Jump to content

XYZ упал А написать некуда!!!

6 минут назад, mikezzzz сказал:

закрывайте порт..

Я про ацл на данную уязвимость прочитал. Но пока не понял, куда его навесить. Не на каждый же порт вешать.

Share this post


Link to post
Share on other sites

2 минуты назад, ayf сказал:

Я про ацл на данную уязвимость прочитал. Но пока не понял, куда его навесить. Не на каждый же порт вешать.

на каждый айпи интерфейс

Share this post


Link to post
Share on other sites

18 минут назад, zhenya` сказал:

на каждый айпи интерфейс

Успел:)
 

000018: Apr  6 22:00:48.876: VSTACK_ERR:
smi_socket_recv_read_hdr_cont:!!!Msg_hdr type is not matching with any predefined
Could be an attack, closing connection
000019: Apr  6 22:31:08.139: VSTACK_ERR:
smi_socket_recv_read_hdr_cont:!!!Msg_hdr type is not matching with any predefined
Could be an attack, closing connection

 

Share this post


Link to post
Share on other sites

Вообще ещё с утра повесил на бордере правило на входе на этот порт... за час настреляло 3274 срабатываний, а потом как отрезало.. кажется гдето выше ктото сделал тоже самое. к вечеру только +15 срабатываний...

Share this post


Link to post
Share on other sites

Знакомые жалуются на пропадание линка с релкомом/демосом.. но из вне IP на стороне релкома отзывается. Похоже  чтото в промежутке стоит... точнее стояло.

 

зы.

ну зачем так делать..

nserver:       ns1.providersolutions.ru. 89.253.252.13
nserver:       ns2.providersolutions.ru. 89.253.252.15
там один мой любимый ресурс на почтиать перед сном был.. оба не алё... сам русоник, чьи IP, вроде живой.

 

Но трафик на MskIX в пределах как обычно, кстати..

Share this post


Link to post
Share on other sites

А вот как это выглядит (для коллекции). Как это сделали - хз... ибо коммутатор наружу ничем не смотрел.

IMG_20180407_011309.983.jpg

Edited by borcat

Share this post


Link to post
Share on other sites

вообще то при введении девайса в продакшен, достаточно nmap, по всем интерфейсам прогнать,  закрыть все что не  нужно, максимально ограничивая что нужно. Мне  интересен ответ на вопрос почему пострадавшие так не делали?

Share this post


Link to post
Share on other sites

7 minutes ago, nickD said:

вообще то при введении девайса в продакшен, достаточно nmap, по всем интерфейсам прогнать,  закрыть все что не  нужно, максимально ограничивая что нужно. Мне  интересен ответ на вопрос почему пострадавшие так не делали?

Согласен что такое нужно делать с железом наружу. Это внутренняя железка.

Share this post


Link to post
Share on other sites

33 минуты назад, nickD сказал:

вообще то при введении девайса в продакшен, достаточно nmap, по всем интерфейсам прогнать,  закрыть все что не  нужно, максимально ограничивая что нужно. Мне  интересен ответ на вопрос почему пострадавшие так не делали?

Когда у вас будет сеть больше 3-х свитчей, а тех персонала больше 2-х людей, тогда и узнаете.

Share this post


Link to post
Share on other sites

25 minutes ago, nickD said:

интерфейсов смотрящих во вне не было на ней вообще?

Именно!

 

Очевидно где-то в подсети бот сидел...

Share this post


Link to post
Share on other sites

14 часов назад, ayf сказал:

Управление - чисто внутренний влан, без выхода в интернет. КАК?

Присоединюсь к вопросу из познавательных целей, т.к. перечисленных цисок на сети нет.

Share this post


Link to post
Share on other sites

1 час назад, borcat сказал:

Именно!

 

Очевидно где-то в подсети бот сидел...

Повесить в те сети, где были IP на пострадатой кошке писюк с tcpdump/wareshark и послушать искомый порт ? tspdump -e не забыть, IP может быть и фейковый.  Ну казачка ндо же както давить ? (ну понятно что он мог быть одноразовый, но все же)

Share this post


Link to post
Share on other sites

 Как-то мрачно... Опорная сеть у меня на кисках 29*, 35*,37*, без доступа в инет и реальников. Только на одной нашел нмапом это.  Последствий не ощутил, от аплинков тоже.

Share this post


Link to post
Share on other sites

39 минут назад, Andrei сказал:

Присоединюсь к вопросу из познавательных целей, т.к. перечисленных цисок на сети нет.

Есть мнение, что возможна эксплуатация вслепую, поскольку реализация асика коммутации скорее всего упрощенная, что по умолчанию без включенных ACLей по дефолту форвардит все специфичные пакеты вроде STP, cdp и прочих служебных, в которые входит забагованный процесс, по умолчанию форвардятся на CPU. Следовательно, просто отсылая эксплоитовую последовательность пакетов безотносительно IP, CPU валится в одностороннем порядке. Включение acl таки заставляет прошерстить пакеты и зафильтровать, поскольку acl расположена в матрице коммутации.

Я готов к тому, что на меня сейчас посыпется вал критики по поводу того, что я нихрена не понимаю в железе, однако мой опыт практического участия в дебагах некоторого количества "отечественных" железок говорит в пользу реалистичности описанного мной варианта.

Share this post


Link to post
Share on other sites

 Про киско, я просто запрещаю cdp везде. Были прецеденты.

Share this post


Link to post
Share on other sites

Вчера зарезали на бордерах, перед этим потеряв две 3750, статистика фильтра на сейчас:

user@border-rt0> show firewall filter xe-0/0/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/0/0.0-i                61987                 1199

{master}
user@border-rt0> show firewall filter xe-0/1/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/1/0.0-i                 8020                  159

{master}
user@border-rt0> show firewall filter xe-0/2/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/2/0.0-i                33777                  662

user@border-rt1> show firewall filter xe-0/0/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/0/0.0-i                    0                    0

{master}
user@border-rt1> show firewall filter xe-0/1/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/1/0.0-i                 2768                   63

{master}
user@border-rt1> show firewall filter xe-0/2/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/2/0.0-i                  480                   11

{master}
user@border-rt1> show firewall filter ae0.1011-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-ae0.1011-i                   40                    1

 

Share this post


Link to post
Share on other sites

5 часов назад, YuryD сказал:

 Про киско, я просто запрещаю cdp везде. Были прецеденты.

А поподробнее можно? Можно в личку. Ибо у меня CDP работает. Надо знать, к чему быть готовым:)

Share this post


Link to post
Share on other sites

1 час назад, ayf сказал:

А поподробнее можно? Можно в личку. Ибо у меня CDP работает. Надо знать, к чему быть готовым:)

да эт фантазии какие-то. на XE недавно репорт был.

Если все включать в пределах своей сети, то все ок.

 

Share this post


Link to post
Share on other sites

13 часов назад, zhenya` сказал:

да эт фантазии какие-то. на XE недавно репорт был.

Если все включать в пределах своей сети, то все ок.

 

 cdp расковыряли все кому не лень. и он даёт достаточно информации о соседях, чтобы навредить. например микротиков видно и убнт.

Share this post


Link to post
Share on other sites

ой да ладно вам cdp, у всех шлакотиков (routeros) по дефолту работает ro-community public, которое не видно в конфиге (а только через showprint-команду) и там уже видно очень много о внутренней структуре сети

Share this post


Link to post
Share on other sites

30 минут назад, s.lobanov сказал:

ой да ладно вам cdp, у всех шлакотиков (routeros) по дефолту работает ro-community public, которое не видно в конфиге (а только через showprint-команду) и там уже видно очень много о внутренней структуре сети

+++

cdp в нужных местах ничего не ухудшает. а вот если дать ssh/snmp до такого роутера, то злоумышленник уже может топологию поглядеть и на соседей..

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.