ayf Опубликовано 6 апреля, 2018 · Жалоба 6 минут назад, mikezzzz сказал: закрывайте порт.. Я про ацл на данную уязвимость прочитал. Но пока не понял, куда его навесить. Не на каждый же порт вешать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 6 апреля, 2018 · Жалоба 2 минуты назад, ayf сказал: Я про ацл на данную уязвимость прочитал. Но пока не понял, куда его навесить. Не на каждый же порт вешать. на каждый айпи интерфейс Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 6 апреля, 2018 · Жалоба 18 минут назад, zhenya` сказал: на каждый айпи интерфейс Успел:) 000018: Apr 6 22:00:48.876: VSTACK_ERR: smi_socket_recv_read_hdr_cont:!!!Msg_hdr type is not matching with any predefined Could be an attack, closing connection 000019: Apr 6 22:31:08.139: VSTACK_ERR: smi_socket_recv_read_hdr_cont:!!!Msg_hdr type is not matching with any predefined Could be an attack, closing connection Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 6 апреля, 2018 · Жалоба Вообще ещё с утра повесил на бордере правило на входе на этот порт... за час настреляло 3274 срабатываний, а потом как отрезало.. кажется гдето выше ктото сделал тоже самое. к вечеру только +15 срабатываний... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 6 апреля, 2018 · Жалоба А Билайн походу хорошо зацепило :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 6 апреля, 2018 · Жалоба Знакомые жалуются на пропадание линка с релкомом/демосом.. но из вне IP на стороне релкома отзывается. Похоже чтото в промежутке стоит... точнее стояло. зы. ну зачем так делать.. nserver: ns1.providersolutions.ru. 89.253.252.13 nserver: ns2.providersolutions.ru. 89.253.252.15 там один мой любимый ресурс на почтиать перед сном был.. оба не алё... сам русоник, чьи IP, вроде живой. Но трафик на MskIX в пределах как обычно, кстати.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smart85 Опубликовано 6 апреля, 2018 · Жалоба Только приехал из ДЦ, в 18:50 умерли два каталиста 3750. Классный вечер пятницы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
borcat Опубликовано 7 апреля, 2018 (изменено) · Жалоба А вот как это выглядит (для коллекции). Как это сделали - хз... ибо коммутатор наружу ничем не смотрел. Изменено 7 апреля, 2018 пользователем borcat Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nickD Опубликовано 7 апреля, 2018 · Жалоба вообще то при введении девайса в продакшен, достаточно nmap, по всем интерфейсам прогнать, закрыть все что не нужно, максимально ограничивая что нужно. Мне интересен ответ на вопрос почему пострадавшие так не делали? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
borcat Опубликовано 7 апреля, 2018 · Жалоба 7 minutes ago, nickD said: вообще то при введении девайса в продакшен, достаточно nmap, по всем интерфейсам прогнать, закрыть все что не нужно, максимально ограничивая что нужно. Мне интересен ответ на вопрос почему пострадавшие так не делали? Согласен что такое нужно делать с железом наружу. Это внутренняя железка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 7 апреля, 2018 · Жалоба 33 минуты назад, nickD сказал: вообще то при введении девайса в продакшен, достаточно nmap, по всем интерфейсам прогнать, закрыть все что не нужно, максимально ограничивая что нужно. Мне интересен ответ на вопрос почему пострадавшие так не делали? Когда у вас будет сеть больше 3-х свитчей, а тех персонала больше 2-х людей, тогда и узнаете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nickD Опубликовано 7 апреля, 2018 · Жалоба интерфейсов смотрящих во вне не было на ней вообще? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
borcat Опубликовано 7 апреля, 2018 · Жалоба 25 minutes ago, nickD said: интерфейсов смотрящих во вне не было на ней вообще? Именно! Очевидно где-то в подсети бот сидел... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 7 апреля, 2018 · Жалоба 14 часов назад, ayf сказал: Управление - чисто внутренний влан, без выхода в интернет. КАК? Присоединюсь к вопросу из познавательных целей, т.к. перечисленных цисок на сети нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 7 апреля, 2018 · Жалоба 1 час назад, borcat сказал: Именно! Очевидно где-то в подсети бот сидел... Повесить в те сети, где были IP на пострадатой кошке писюк с tcpdump/wareshark и послушать искомый порт ? tspdump -e не забыть, IP может быть и фейковый. Ну казачка ндо же както давить ? (ну понятно что он мог быть одноразовый, но все же) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 7 апреля, 2018 · Жалоба Как-то мрачно... Опорная сеть у меня на кисках 29*, 35*,37*, без доступа в инет и реальников. Только на одной нашел нмапом это. Последствий не ощутил, от аплинков тоже. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SpheriX Опубликовано 7 апреля, 2018 · Жалоба 39 минут назад, Andrei сказал: Присоединюсь к вопросу из познавательных целей, т.к. перечисленных цисок на сети нет. Есть мнение, что возможна эксплуатация вслепую, поскольку реализация асика коммутации скорее всего упрощенная, что по умолчанию без включенных ACLей по дефолту форвардит все специфичные пакеты вроде STP, cdp и прочих служебных, в которые входит забагованный процесс, по умолчанию форвардятся на CPU. Следовательно, просто отсылая эксплоитовую последовательность пакетов безотносительно IP, CPU валится в одностороннем порядке. Включение acl таки заставляет прошерстить пакеты и зафильтровать, поскольку acl расположена в матрице коммутации. Я готов к тому, что на меня сейчас посыпется вал критики по поводу того, что я нихрена не понимаю в железе, однако мой опыт практического участия в дебагах некоторого количества "отечественных" железок говорит в пользу реалистичности описанного мной варианта. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 7 апреля, 2018 · Жалоба Про киско, я просто запрещаю cdp везде. Были прецеденты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smart85 Опубликовано 7 апреля, 2018 · Жалоба Вчера зарезали на бордерах, перед этим потеряв две 3750, статистика фильтра на сейчас: user@border-rt0> show firewall filter xe-0/0/0.0-i | match "Name|smart" Name Bytes Packets discard-cisco-smartinstall-xe-0/0/0.0-i 61987 1199 {master} user@border-rt0> show firewall filter xe-0/1/0.0-i | match "Name|smart" Name Bytes Packets discard-cisco-smartinstall-xe-0/1/0.0-i 8020 159 {master} user@border-rt0> show firewall filter xe-0/2/0.0-i | match "Name|smart" Name Bytes Packets discard-cisco-smartinstall-xe-0/2/0.0-i 33777 662 user@border-rt1> show firewall filter xe-0/0/0.0-i | match "Name|smart" Name Bytes Packets discard-cisco-smartinstall-xe-0/0/0.0-i 0 0 {master} user@border-rt1> show firewall filter xe-0/1/0.0-i | match "Name|smart" Name Bytes Packets discard-cisco-smartinstall-xe-0/1/0.0-i 2768 63 {master} user@border-rt1> show firewall filter xe-0/2/0.0-i | match "Name|smart" Name Bytes Packets discard-cisco-smartinstall-xe-0/2/0.0-i 480 11 {master} user@border-rt1> show firewall filter ae0.1011-i | match "Name|smart" Name Bytes Packets discard-cisco-smartinstall-ae0.1011-i 40 1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 7 апреля, 2018 · Жалоба 5 часов назад, YuryD сказал: Про киско, я просто запрещаю cdp везде. Были прецеденты. А поподробнее можно? Можно в личку. Ибо у меня CDP работает. Надо знать, к чему быть готовым:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 7 апреля, 2018 · Жалоба 1 час назад, ayf сказал: А поподробнее можно? Можно в личку. Ибо у меня CDP работает. Надо знать, к чему быть готовым:) да эт фантазии какие-то. на XE недавно репорт был. Если все включать в пределах своей сети, то все ок. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 8 апреля, 2018 · Жалоба 13 часов назад, zhenya` сказал: да эт фантазии какие-то. на XE недавно репорт был. Если все включать в пределах своей сети, то все ок. cdp расковыряли все кому не лень. и он даёт достаточно информации о соседях, чтобы навредить. например микротиков видно и убнт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 9 апреля, 2018 · Жалоба ой да ладно вам cdp, у всех шлакотиков (routeros) по дефолту работает ro-community public, которое не видно в конфиге (а только через showprint-команду) и там уже видно очень много о внутренней структуре сети Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 9 апреля, 2018 · Жалоба 30 минут назад, s.lobanov сказал: ой да ладно вам cdp, у всех шлакотиков (routeros) по дефолту работает ro-community public, которое не видно в конфиге (а только через showprint-команду) и там уже видно очень много о внутренней структуре сети +++ cdp в нужных местах ничего не ухудшает. а вот если дать ssh/snmp до такого роутера, то злоумышленник уже может топологию поглядеть и на соседей.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
p10neer Опубликовано 16 апреля, 2018 · Жалоба Трафик VK и Google через Мегафон просел сильно. Через Билайн без изменений. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...