Компания Cisco предупредила (http://blog.talosintelligence.com/2018/04/critical-infrastru...) об устранении критической уязвимости (https://embedi.com/blog/cisco-smart-install-remote-code-exec.../) (CVE-2018-0171 (https://tools.cisco.com/security/center/content/CiscoSecurit...)) в коммутаторах с поддержкой технологии SMI (Smart Install), которая позволяет удалённо получить полный контроль над устройством без прохождения аутентификации. Сообщается, что уже зафиксировано применение уязвимости для атак на крупных провайдеров и элементы критической инфраструктуры некоторых стран, поэтому администраторам рекомендуется срочно установить обновление или отключить в настройках технологию SMI, предназначенную для автоматизации начальной настройки и загрузки прошивки для новых коммутаторов.Проблема вызвана переполнением стека в коде Smart Install Client, которое может быть эксплуатировано через отправку специально оформленного сообщения на сетевой порт 4786, открытый по умолчанию. Уязвимость впервые была продемонстрирована на конкурсе GeekPWN 2017, на котором было показано как через данную проблему можно сбросить пароль команды "enable" и получить возможность выполнения команд в привилегированном режиме EXEC, а также перехватить транзитный трафик.
Проблема затрагивает различные модели коммутаторов Cisco, работающих под управлением Cisco IOS и Cisco IOS XE, включая Cisco Catalyst 2960, 2975, 3*50, 4500, IE 2000-5000, SM-ES2, SM-ES3, NME-16ES-1G-P и SM-X-ES3. Уязвимость устранена (https://tools.cisco.com/security/center/content/CiscoSecurit...) компаний Cisco в обновлении прошивки, выпущенном 28 марта (бесплатное обновление в том числе доступно для пользователей без сервисного договора).
Проблему усугубляет то, что используемый для атаки сетевой порт 4786 открыт по умолчанию и часто не закрывается администраторами межсетевым экраном. Поверхностное сканирование глобальной сети выявило около 8.5 млн устройств с открытым сетевым портом 4786 из которых для 250 тысяч было подтверждено наличие уязвимости.
Для проверки наличия устройств с SMI в своей подсети можно использовать команду:
nmap -p T:4786 192.168.1.0/24
На коммутаторе для проверки включения SMI можно выполнить:
switch>show vstack config
Role: Client - признак включения SmartInstall
Для блокирования уязвимости достаточно отключить vstack (команда "no vstack"). В качестве обходного пути защиты можно установить ACL для ограничения доступа к порту 4786:
ip access-list extended SMI_HARDENING_LIST
permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any
URL: http://blog.talosintelligence.com/2018/04/critical-infrastru...
Новость: https://www.opennet.me/opennews/art.shtml?num=48400
ентерпрайзненько
ващет это не ынтырпрайс железки от слова совсем - дешевый хлам для любителей экономить копейки, чтобы потом влететь на миллион, или нечто устаревшее на десять лет.Хотя наличие 3x50 в списке - доставляет, у них afair нет cp protection и их очень любили всякие мелкопровайдеры и недохостеры, у которых никак не наскребалость денег на современные железяки.
Причем, небось, всякие -E и ME серии в том числе. А вот и нехрен было экономить.
Гламурный ты какой однако. Распальцовочку убери.
ух ты сколько обиженок "йа тоже у мамы ентер-прайс админчег" подтянулось ;-)вы, ребятки, либо крестик снимите, либо трусики наденьте. Ибо циска для вас же и старалась.
Предназначены ныне все эти железки - для мелких офисов и удаленных подразделений мелких лавок (у крупных централизованное управление), и именно потому что такие обслуживают рукожопые недоучки, неспособные даже лицензию на флэшке до них донести, они и оборудованы интуитивно-приятными сервисами типа smart install, callhome и прочим.
А современное энтерпрайзное чудовище размером с холодильник, внезапно, при включении визжит как взлетающий лайнер, и даже лампочками не моргает. Потому что внутри вообще ничего нет - ни системы, ни лицензий, ни-че-го. Предполагается что настраивать его будет инженер, а не админчег, проданный в удаленное рабство при продаже железки в довесок к ней. Поэтому и циске незачем тратиться - даже на то чтоб софт залить, какой уж там нафиг smart install...
времена энтерпрайз-сетей на 3750 давно в прошлом, кстати, тогда в них подобной херни не было и по тем же самым причинам.
Ок, расскажи нам несведущим, что сейчас есть энтерпрайз? Бренды, имена. А то букв много, в основном "ты дурак и школьник", а толку мало.
> Ок, расскажи нам несведущим, что сейчас есть энтерпрайз?дык, тендер открывай - тебе специальнообученные люди (за зарплату) расскажут. ;-) А без тендера интырпрайс все равно ничего купить не может, гуляем-то не на свои.
Но если среди упомянутого будет хоть что-то из приведенного списка и не для склада где-то в дальнем замкадье а для головного офиса - гони в шею, это брат, жулики.
> А без тендера интырпрайс все равно ничего купить не может, гуляем-то не на свои.А.
Вы enterprise с распилом бабла рашкинским не путайте. Enterprise, как раз-таки, "гуляет на свои", поэтому никаких холодильников и инженеров в enterprise не предусмотрено, JFYI.
Хуавей конечно. Он дешевле, а выбирают железо одни люди ( получающие премию за экономию бюджета) , а эксплуатируют потом другие.
Зачем Вы так? Ведь у жирных провайдеров с большими холодильниками есть клиенты, у которых или возле которых ставится что-то простое и не большое, например та самая простая Циска, или как пример непосредственно у клиента ставился предварительно настроенный zyxel keenetic с закрытой админкой и выключенным WiFi.
> Зачем Вы так? Ведь у жирных провайдеров с большими холодильниками есть клиентыу жырных - нету. Там на access'е совсем другое железо (и не цискино в основном).
Но где ты видел жырных провайдеров в стране "с экономикой чуть меньше испанской", хотелось бы уточнить?
Тут все идет от скупленных ростелекомом и присными домонетов, с сетями из дерьма и палок. Скажи спасибо, если там ядро (о Б-же ж мой - ЯДРО!) на спарке 3750 - а чо, сам такое видел (впрочем, им-то ничего не грозит, в 12.2 таких ужасов еще не изобрели. Им бы stp не развалилось от перегрузки двадцатилетней дряхлости процессора ;)Нам с вами лично, в этом плане, кстати, повезло - мы в основном проскочили сразу от dialup к ethernet в каждую квартиру, пусть и слепленному из того что было. А "так называемые развитые страны" шли другим путем, последовательно собирая все грабли - от adsl до isdn, и, по результатам, ethernet в квартиру там либо очень дорого, либо вообще нереально по сей день (и не будет).
Поэтому у циски в общем-то и нет подходящих для этого железок. (а у мелкобизнесов другие запросы и другие проблемы)Уважающий же себя энтерпрайс ставит собственный бордер, ему от оператора нужна уже только оптика. Если он сегодня в этом качестве ставит 29xx - это не энтерпрайз, это фигня какая-то.
> непосредственно у клиента ставился предварительно настроенный zyxel keenetic с закрытой
> админкой и выключенным WiFi.да щас, админка "закрыта" паролем 123 (а то ж техник не асилит, если что пошло не так), и wifi включен, и пароль тот же самый, только клиенту об этом забыли сказать, потому что он, гад, не захотел заплатить за wifi лишние 200 рублей в месяц.
но это, как бы, смешно называть энтерпрайзом. Обычная подвальная шаурмячная или автомойка.
Когда разбогатеют - поставят эту самую 29 с помойки. Туда же засунут телефонию и недосвитчевый модуль, чтоб денег не платить. Когда у нее сгорит питальник - останутся разом без телефонов, инета и локальной сети. Да и хрен с ним, секретарша с мабилы котиков полайкает.
> А "так называемые развитые страны" шли другим путем, последовательно собирая все грабли - от adsl до
> isdn, и, по результатам, ethernet в квартиру там либо очень дорого, либо вообще нереально по сей день (и не будет).Зато в деревнях там уже на 50-100мбит vdsl перешли, да и оптику все же тянут не торопясь, прокладывая вместе с другими коммуникациями.
Ну и довольно распространенное в "так назывемых развитых странах" кабельное телевидение позволяет хоть сейчас гонять 500мбит котика-трафа за 50 евриков в месяц по квартире.
> Зато в деревнях там уже на 50-100мбит vdsl перешли, да и оптикуда там в другую сторону больше копают - нафиг эти провода, давайте внедрять 5g, 4 уже пройденый этап. И опта одна на деревню, а не в каждый сарай мучаться-тащить по частным территориям.
> Ну и довольно распространенное в "так назывемых развитых странах" кабельное телевидение
> позволяет хоть сейчас гонять 500мбит котика-трафа за 50 евриков в месяцоно ж с унылым до нельзя обратным каналом. Стране бесплатного фотошопа в радость, торренты гонять, а немцу оно разьве ж надо?
>> Зато в деревнях там уже на 50-100мбит vdsl перешли, да и оптику
> да там в другую сторону больше копают - нафиг эти провода, давайте внедрять 5g,Пытаются, для осваивания инвестиций и субсидий. Но с помощью регулярных оплеух и пряника иногда убеждают все же технику местячковых ком-узлов менять на более современную – и раз, вместо жалких 10мбит x*dls уже у всех 50-100мбит vdsl. А там глядишь и до опты раскачают.
Опять же, телефоны выкидывать никто не собирается, а они уже считай все на IP переведены, через эти самые провода.> И опта одна на деревню, а не в каждый сарай мучаться-тащить по частным территориям.
Сказки ;-).
Опта без возможности подключения никому не нужна и за такие траты свои же потом бургомистра и компанию по головке не погладят.
Главное - подтянуть опту к деревне. А потом (если наберется определенный процент желающих на "улицу") каждый желающий за 700 евриков может подключить любой сарай. В принципе, тоже самое, что и кабельное телевидение, но его все же больше в городах кидали, по "скворечникам".
Ну и про частные территории загнул маленько - если хитрожопым законодательством частников заставляют следить за состоянием прилегающих тротуаров (под которыми обычно и идут все коммуникации), то от этого они не перестают оставаться в городской собственности.
Еще есть такие альтернативы:
https://translate.google.com/translate?sl=de&tl=ru&js=y&prev...
т.е. когда коммуны сами делают проводку. Ничего сверхзапредельного тут нет, нужно лишь согласие большей части народа.> оно ж с унылым до нельзя обратным каналом.
Эээ, ну да, 500 мбит обратно не погонишь, но "вплоть до 50Mbit/s***" чем вам не угодили?
> Пытаются, для осваивания инвестиций и субсидий.субсидии просто так не дают. сотовая связь - это очень интересный (не в "этой стране") бизнес, где "капитальные затраты не имеют значения" - потому что это источник бесконечных денег прямо из воздуха (и нет, их необязательно прямо вот тырить со счетов, как тут).
А поскольку из ло...э...наших любимых клиентов в войсе и дохлом gprs'е уже выжаты последние копейки, а хочется раздоить их побольше - то будем внедрять 4 5 и гдэ-то сэм-восэм гэ.
Благо китайцы разгоняют технологию очень и очень здорово, и пока ни разу не споткнулись.> Опять же, телефоны выкидывать никто не собирается
надо ж... у нас именно выкидывают. То есть вот один очень когда-то популярный оператор (проводной, конечно) ip-телефонии недавно проплыл по реке мимо меня, опаньки. Чую, не от изобилия клиентов.
патамушта нахрен оно на самом деле надо, если не для понтов, когда у каждого есть лопата, а у наиболее ушлых по две? (а идея совмещенных dect+gsm почему-то сдохла не взлетев)
> Ничего сверхзапредельного тут нет, нужно лишь согласие большей части народа.
ну вот, ходи по домам, собирай подписи. А тут один раз дотянулся до йолки повыше, БС и антенный блок на ветку закинул - и пол-деревни осчастливлено, бери-плати. И ухаживать надо только за тем куском оптики, который до этой йолки идет, а не за намотанными под всеми тротуарами километрами.
я это все вживую наблюдаю в одной далекой "развивающейся" стране, которая (так же как мы с ethernet по квартирам) удачно проскочила детские этапы и сразу с меди и adsl прыгнула на вполне так неплохо пашущий 4g ровно на моих глазах. Поди теперь там найди ту медь.
> Эээ, ну да, 500 мбит обратно не погонишь, но "вплоть до 50Mbit/s***" чем вам не угодили?
ну тем что платить ради этих 50 придется за 500. А у меня, к примеру, расчудесный тариф 80 по симметричному каналу за аж $15. Хрен вам там такое нальют. И это относительно хороший оператор, там ядро не на 3550 (был. Тоже опаньки, зимой коньки отбросил, ростелек это теперь. Очень заметно, кстати.)
> субсидии просто так не дают.Субсидии вообще-то даются на расширение инфраструктуры и "убыстрение" тырьнета. Но операторам хочется часть пристроить более "удачно" и новые виды LTE-чой-то-там для этого вполне подходят. Особенно если удачно умалчивать о том, что диапазон вовсе не резиновый. Зато сотовую связь таким образом можно частично проспонсировать.
>> Опять же, телефоны выкидывать никто не собирается
> надо ж... у нас именно выкидывают. То есть вот один очень когда-то популярный оператор (проводной, конечно) ip-телефонии недавно проплыл по реке мимо меня, опаньки. Чую, не от изобилия клиентов.
> патамушта нахрен оно на самом деле надо, если не для понтов, когда у каждого есть лопата, а у наиболее ушлых по две? (а идея совмещенных dect+gsm почему-то сдохла не взлетев)Т.е. нормально с тобой общаться нельзя, ты все равно скатываешься то ли в тролинг, то ли просто вещание с важным видом … ?
Окай, можно и так:
на кой крен ты сравнил жопу с пальцем и сделал выводы? Естественно, что сейчас никому не нужно тянуть линии, когда можно воткнуть пару вышек … но вся инфраструктура-то уже есть лет 50 как в самых задрипаных дереньках. Через телефонный провод тебе сейчас вполне сотый интернет с HD-ёнтертейментом прокинуть могут. Вот как раз все выкинуть и начать лепить новое - понтами и отдает.>> Ничего сверхзапредельного тут нет, нужно лишь согласие большей части народа.
> ну вот, ходи по домам, собирай подписи.Это несколько не так работает, но ладно. Все равно объяснять влом.
Если коротко: подкидываешь идею бургомистру … а подписи собирают, в конце-концов, уже будущие провайдеры, на договорах. Чтобы не лохануться и не погореть.
Но именно сейчас, при наличии 50мбит с телефоном и прочим - оптоволокно никому не нужно, т.к. "хватает". А что будет через десяток лет, будем посмотреть.> А тут один раз дотянулся до йолки повыше, БС и антенный блок на ветку закинул - и пол-деревни осчастливлено, бери-плати.
Что, неужели на 3-10 тыщ человек хватит? А елка выдержит?
Ну и про тротуары и коммуникации ты довольно ловко опустил. Мотать-то под тротуарами вряд ли получится, за их отсутсвием.> я это все вживую наблюдаю в одной далекой "развивающейся" стране, которая (так же как мы с ethernet по квартирам) удачно проскочила детские этапы и сразу с меди и adsl прыгнула на вполне так неплохо
Ты тут на форуме у народа поинтересуйся, как оно "удачно"-то прыгнуто, вне Нерезиновска и более-менее крупных городов. А некоторые и в городах помельче, adsl рады были бы.
>> Эээ, ну да, 500 мбит обратно не погонишь, но "вплоть до 50Mbit/s***" чем вам не угодили?
> ну тем что платить ради этих 50 придется за 500. А у меня, к примеру, расчудесный тариф 80 по симметричному каналу за аж $15. Хрен вам там такое нальют.Это в каком селе или деревне? Или опять попу с пальцем сравниваем, т.к. речь вроде шла о не сильно крупных населенных пунктах?
А то в городе покрупней тебе такие несимметричные 200/12 мбит/с уже за 12.49€ нальют. С телефон-флэтом в придачу.
Ну и про тариф мог бы спросить, а не додумывать и что-то опровергать - за $15 может и не выйдет, но 300/150 - 200/200 за 35-40€ вполне.
В общем, патриотизм - это конечно замечательно. Но не в ущерб реальности и делу.
ну-ну это ты с нехусами обьясни как там порты лицензируются
> ну-ну это ты с нехусами обьясни как там порты лицензируютсяу stone-age 3750E - ровно так же. Платишь денег - разблокируются. Это гораздо лучше чем внезапно выяснить что нужен новый свитч целиком или на соплях привешивать дешевую какашку в качестве расширителя емкости.
Не нужны - не платишь. Очень часто и на самом деле были не нужны (nexus в такой позе я слабо представляю, там обычно обратная картина "куда бы нам еще один fex воткнуть", но мало ли, какие у людей чудеса бывают).лавэ нэма даже на лицензию на порты - ты не энтер.прайс, ты шаурмячная в подвале. Говорю же - либо крестик, либо трусы.
> Говорю же - либо крестик, либо трусы.крестик в столь вольно вами цитируемой пословице должен быть как раз таки в комплекте с трусами, а не противопоставляться им, а так же отсутствовать вместе с этой деталью нижнего белья...
Вчера Реутов-Телеком из-за подобной атаки всю ночь лежал
В Новороссийске Билайн лег в пятницу а подымали его вручную в понедельник...
Ездили два чела и перепрошивали каждого пользвателя!
Удобности - зло!
Проприетарщина - зло!
вам напомнить дыры которые были не исправление в Linux на протяжении 5-10 лет ?
> вам напомнить дыры которые были не исправление в Linux на протяжении 5-10
> лет ?Лучше сравнение количества дыр с другими системами.
> вам напомнить дыры которые были не исправление в Linux на протяжении 5-10 лет ?После обнаружения? Напоминать бессмысленно, расскажи нам эту шокирующую новость впервые.
"Исследователи безопасности", так и знал что свой зад прикрывают, уязвимости в медицинских приборах они находят, ну-ну.
GeekPWN 2017 прошел в октябре а закрыли тупую дырку в марте. <аплодисменты>
Что железо - кусок ###ьма, что его программисты...
Когда уже ПО начнут писать на языках с автоматическим управлением памятью?
> Когда уже ПО начнут писать на языках с автоматическим управлением памятью?Когда такое ПО перестанет требовать террабайты памяти? Когда GC нормальный завезут? Когда софт для микроконтроллеров на этих языках начнут писать? Но ты же знаешь ответ?
>Но ты же знаешь ответ?конечно. все это уже произошло, просто кое-кто в танке
>>Но ты же знаешь ответ?
> конечно. все это уже произошло, просто кое-кто в танкеХоть один язык назови. Любое приложение на питоне сжирает 100 метров разом, java туда же. Про всё остальное молчу. Против приложений на C которые отжирают килобайты и отлично подходят для встраивамых систем. Покажи хоть одно приложение на Java, Python, GO или что там сейчас модно, для встраивамых систем. А ещё пойми наконец, что каждому языку своё применение. Язык это инструмент, а ты пытаешься из него религию сделать. Не надо так.
Ну, вообще всякие микропитоны есть. Говорят, довольно живое. Лично, правда, не пробовал.
> Ну, вообще всякие микропитоны есть. Говорят, довольно живое. Лично, правда, не пробовал.Ну, вообще, оно хватит позагибать пальцы. А например обмотками мотора в реальном времени пощелкать - наверное уже будет о-па-па. А это вообще такая базовая ширпотребная задачка, на решении которой сейчас однако ж нынче держится половина нашей цивилизации.
А так то да, показать что какое-то хипстагамно можно и на мк сколхозить - на да, можно. А какая ценность всего этого? Оно в вебе то идет по $2 в час - индусы дешевые. А на МК за такой софт придется лоху приплачивать, потому что идиотин готовых получить с таким качеством управляющий софт на этой планете не так уж много. Ну, знаешь, я тоже могу при помощи нескольких гвоздей и досок сколхозить подобие табурета. А ты его у меня потом купишь? Или хотя-бы самовыносом будешь забирать? :)
> конечно. все это уже произошло, просто кое-кто в танкеЭто произошло. Где-то в теории. У нескольких хиповатых "ардуинщиков" в их пучках проводов которым в лучшем случае доверяют кормить кошку, по принципу "сдохнет и черт с ней, кусачая была".
А ты бы кодил на этом что-нибудь жестко реалтаймное? От срабатывания чего зависела бы твоя жизнь и безопасность? Понимая, что если оно не сработает - ты, натурально, умрешь или пострадаешь? Даже на голимом хипстерском гироскутере софт в реальном времени обмотки моторов переключает. Промахнись он на несколько десятых секунды - хипстер не только подавится смузи, но и расшибет табло об асфальт. Реалтаймная коммутация обмоток мотора софтом - единственное что отделяет табло хипстера от встречи с асфальтом. Ну а рассуждать о правильных языках хипстер возымеет право не раньше чем накодит на своем игрушечном ЯП прошивку своему гироскутеру, наверное. Вот заодно и посмотрим как ему GC в процессе управления обмотками мотора, которые, понимаете ли, ждать ну вообще совсем не могут - промах ведет к встрече табла и асфальта. Что очень портит карму разработчикам, и вообще.
> террабайтыТерабайты. Тера- — от греческого τέρας (чудовище), а вовсе не от латинского Terra (Земля).
Эрланговский GC за нормальный схиляет?
Когда уже прошивки начнут писать открытые?
> Когда уже прошивки начнут писать открытые?пиши!
Вангой работаешь? Спеки на ощупь читаешь?
> Вангой работаешь? Спеки на ощупь читаешь?какие тебе еще спеки? Спеки на ethernet - они открытые (ну там за оригиналы ietf денег хочет, но в целом не миллионы, хотя за такую плохую бумагу как по мне жирновато).
А портить чужое железо - нехорошо, ты на своем пиши.Вон пейсбук даже и написал, правда, почему-то отказался делиться. Наверное, боится циску обанкротить, или ЦРУ с АНБ и Моссадом не дают.
а у нас что-то никак, "эльбрус" вот, хоть и наполовину китайский, есть, а втыкать его все равно в осень плахую дарогу приходитсо.
> а у нас что-то никак, "эльбрус"Посмотрим "по осени" -- может, и в точку угодили на этот раз. :)
> Посмотрим "по осени" -- может, и в точку угодили на этот раз. :)Тут надо бы сразу уточнить - осени какого года и в каком объеме. Почему-то есть подозрение что получится как с альт линукс школьным. Может каким-то военным пару десятков сверхдорогой лажи по приказу и поставят, конечно. А много с этого радости? И кому?
С этим вашим эльбрусом и политикой существования фирмы когда непотребный шит по суперцене всучивается по примазу силовикам - следующие 100 лет страна явно будет использовать явно не эльбрусы. И какая и кому радость что у военных цать компов живое, если остальное сдохло или протроянено? Можно подумать, с этими военными кто-то полезет влобовую воевать, чтобы живость или дохлость их компов кого-то всерьез волновала.
Думаю твой бизнес-план с удовольствием рассмотрят как здесь так в правительстве. Будь ласка, набрасай здесь тезисно.
> какие тебе еще спеки? Спеки на ethernet - они открытыеСпецификация на железо. Где и как в конкретной железяки, например, включить
JumboFrame 10240, TSO/GSO,... и т. п. Поставиь LinuxLibre и удивись, как без
блобов просядет твой ethernet иль звуковуха откажется петь на 48kHz.
Полно открытых прошивок.
кто то их читает? аудит проводит? баги правит?все глючные, падучие.
> Полно открытых прошивок.Пример в студию
Вот вы и пришли к идее Software Defined Networking (SDN)
Стек — это и есть один из способов автоматического управления памятью.
Наконец хоть кто-то вспомнил! В соседнем обсуждении ARC вдруг стали называть GC, он такой же GC как и стек =)
> Когда уже ПО начнут писать на языках с автоматическим управлением памятью?Программам написанным на жабе это помогает плохо.
8.5 миллионов инет адресов заняты для управления примитивными коммутаторами?
А говорят адресов не хватает...
Давно уже всем хватает адресов, всех хомячков посадили за nat и все довольны.
> Давно уже всем хватает адресов, всех хомячков посадили за nat и все
> довольны.владельцы перечисленных железок не могут позволить себе CGN, так что если это не ынтырпрайс в одной комнатенке или не сменивший железки за >10 лет, то как только у тебя там появляется внешний интерфейс (например, ты в него натишь своих хомячков) так ты и попал.
ну и хомячки тоже с большим удовольствием пороют тебе дырок изнутри. Правда, эти 8.5 - как я понимаю, что снаружи насканировалось.
> 8.5 миллионов инет адресов заняты для управления примитивными коммутаторами?маршрутизацией они заняты, "специалист" ты наш.
И на маршрутизаторе, на котором назначен этот IP, сделан проброс порта на коммутатор? Ну офигеть...
> И на маршрутизаторе, на котором назначен этот IP, сделан проброс порта на коммутатор?Специалиста в предметной области вижу я.
Все перечисленные коробки - маршрутизирующие (или модуль к).У половины при этом кастрированный софт без control-plane protection (гуглите, яумамыинженеры) в принципе.
Соответственно, они ждут гостей на любом поднятом ip интерфейсе, даже если vty/snmp/ntp иже с ними закрыты штатными методами, все равно найдется и еще триста сервисов, о которых ты не знал или забыл.У тех у кого есть - надо не сервисы по одному отключать или acl'и вешать на интерфейсы, а именно его и настраивать. У тех кто это сделал в том самом 2009м когда купил железку, данная проблема не вылезет, потому что там принято разрешать нужное, а не фильтровать о чем сегодня прочитали. Только аккуратнее, low end железки иногда нервно реагируют на перезагрузку правил.
Это например 2960 маршрутизирующий?А вообще, в этих ваших ынтырпрайзах насколько принято маршрутизировать наружу свитчами?
> 8.5 миллионов инет адресов заняты для управления примитивными коммутаторами?
> А говорят адресов не хватает...Чувак, на планете одних только мобилок несколько миллиардов. И они все хотят себе айпишник, представляешь? Как ты думаешь, сильно поможет 8.5 миллионов айпишников?
чтобы поддержать проект Opennet.Ru я думаю нужно сделать окно-напоминание об отключении блокировщика рекламы и сделать ссылку для донатов на главной странице
ведь этого всего нет, поэтому я и говорю. а это так очевидно было...
Согласен, вместо красной надписи поддержать опеннет, нужен прогрессбар с патреона.
>окно-напоминание об отключении блокировщика рекламыКоторый раз вижу этот идиотский совет и который раз пытаюсь понять, любовь к popup'ам, которые требуют денежку, это у вас с Винды осталось?
> чтобы поддержать проект Opennet.Ru я думаю нужно сделать окно-напоминание об отключении
> блокировщика рекламы и сделать ссылку для донатов на главной странице
> ведь этого всего нет, поэтому я и говорю. а это так очевидно
> было...нет, нужно на блокчейне запилить opennet.ru а удаление комментов делать путем голосования, кто проголосовал в течении 1 минуты, голос тех учитывается, 51% проголосовавших одерживают победу.
>нужно на блокчейне запилить opennetШколота на своих блокчейнах уже спвихнулась...
> чтобы поддержать проект Opennet.Ru я думаю нужно сделать окно-напоминание об отключении
> блокировщика рекламы и сделать ссылку для донатов на главной странице
> ведь этого всего нет, поэтому я и говорю. а это так очевидно
> было...Лучше Майнер встроить. Сруцца в комментах , и заодно крипту майнят.
Как мило, "no vstack" в текст добавили, а коммент в котором аффтаров новости ткнули в нее носом удалили. Давайте, давайте, собирайте милостыню.
> Как мило, "no vstack" в текст добавили, а коммент в котором аффтаров
> новости ткнули в нее носом удалили. Давайте, давайте, собирайте милостыню.а там было твое честное имя и тебе обидно, а не "Аноним"? ;-)
Для исправления текста новости есть кнопка "исправить", никто не будет вычитывать все комментарии в поисках правок, это очевидно любому нормальному человеку, не кретину.Более того, обсуждение модерации в общих комментариях превращает обсуждение новости в обсуждение модерации, для этого есть специальный отдельный раздел. Иди туда.
> Как мило, "no vstack" в текст добавили, а коммент в котором аффтаров
> новости ткнули в нее носом удалили.А зачем оно в коментах, если в новость добавлено? Разве в новости не логичнее? И чем ты недоволен в сухом остатке? Отсутствием кредитсов? Анонимусу кредитсы как собаке пятая нога.
> Давайте, давайте, собирайте милостыню.
К чему такой батхерт? И да, человек таки содержал ресурс дохрена лет. Что такого плохого если он с этого получит денег? Тем более если ему их готовы дать, как оказалось. Тебе завидно чтоли? Мне кажется можно бы и побольше уважения, хотя-бы к объему работ. В конце концов, ты же почему-то здесь.
Никогда не было такого и вот опять.
Juniper, Alcatel-Lucent, Brocade, Mellanox, etc нужно было покупать
Можно подумать в них подобной фигни нет.
CISCO - это закрытые прошивки при поддержке АНБ/ЦРУ и GCHQ
> CISCO - это закрытые прошивки при поддержке АНБ/ЦРУ и GCHQучитывая, сколько всего по мнению сторонников теории заговора "поддерживают" АНБ и ЦРУ, хочется у них спросить - когда они национальной безопасностью и разведкой-то заниматься успевают, при таком плотном графике?
но вы не одиноки в паранойе, поэтому военные требуют от нас не использовать в связанных с ними сетями изделия невероятного противника, а использовать изделия только вероятного противника.
Причем диверсифицированно - тут плохую дорогу, там вообще zte. Как будто им не один и тот же секретарь парткома в час икс даст приказ "выключить лаоваям все интернеты нафиг, мы идем отнимать у них принадлежащие нам по праву предков Далянь и Шиболиа".
> учитывая, сколько всего по мнению сторонников теории заговора "поддерживают" АНБ и ЦРУ,Скорее всего они сделали ход конем и дали технологии и бабки каким-нибудь дружественным грэйхэтам. Которые в отличие от унылых офисников при таком вливе ресурсов и технологий вволю оттянутся в относительно автономном режиме. Мило и эффективно надрав зад всем до кого дотянутся. Можно было бы и просто посадить очередных вычисленных гамнюков, конечно. Но это было бы неэффективно. С точки зрения результата веселее дать клевых тулсов, денег и амнистию за старые грехи, при условии что клевые тулзы не будут нацелены на США и если что - гамнюки сами по себе, а так хоть трава не расти.
Технологии типа того что использует Equation не типичны для обычных блэкхэтов, которых интересует ресурсно-денежная составляющая, а не "advanced persistent threat". Последнее если их и интересует то до кучи, чтобы ботов не терять. Много ресурсов на это не тратят, полагая что проще новых ботов настрелять, дыр хватает. Такая нестыковка вызывает вопросы о происхождении некоторых вещиц. Когда что-то происходит - надо подумать кому это выгодно.
> идем отнимать у них принадлежащие нам по праву предков Далянь и Шиболиа".
Да зачем оно китаю? Они и так половину сибири и дальнего востока мило заселили. Экономиечески, опять же, в хайэнде россиянам не даст продыхнуть запад, а в лоуэнде - китай свое не упустит. Вот и сиди с драной экономикой и толпой китайцев на твоей территории. А что ты сделаешь? Ядерной ракетой будешь махать? У китая и США они тоже есть, не получится. Требовать от китая выселиться? Ага, лол. Депортируешь? Пока ты 10 китайцев депортируешь, еще 100 заселится. Да и как же дружба с китаем? Неудобненько, понимаешь, массовые зачистки при политике типа-дружбы с типа-китаем. И отнимать у тебя с ружьем ничего не надо. Просто китайцы и их экономика свое возьмут. А ты получишь после них дырку от бублика. Российским разработчикам только и светит что уповать на оборонзаказы. Это их расслабляет еще больше. И понятное дело что они не смогут конкурировать ни с китаем ни с амерами. Поэтому у кого как экономика будет развиваться - сам понимаешь. Китай и США устроит, а то что ты драный и с голым задом - они как бы формально не виноваты.
> Juniper, Alcatel-Lucent, Brocade, Mellanox, etc нужно было покупатьКак раз про Juniper-ы тут же статья пару (?) лет назад пролетала, чуть ли не со встроенными бэкдорами для ББ.
> Как раз про Juniper-ы тут же статья пару (?) лет назад пролетала,
> чуть ли не со встроенными бэкдорами для ББ.мне кажется, вы нас обидеть хотите!
можно проверить по базе shodan.io, запросом вида:
net: <ваша сеть>/<маска> port:4786
Баян-бабаян, сто лет знаем, вопрос решается одной командой no vstack
Где доступные прошивки то?!
действительно, где прошивки на 3650 и 3750?
> действительно, где прошивки на 3650 и 3750?самые свежие полугодичной давности:
- c3560-ipservicesk9-mz.122-55.SE11.bin
- c3750-ipservicesk9-mz.122-55.SE12.bin
>>>> действительно, где прошивки на 3650 и
>>самые свежие полугодичной давности:
>> c3560-ipservicesk9-mz.122-55.SE11.binвы уже определитесь что надо 3650 или 3650?
для 3650 и 3850 вчера 06-APR-2018 выложили
Release Fuji-16.8.1a MD
CAT3850/3650 UNIVERSAL Login Required
cat3k_caa-universalk9.16.08.01a.SPA.bin
который дают скачать без действующего контракта.
а вот для старых 3750/36560/2960 и даже новых 2960Х максимум месячной давности - сволочи.
Это где это на 3750 обычных месячной давности ИОС? Вижу только октябрь прошлого года - SE12.
Зачем вам новее? Там по факту не исправление завозят, а фичу автоотключения смартинсталл через 5 минут после загрузки. Отключите руками и все.
вот такую шнягу обнаружил в вместо конфигурации коммутатора:Switch#more flash:config.text
Don't mess with our elections....
-JHT
usafreedom_jht@tutanota.com
|* * * * * * * * * * OOOOOOOOOOOOOOOOOOOOOOOOO|
| * * * * * * * * * :::::::::::::::::::::::::|
|* * * * * * * * * * OOOOOOOOOOOOOOOOOOOOOOOOO|
| * * * * * * * * * :::::::::::::::::::::::::|
|* * * * * * * * * * OOOOOOOOOOOOOOOOOOOOOOOOO|
| * * * * * * * * * ::::::::::::::::::::;::::|
|* * * * * * * * * * OOOOOOOOOOOOOOOOOOOOOOOOO|
|:::::::::::::::::::::::::::::::::::::::::::::|
|OOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO|
|:::::::::::::::::::::::::::::::::::::::::::::|
|OOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO|
|:::::::::::::::::::::::::::::::::::::::::::::|
|OOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO|Switch#
> Don't mess with our elections....Чо, спрашивай почем Шигорин и его дружки готовы тебе свои бэкдоры продать вместо цискиных. Если это правда, текст вполне доходчиво сообщает что тебя поимели. И если тебе честно написали что тебя поимели - далеко не самый плохой расклад, между прочим. А могли бы пару лет смеяться в тряпочку, тихой сапой изредка непаливно подруливая в свою пользу, пролезая в инфраструктуру дальше, и вообще. Но это видимо шовинисты какие-то, дерзкие но глуповатые на твое счастье.
Впрочем, никаких гарантий что все ограничилось только этим - тебе никто не даст. В зависимости от того кто это такие и что за инструменты у них есть - тебя может ждать много новых открытий. Не обязательно приятных. Это очень зависит от того кто ты, что ты, а также кому и почему ты стал интересен.
> поддержкой технологии SMI (Smart Install)Дорогой NSA, так уж и пишите: System Management Interface. Чего юлить? :)
122-55.SE12 софта достаточно чтобы выключить SMI через no vstack.