pppoetest Опубликовано 21 декабря, 2015 · Жалоба Завязывайте оффтоп, а то руки уже чешутся пару страниц снести к херам, это не "политика" ежели чо. >:( Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
thodin Опубликовано 21 декабря, 2015 · Жалоба Сначала свою AS каким то боком приплели, теперь спуфиг tcp примерно так же "в тему"... вы вообще не понимаете о чем речь похоже. =) Вы достали, если честно. По факту мы имеем: 1. То, что Вы называли MITM атакой на ssh - оказалось невозможно реализовать (отдельный вопрос, что же, в итоге, Вы под этим подразумевали :). 2. Адреса своей сети, чтобы посмотреть, что у вас там организовано - Вы тоже давать не хотите. 3. Я увидел пока только какого-то человека с комплексом неполноценностителефона HTC one S, скрывающего за ником и любящим поругаться и похвастаться зарплатой. 4. Если Ваша цель покидаться какашками, то давайте продолжим, я не против. Ваши предложения? Если будем какашками - то имейте в виду, это надолго :) Мне не сложно. Простите, что? Прощаю. Не знаю, если честно, что хотел участник myst сделать. Поднять сессию на 22 порт с подменой src ip? Тогда это и есть спуфинг. Перехватить ssh сессию в середине и подсунуть свой ключ? Это MITM. Техническая сторона не раскрыта. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 21 декабря, 2015 · Жалоба По факту мы имеем 1. Я разжевал что имел ввиду чуть более чем подробно 2. С какого перепуга я левому человеку должен давать какие то адреса вообще? Да и вообще что-то должен... 3. Открою страааааашную тайну. Тут почти все скрываются за никами и вы точно так же будете посланы с запросами "кто вы, что за контора, явки-пароли" 4. Моей целью изначально небыло кидаться ничем, но ввиду вашей персональной вопиющей неадекватности топик превратился в сборку лулзов. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
thodin Опубликовано 21 декабря, 2015 · Жалоба Завязывайте оффтоп Началось все с необоснованных наездов на оборудование. Практически никто из присутствующих не покупает железки на свои деньги (покупают на конторские). Я вот купил на свои и считаю, что за свои деньги получил адекватное оборудование, которое быстро окупится. Все остальное - лирика. Зачем мне нужно вместо работающего микротика покупать более дорогие железяки или тащить бу - мне так и не рассказали. В конечном счете все свелось к тому, что кто-то выставляет ssh в public и считает это нормальным, а я этого не делаю и не имею связанных с этим проблем (в том числе на микротике). Итог: почему надо выкинуть микротик и купить что-то еще я не понял. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 21 декабря, 2015 · Жалоба Тогда это и есть спуфинг. Ага, спуфинг, но причем тут tcp то? =))) Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
thodin Опубликовано 21 декабря, 2015 · Жалоба 4. Моей целью изначально небыло кидаться ничем, но ввиду вашей персональной вопиющей неадекватности топик превратился в сборку лулзов. Давайте вернемся к микротику. То, что можно не выставлять 22й порт в интернет мы все уже поняли (а кто выставляет - сам себе....). Какие еще есть варианты, кроме бу SRX с ebay? Кстати, по деньгам они таки проигрывают. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 21 декабря, 2015 · Жалоба Началось все с необоснованных наездов на оборудование. Это в ваших эльфийских фантазиях наезды необоснованые, а вот я их обосновал и привел конкретные примеры. В этом же топике. И в куче других. Причем, примеры на опыте очень не маленькой сети. У вас же все "обоснования" на уровне админа локалхоста. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
thodin Опубликовано 21 декабря, 2015 · Жалоба Ага, спуфинг, но причем тут tcp то? =))) А Вы какой протокол собрались использовать для подключения на 22й порт? Обрисуйте внятно схему и я на пальцах покажу Вам, почему она не сработает. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 21 декабря, 2015 · Жалоба Какие еще есть варианты, кроме бу SRX с ebay? Кстати, по деньгам они таки проигрывают. Ну круто что, зато он время от времени не забывает статик dhcp лизы после ребута как 751/951 линейка... ну так, на вскидку. Just another example. Ага, спуфинг, но причем тут tcp то? =))) А Вы какой протокол собрались использовать для подключения на 22й порт? Обрисуйте внятно схему и я на пальцах покажу Вам, почему она не сработает. А разница какой я собрался использовать? Ещё раз, причем тут TCP SPOOFING? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
thodin Опубликовано 21 декабря, 2015 · Жалоба Это в ваших эльфийских фантазиях наезды необоснованые, а вот я их обосновал и привел конкретные примеры. В этом же топике. И в куче других. Ой-вей! Я открываю последний release notes для одной из веток IOS, что у меня массово используется и там ужасы от страшных до душераздирающих. Причем, примеры на опыте очень не маленькой сети. Не испугался. 15 лет назад я, будучи инженером, поддерживал сеть на смеси motorola/cisco/какие-то страшные железки, названия которых я уже не помню.. Все перечисленное тут по сравнению с теми проблемами - это мелочи жизни. Вероятно если влить в микротик 10 тыщ рутов через ospf - ему поплохеет. Не знаю, но попробую (дома завтра). В конечном счете нигде подобной задачи у меня нет. У вас же все "обоснования" на уровне админа локалхоста. У меня обоснования на уровне "работает". BGP/mpls у микротика вполне работоспособно. У Вас может быть и не работает - ну так не покупайте :) Я Вашу сеть не видел, ничего про нее не знаю. Мне не важно, как оно у Вас. Мне важно, как оно у меня. Это даже лучше будет - Вы будете покупать дорогое железо, а я дешевое :) Ну круто что, зато он время от времени не забывает статик dhcp лизы после ребута как 751/951 линейка... ну так, на вскидку. Just another example. У меня DHCP кроме офиса и дома и нет нигде.. Ну тестовый есть, конечно, но не в продакшене. Накой фиг он мне нужен? А разница какой я собрался использовать? А что Вы собрались использовать? Повторяю вопрос в который раз. Ответ "не скажу" я тоже приму, но тему тогда закроем. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 21 декабря, 2015 · Жалоба Ой-вей! Я открываю последний release notes для одной из веток IOS, что у меня массово используется и там ужасы от страшных до душеращдирающих. А они везде, у любого вендора только 1) У cisco есть TAC 2) У cisco есть куча прошивок в которых с бОльшей долей вероятности можно найти стабильную А вот мне микротики routing-package чинили полтора года. Они видите ли "по своему" прочитали rfc по ospf. Вероятно если влить в микротик 10 тыщ рутов через ospf - ему поплохеет. Не знаю, но попробую (дома завтра). не 10к а 500(штук) на 951/751 и около 3к на 1100AHx2 В конечном счете нигде подобной задачи у меня нет. А у меня есть, и? Всем надо под ваши задачи равняться или верить утверждениям что "микротик что-то там рвет" только потому что у вас таких задач нет? У меня обоснования на уровне "работает". BGP/mpls у микротика вполне работоспособно. О да, с бгп там были свои приколы в ветках 5.4+ особенно с фильтрациями.... Сейчас не знаю да и эксперементировать особого желания нет. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jackt Опубликовано 21 декабря, 2015 · Жалоба Я думаю, можно днс на самом микротике использовать сейчас у меня так же используется. Тогда ищите свой IP на http://openresolverproject.org/ и настраивайте Микротик так, чтобы ваш IP больше там не появлялся. Микротики "любят" релеить DNS для DDOS-атак. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
thodin Опубликовано 21 декабря, 2015 · Жалоба 1) У cisco есть TAC У меня был прекрасный case, когда tac чинил фичу полгода, а потом еще год отлаживал стабильную работу. Причем фича была широко разрекламирована, а по факту не работала совсем. Т.е. покупая любую железку - знай, работает там нужный тебе функционал или нет. Микротик я взял, подняли тестовую лабу, погоняли.. Работает. Уже 3 месяца стоит тазик и работает. 2) У cisco есть куча прошивок в которых с бОльшей долей вероятности можно найти стабильную Это для базового функционала. То, что нужно мне, порою, в мановение ока ставится end of life или висит в tac вечно. Я не поливаю за это циску дерьмом - просто все хотят кушать, желательно черную икру. Не стреляйте в таппера - он играет как может. А вот мне микротики routing-package чинили полтора года. Они видите ли "по своему" прочитали rfc по ospf. Если все будет так печально - сяду за руль и съезжу в Ригу :) Заодно шпрот прикуплю.. У меня полгода назад главный девелопер в одном из вендоров (широко известный в узуких кругах :) сошел с ума (в прямом смысле) и пришлось вообще с корнями выкидывать продукт. Что поделать - мир несовершенен. Но благодаря этому продукту было заработано много денег - значит все ок. А геморр у инженеров - это работа у них такая. Кто бы платил инженерам хорошую зарплату в валюте, если работает сразу и хорошо? :) не 10к а 500(штук) на 951/751 и около 3к на 1100AHx2 Вот и проверю. Может быть и от 500 штук ложится - я же не спорю! Значит ограничу его списком задач, где нельзя иметь больше 500 рутов в ospf. Впрочем, почти нигде и нет столько.. А у меня есть, и? Всем надо под ваши задачи равняться или верить утверждениям что "микротик что-то там рвет" только потому что у вас таких задач нет? А я призывал кого-то равняться на мои задачи?! Я делился интимными переживаниями из цикла "микротик и я". Если у Вас железка не прижилась, вовсе не значит, что она нигде не приживется. Ну нет у меня места, где нужна даже 1000 рутов OSPF. О да, с бгп там были свои приколы в ветках 5.4+ особенно с фильтрациями.... Сейчас не знаю да и эксперементировать особого желания нет. Фильтров никаких навороченных не использую и не планирую. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 21 декабря, 2015 · Жалоба ssh! брут?! УВОЛИТЬ к хренам такого админа надо, незамедлительно!!! Нефиг светить SSH портом куда не следует, и подвергать сеть потенциальной опасности! Темболее когда речь идет о админке сетевого оборудования. Это знаете равносильно тому как светить манежмент порты какого нить хюлитовского свича в инет... это очень увлекательно, но довольно опасно :) Если ну ОООчень надо светить портом, есть масса средств защиты, как то порт-кнокинг, тунельки, занесение в блек-лист по правилу срабатывающиму с определенной частотой.... Порткнокинг - это не админский подход. Держать ссш наружу с писюка нормально, в том плане что ссш всяко лучше впн любого, с кучи железок - не очень потому как хз насколько криво оно там. А вот роутеры микротик делает отличные. Посредственные, всё в этом мире уныло. Всегда было интересно посмотреть на этот holy war (mikrotik vs all) изнутри, но ничего особенного я не увидел. Ну вот и я ничего особенного не увидел, собственно щенячий восторг адептов и вымораживает. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 21 декабря, 2015 · Жалоба Т.е. Вы ходите с телефоном с security flaws, которые никогда уже не будут исправлены и гордитесь этим? Оригинально. Я хожу с 1,5 такими телефонами. Старик хениум безмозглый в принципе, дыры там наверное есть, но в самом телефоне дороже записнухи ничего нет. Ну может ещё настройки хоткеев :) Гандройдофон вообще большую часть временив режиме полёта и самое ценно там это список установлено из маркета софта и закладки вида: "дц" "пк" и пр в яндекс картах... Ну ещё там пароль от домашней вафли и гугль акка, если они извлекаемые. Суммарная ценность инфы ниже цены старика хениума :) Не вижу смысла вообще думать безопасности этих девайсов, тем более обновлять/менять их, вопрос решён в другой плоскости :) Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 21 декабря, 2015 · Жалоба Вероятно если влить в микротик 10 тыщ рутов через ospf - ему поплохеет. поставьте его с парой десятков маршрутов, но несколькими area - ему тоже поплохеет... BGP/mpls у микротика вполне работоспособно. да-да работоспособно, пока фулвью не скармливать :D впрочем, как и с прочим функционалом - он вроде как и есть, но использовать его толком нельзя... Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
thodin Опубликовано 21 декабря, 2015 · Жалоба поставьте его с парой десятков маршрутов, но несколькими area - ему тоже поплохеет... Будем проверять! Беру время на изучение вопроса. да-да работоспособно, пока фулвью не скармливать :D впрочем, как и с прочим функционалом - он вроде как и есть, но использовать его толком нельзя... Я проверил с 2 fullview - работает, но не быстро, скорее всего однотредовый процесс (там какая-нибудь перепиленная quagga, наверное?). Не вижу смысла вообще думать безопасности этих девайсов, тем более обновлять/менять их, вопрос решён в другой плоскости :) Мы же говорим, что там будет стоять anyconnect, с которым человек будет ходить на роутеры и править конфиг. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 21 декабря, 2015 · Жалоба Микротик я взял, подняли тестовую лабу, погоняли.. Работает. Уже 3 месяца стоит тазик и работает. Ну как я и говорил, товарищ видел полтора микротика и рассказывает другим как это мега-стабильно. Цирк с конями. Это для базового функционала. То, что нужно мне, порою, в мановение ока ставится end of life или висит в tac вечно. Не надо прикрываться туманными фразами "то что мне нужно", тут не школота собралась и не админы локалхостов. У народа, тут задачи вполне серьезные. Я сомневаюсь например что вам _Нужно_ хоть десятая часть того, что у меня на ASRках 9k крутится. Если все будет так печально - сяду за руль и съезжу в Ригу :) Заодно шпрот прикуплю.. Прелесть же, вот со шпротами вы оттуда и вернетесь. Только с ними. Сразу видно что у вас нет опыта общения с разработчиками микротика, бо там очень специфичные перцы. А я призывал кого-то равняться на мои задачи?! Я делился интимными переживаниями из цикла "микротик и я". Если у Вас железка не прижилась, вовсе не значит, что она нигде не приживется. А кто сказал что не прижилась. Я выше подробно расписывал место этой железки. Фильтров никаких навороченных не использую и не планирую. Ну и как всегда, "не использую, не планирую, у меня нигде больше 500 префиксов не будет" - классический синдром сааба. Если у меня заявленые фичи не работают - значит они не нужны (С) Сааб Что ж, идите дальше "рвите" серьезное железо на локалхосте. А мы как-нибудь по-старинке циски, джуниперы, брокады... Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
thodin Опубликовано 21 декабря, 2015 · Жалоба Ну как я и говорил, товарищ видел полтора микротика и рассказывает другим как это мега-стабильно. Цирк с конями. Этот тазик давно окупился и тупо приносит деньги. И таки я Вам не товарищ :) Циска окупалась бы еще несколько месяцев, а мне хочется Новый Год отметить.. Я сомневаюсь например что вам _Нужно_ хоть десятая часть того, что у меня на ASRках 9k крутится. Зря сомневаетесь. Я телефонист: у меня основные image'и это c7200p-itpk9-mz.124-15.SW9.bin и c7svcsami-g8ik9s-mz.124-24.YE7.bin. Но помимо этого, конечно, и обычные фичи нужны. Прелесть же, вот со шпротами вы оттуда и вернетесь. Только с ними. Сразу видно что у вас нет опыта общения с разработчиками микротика, бо там очень специфичные перцы. Посмотрим! По сравнению с сошедшими с ума девелоперами из Уругвая - любой здоровый человек вполне адекватен :) Что ж, идите дальше "рвите" серьезное железо на локалхосте. А мы как-нибудь по-старинке циски, джуниперы, брокады... Мне не интересны железки - мне деньги интересны. А микротик дешевле.. Железки мне надоели еще лет 12 назад. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 22 декабря, 2015 · Жалоба Этот тазик давно окупился и тупо приносит деньги. И таки я Вам не товарищ :) Потом, этот тазик в самый веселый момент скажет кря, и вы будете терять деньги в количествах равных стоимости пачки цисок. Зря сомневаетесь. Я телефонист: у меня основные image'и это c7200p-itpk9-mz.124-15.SW9.bin и c7svcsami-g8ik9s-mz.124-24.YE7.bin. Но помимо этого, конечно, и обычные фичи нужны. Ну понятно, о роутерах вы знаете чуть менее чем ***я. Зато с пеной у рта спорите. Короче делаем выводы: Человек, имеющий полторы железки в продакшене и столько же на стенде, спорит с людьми которые имеют опыт и огромные инсталляции. И рассказывает что железка _на самом деле умеет_, а что нет. Собственно это все что нам надо знать о фанах и "специалистах" микротика. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 22 декабря, 2015 · Жалоба Ты просто еще не понял, что это тело заявилось в этот топик не ради поиска истины, у него же на лбу написано, чего ему надо. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 22 декабря, 2015 · Жалоба Ты просто еще не понял, что это тело заявилось в этот топик не ради поиска истины, у него же на лбу написано, чего ему надо. Ну а что? Продать? Так тут самая хреновая целевая аудитория, ибо специалисты и знают что почем. Потроллить? Слишком тОлсто ввиду его общего уровня знаний. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 22 декабря, 2015 · Жалоба Мы же говорим, что там будет стоять anyconnect, с которым человек будет ходить на роутеры и править конфиг. Гандройд, иос - это всё трудно назвать доверенными платформами, даже если ты это только что купил и там все апдейты есть. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...