[ayf]

6 минут назад, mikezzzz сказал:

закрывайте порт..

Я про ацл на данную уязвимость прочитал. Но пока не понял, куда его навесить. Не на каждый же порт вешать.

[zhenya`]

2 минуты назад, ayf сказал:

Я про ацл на данную уязвимость прочитал. Но пока не понял, куда его навесить. Не на каждый же порт вешать.

на каждый айпи интерфейс

[ayf]

18 минут назад, zhenya` сказал:

на каждый айпи интерфейс

Успел:)
 

000018: Apr  6 22:00:48.876: VSTACK_ERR:
smi_socket_recv_read_hdr_cont:!!!Msg_hdr type is not matching with any predefined
Could be an attack, closing connection
000019: Apr  6 22:31:08.139: VSTACK_ERR:
smi_socket_recv_read_hdr_cont:!!!Msg_hdr type is not matching with any predefined
Could be an attack, closing connection

 

[st_re]

Вообще ещё с утра повесил на бордере правило на входе на этот порт... за час настреляло 3274 срабатываний, а потом как отрезало.. кажется гдето выше ктото сделал тоже самое. к вечеру только +15 срабатываний...

[NikAlexAn]

А Билайн походу хорошо зацепило :(

[st_re]

Знакомые жалуются на пропадание линка с релкомом/демосом.. но из вне IP на стороне релкома отзывается. Похоже  чтото в промежутке стоит... точнее стояло.

 

зы.

ну зачем так делать..

nserver:       ns1.providersolutions.ru. 89.253.252.13
nserver:       ns2.providersolutions.ru. 89.253.252.15
там один мой любимый ресурс на почтиать перед сном был.. оба не алё... сам русоник, чьи IP, вроде живой.

 

Но трафик на MskIX в пределах как обычно, кстати..

[smart85]

Только приехал из ДЦ, в 18:50 умерли два каталиста 3750. Классный вечер пятницы.

[borcat]

А вот как это выглядит (для коллекции). Как это сделали - хз... ибо коммутатор наружу ничем не смотрел.

Изменено 7 апреля, 2018 пользователем borcat

[nickD]

вообще то при введении девайса в продакшен, достаточно nmap, по всем интерфейсам прогнать,  закрыть все что не  нужно, максимально ограничивая что нужно. Мне  интересен ответ на вопрос почему пострадавшие так не делали?

[borcat]

7 minutes ago, nickD said:

вообще то при введении девайса в продакшен, достаточно nmap, по всем интерфейсам прогнать,  закрыть все что не  нужно, максимально ограничивая что нужно. Мне  интересен ответ на вопрос почему пострадавшие так не делали?

Согласен что такое нужно делать с железом наружу. Это внутренняя железка.

[vurd]

33 минуты назад, nickD сказал:

вообще то при введении девайса в продакшен, достаточно nmap, по всем интерфейсам прогнать,  закрыть все что не  нужно, максимально ограничивая что нужно. Мне  интересен ответ на вопрос почему пострадавшие так не делали?

Когда у вас будет сеть больше 3-х свитчей, а тех персонала больше 2-х людей, тогда и узнаете.

[nickD]

интерфейсов смотрящих во вне не было на ней вообще?

[borcat]

25 minutes ago, nickD said:

интерфейсов смотрящих во вне не было на ней вообще?

Именно!

 

Очевидно где-то в подсети бот сидел...

[Andrei]

14 часов назад, ayf сказал:

Управление - чисто внутренний влан, без выхода в интернет. КАК?

Присоединюсь к вопросу из познавательных целей, т.к. перечисленных цисок на сети нет.

[st_re]

1 час назад, borcat сказал:

Именно!

 

Очевидно где-то в подсети бот сидел...

Повесить в те сети, где были IP на пострадатой кошке писюк с tcpdump/wareshark и послушать искомый порт ? tspdump -e не забыть, IP может быть и фейковый.  Ну казачка ндо же както давить ? (ну понятно что он мог быть одноразовый, но все же)

[YuryD]

 Как-то мрачно... Опорная сеть у меня на кисках 29*, 35*,37*, без доступа в инет и реальников. Только на одной нашел нмапом это.  Последствий не ощутил, от аплинков тоже.

[SpheriX]

39 минут назад, Andrei сказал:

Присоединюсь к вопросу из познавательных целей, т.к. перечисленных цисок на сети нет.

Есть мнение, что возможна эксплуатация вслепую, поскольку реализация асика коммутации скорее всего упрощенная, что по умолчанию без включенных ACLей по дефолту форвардит все специфичные пакеты вроде STP, cdp и прочих служебных, в которые входит забагованный процесс, по умолчанию форвардятся на CPU. Следовательно, просто отсылая эксплоитовую последовательность пакетов безотносительно IP, CPU валится в одностороннем порядке. Включение acl таки заставляет прошерстить пакеты и зафильтровать, поскольку acl расположена в матрице коммутации.

Я готов к тому, что на меня сейчас посыпется вал критики по поводу того, что я нихрена не понимаю в железе, однако мой опыт практического участия в дебагах некоторого количества "отечественных" железок говорит в пользу реалистичности описанного мной варианта.

[YuryD]

 Про киско, я просто запрещаю cdp везде. Были прецеденты.

[smart85]

Вчера зарезали на бордерах, перед этим потеряв две 3750, статистика фильтра на сейчас:

user@border-rt0> show firewall filter xe-0/0/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/0/0.0-i                61987                 1199

{master}
user@border-rt0> show firewall filter xe-0/1/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/1/0.0-i                 8020                  159

{master}
user@border-rt0> show firewall filter xe-0/2/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/2/0.0-i                33777                  662

user@border-rt1> show firewall filter xe-0/0/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/0/0.0-i                    0                    0

{master}
user@border-rt1> show firewall filter xe-0/1/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/1/0.0-i                 2768                   63

{master}
user@border-rt1> show firewall filter xe-0/2/0.0-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-xe-0/2/0.0-i                  480                   11

{master}
user@border-rt1> show firewall filter ae0.1011-i | match "Name|smart"
Name                                                Bytes              Packets
discard-cisco-smartinstall-ae0.1011-i                   40                    1

 

[ayf]

5 часов назад, YuryD сказал:

 Про киско, я просто запрещаю cdp везде. Были прецеденты.

А поподробнее можно? Можно в личку. Ибо у меня CDP работает. Надо знать, к чему быть готовым:)

[zhenya`]

1 час назад, ayf сказал:

А поподробнее можно? Можно в личку. Ибо у меня CDP работает. Надо знать, к чему быть готовым:)

да эт фантазии какие-то. на XE недавно репорт был.

Если все включать в пределах своей сети, то все ок.

 

[YuryD]

13 часов назад, zhenya` сказал:

да эт фантазии какие-то. на XE недавно репорт был.

Если все включать в пределах своей сети, то все ок.

 

 cdp расковыряли все кому не лень. и он даёт достаточно информации о соседях, чтобы навредить. например микротиков видно и убнт.

[s.lobanov]

ой да ладно вам cdp, у всех шлакотиков (routeros) по дефолту работает ro-community public, которое не видно в конфиге (а только через showprint-команду) и там уже видно очень много о внутренней структуре сети

[zhenya`]

30 минут назад, s.lobanov сказал:

ой да ладно вам cdp, у всех шлакотиков (routeros) по дефолту работает ro-community public, которое не видно в конфиге (а только через showprint-команду) и там уже видно очень много о внутренней структуре сети

+++

cdp в нужных местах ничего не ухудшает. а вот если дать ssh/snmp до такого роутера, то злоумышленник уже может топологию поглядеть и на соседей..

[p10neer]

Трафик VK и Google через Мегафон просел сильно. Через Билайн без изменений.