Jump to content
Калькуляторы

XYZ упал А написать некуда!!!

а софт прям совсем последний последний?

 

как временное решение можно попробовать ip tftp source-interface указать интерфейс который не может во внешку поглядеть. 

 

Share this post


Link to post
Share on other sites
6 минут назад, mikezzzz сказал:

закрывайте порт..

Я про ацл на данную уязвимость прочитал. Но пока не понял, куда его навесить. Не на каждый же порт вешать.

Share this post


Link to post
Share on other sites
2 минуты назад, ayf сказал:

Я про ацл на данную уязвимость прочитал. Но пока не понял, куда его навесить. Не на каждый же порт вешать.

на каждый айпи интерфейс

Share this post


Link to post
Share on other sites
18 минут назад, zhenya` сказал:

на каждый айпи интерфейс

Успел:)
 

000018: Apr  6 22:00:48.876: VSTACK_ERR:
smi_socket_recv_read_hdr_cont:!!!Msg_hdr type is not matching with any predefined
Could be an attack, closing connection
000019: Apr  6 22:31:08.139: VSTACK_ERR:
smi_socket_recv_read_hdr_cont:!!!Msg_hdr type is not matching with any predefined
Could be an attack, closing connection

 

Share this post


Link to post
Share on other sites

Вообще ещё с утра повесил на бордере правило на входе на этот порт... за час настреляло 3274 срабатываний, а потом как отрезало.. кажется гдето выше ктото сделал тоже самое. к вечеру только +15 срабатываний...

Share this post


Link to post
Share on other sites

Знакомые жалуются на пропадание линка с релкомом/демосом.. но из вне IP на стороне релкома отзывается. Похоже  чтото в промежутке стоит... точнее стояло.

 

зы.

ну зачем так делать..

nserver:       ns1.providersolutions.ru. 89.253.252.13
nserver:       ns2.providersolutions.ru. 89.253.252.15
там один мой любимый ресурс на почтиать перед сном был.. оба не алё... сам русоник, чьи IP, вроде живой.

 

Но трафик на MskIX в пределах как обычно, кстати..

Share this post


Link to post
Share on other sites

Только приехал из ДЦ, в 18:50 умерли два каталиста 3750. Классный вечер пятницы.

Share this post


Link to post
Share on other sites

А вот как это выглядит (для коллекции). Как это сделали - хз... ибо коммутатор наружу ничем не смотрел.

IMG_20180407_011309.983.jpg

Edited by borcat

Share this post


Link to post
Share on other sites

вообще то при введении девайса в продакшен, достаточно nmap, по всем интерфейсам прогнать,  закрыть все что не  нужно, максимально ограничивая что нужно. Мне  интересен ответ на вопрос почему пострадавшие так не делали?

Share this post


Link to post
Share on other sites
7 minutes ago, nickD said:

вообще то при введении девайса в продакшен, достаточно nmap, по всем интерфейсам прогнать,  закрыть все что не  нужно, максимально ограничивая что нужно. Мне  интересен ответ на вопрос почему пострадавшие так не делали?

Согласен что такое нужно делать с железом наружу. Это внутренняя железка.

Share this post


Link to post
Share on other sites
33 минуты назад, nickD сказал:

вообще то при введении девайса в продакшен, достаточно nmap, по всем интерфейсам прогнать,  закрыть все что не  нужно, максимально ограничивая что нужно. Мне  интересен ответ на вопрос почему пострадавшие так не делали?

Когда у вас будет сеть больше 3-х свитчей, а тех персонала больше 2-х людей, тогда и узнаете.

Share this post


Link to post
Share on other sites

интерфейсов смотрящих во вне не было на ней вообще?

Share this post


Link to post
Share on other sites
25 minutes ago, nickD said:

интерфейсов смотрящих во вне не было на ней вообще?

Именно!

 

Очевидно где-то в подсети бот сидел...

Share this post


Link to post
Share on other sites
14 часов назад, ayf сказал:

Управление - чисто внутренний влан, без выхода в интернет. КАК?

Присоединюсь к вопросу из познавательных целей, т.к. перечисленных цисок на сети нет.

Share this post


Link to post
Share on other sites
1 час назад, borcat сказал:

Именно!

 

Очевидно где-то в подсети бот сидел...

Повесить в те сети, где были IP на пострадатой кошке писюк с tcpdump/wareshark и послушать искомый порт ? tspdump -e не забыть, IP может быть и фейковый.  Ну казачка ндо же както давить ? (ну понятно что он мог быть одноразовый, но все же)

Share this post


Link to post
Share on other sites

 Как-то мрачно... Опорная сеть у меня на кисках 29*, 35*,37*, без доступа в инет и реальников. Только на одной нашел нмапом это.  Последствий не ощутил, от аплинков тоже.

Share this post


Link to post
Share on other sites
39 минут назад, Andrei сказал:

Присоединюсь к вопросу из познавательных целей, т.к. перечисленных цисок на сети нет.

Есть мнение, что возможна эксплуатация вслепую, поскольку реализация асика коммутации скорее всего упрощенная, что по умолчанию без включенных ACLей по дефолту форвардит все специфичные пакеты вроде STP, cdp и прочих служебных, в которые входит забагованный процесс, по умолчанию форвардятся на CPU. Следовательно, просто отсылая эксплоитовую последовательность пакетов безотносительно IP, CPU валится в одностороннем порядке. Включение acl таки заставляет прошерстить пакеты и зафильтровать, поскольку acl расположена в матрице коммутации.

Я готов к тому, что на меня сейчас посыпется вал критики по поводу того, что я нихрена не понимаю в железе, однако мой опыт практического участия в дебагах некоторого количества "отечественных" железок говорит в пользу реалистичности описанного мной варианта.

Share this post


Link to post
Share on other sites

 Про киско, я просто запрещаю cdp везде. Были прецеденты.

Share this post


Link to post
Share on other sites

Вчера зарезали на бордерах, перед этим потеряв две 3750, статистика фильтра на сейчас:

user@border-rt0> show firewall filter xe-0/0/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/0/0.0-i                61987                 1199

{master}
user@border-rt0> show firewall filter xe-0/1/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/1/0.0-i                 8020                  159

{master}
user@border-rt0> show firewall filter xe-0/2/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/2/0.0-i                33777                  662

user@border-rt1> show firewall filter xe-0/0/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/0/0.0-i                    0                    0

{master}
user@border-rt1> show firewall filter xe-0/1/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/1/0.0-i                 2768                   63

{master}
user@border-rt1> show firewall filter xe-0/2/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/2/0.0-i                  480                   11

{master}
user@border-rt1> show firewall filter ae0.1011-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-ae0.1011-i                   40                    1

 

Share this post


Link to post
Share on other sites
5 часов назад, YuryD сказал:

 Про киско, я просто запрещаю cdp везде. Были прецеденты.

А поподробнее можно? Можно в личку. Ибо у меня CDP работает. Надо знать, к чему быть готовым:)

Share this post


Link to post
Share on other sites
1 час назад, ayf сказал:

А поподробнее можно? Можно в личку. Ибо у меня CDP работает. Надо знать, к чему быть готовым:)

да эт фантазии какие-то. на XE недавно репорт был.

Если все включать в пределах своей сети, то все ок.

 

Share this post


Link to post
Share on other sites
13 часов назад, zhenya` сказал:

да эт фантазии какие-то. на XE недавно репорт был.

Если все включать в пределах своей сети, то все ок.

 

 cdp расковыряли все кому не лень. и он даёт достаточно информации о соседях, чтобы навредить. например микротиков видно и убнт.

Share this post


Link to post
Share on other sites

ой да ладно вам cdp, у всех шлакотиков (routeros) по дефолту работает ro-community public, которое не видно в конфиге (а только через showprint-команду) и там уже видно очень много о внутренней структуре сети

Share this post


Link to post
Share on other sites
30 минут назад, s.lobanov сказал:

ой да ладно вам cdp, у всех шлакотиков (routeros) по дефолту работает ro-community public, которое не видно в конфиге (а только через showprint-команду) и там уже видно очень много о внутренней структуре сети

+++

cdp в нужных местах ничего не ухудшает. а вот если дать ssh/snmp до такого роутера, то злоумышленник уже может топологию поглядеть и на соседей..

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now