стрим» рассчитана на подключение абонентского оборудования (ADSL-модема) в режим бриджа и установку сессии PPPoE на абонентском компьютере. В то же время не секрет, что многие абонентские ADSL-модемы поддерживают режим работы в качестве маршрутизатора. Преимущества такого режима очевидны — можно одновременно подключить к Интернету несколько компьютеров и часть бытовой техники через один канал. Недостатки же чаще видны со стороны провайдера. Прежде всего, это более сложная конфигурация такого режима на ADSL-модеме, требующая определенной квалификации и опыта работы в публичных IP-сетях. И вдвойне большая квалификация необходима, чтобы осуществлять поддержку такой конфигурации по телефону.
В настоящий момент мы не запрещаем установку абонентского модема в режим маршрутизатора, но и не можем осуществлять поддержку такой конфигурации. Еще недавно можно было пройтись по сетям, из которых выдаются IP-адреса для PPPoE-подключений, и на каждом десятом адресе увидеть веб-сервер или телнет-доступ абонентского модема с широко известными логинами и паролями из установок по умолчанию. Можно было бы закрыть на это глаза, но именно на этом устройстве хранится логин и пароль для PPPoE-доступа в сеть, и он становится доступен фактически любому. И это кроме специфических уязвимостей конкретных моделей ADSL-маршрутизаторов.
Вот эти проблемы мы и хотим закрыть введением дополнительной фильтрации. Решение далось нам нелегко, но в данной ситуации оно было необходимо. В то же время мы не видим нужды в излишней фильтрации абонентского трафика, оно не выгодно ни абонентам, ни провайдерам. Поэтому мы ведем некоторые работы, с тем чтобы у абонента была возможность выбрать уровень фильтрации со стороны провайдера.
В первом приближении это могло бы выглядеть как три уровня фильтров:
Выбирать фильтры второго или третьего уровня, наверное, можно будет в личном кабинете.
— Неготовность технических средств, это большой объем работы.
— Мы не решаем вопросов блокирования серверов на абонентской стороне. Наоборот, только этому рады. Но в данной ситуации нам, к сожалению, пришлось пойти по пути временной блокировки.
— Нет, такая услуга по определению предполагает наличие на абонентской стороне маршрутизатора и квалифицированного персонала для его настройки.
— Такая фильтрация введена уже давно. Единственное, что она была выполнена на уровне входа в сеть и пакеты от абонентов той же услуги не фильтровались. Сейчас уровень фильтрации продвинут до абонентского порта.
— Нет, это не представляет интереса. Убытков никаких, сплошная прибыль, нам выгодно, чтобы оба направления каналов загружались равномерно.
— Да, и мы очень надеемся, что квалифицированная часть пользователей, которая содержит такие серверы, просто передвинет их на другие порты, не затронутые фильтрацией. Мы очень сожалеем, что вендоры клиентских модемов сделали основным режимом их конфигурации HTTP на порту 80/TCP.