[Saab95]

На микротике можно конфиги восстанавливать по ходу из центра - залили на основное оборудование, потом по подключенным каналам на остальное и т.п. по мак телнету.

 

С циской же только с ноутбуком идти в консоле ужас наводить.

[LostSoul]

4 часа назад, Saab95 сказал:

Конечно менее. На нем изначально никаких возможностей удаленно загружать прошивку нет.

Достаточно установить ограничение по IP админов на рабочие службы и никто подключиться не сможет.

А у циски обычно "вланы управления", что само собой подразумевает возможность захода откуда угодно.

 

Ага конечно. Это циска придумала mac-telnet и mac-winbox по умолчанию вешать доступными на всех интерфейсах и устройства с дефоултным паролем admin: пусто поставлять.

за 1.5 минуты скана небольшой сети местного оператора нашел 5 штук незапароленных железок .

 

[Ivan_83]

2 часа назад, jffulcrum сказал:

Смешного мало...в Москве вчера несколько операторов хакнули, обнулив конфиги, в основном пострадали всякие бизнес-центры.

Теперь мало.

Раньше тут кошатники ходили с завышенным ЧСВ, тогда такое было смешно. Щас железок получше кошки за дешевле появилось полно и они сами наполучали ещё бумажек от других вендоров или отлупов от тех кто экономит.

Теперь место это заняли пользователи микроглюков с завышенным ЧСВ.

[kapydan]

5 часов назад, YuryD сказал:

Но и дыры известные есть, cdp например.

так циска и рекомендует cdp выключать. особенно на устройствах, которые смотрят в инет.

[Urs_ak]

https://www.kaspersky.ru/blog/cisco-apocalypse/20136/

Цитата

 

Если ответ покажет, что Smart Install включен, то рекомендуется отключить его при помощи команды no vstack.

 

В некоторых релизах операционной системы это отключение будет работать до первой перезагрузки (в свитчах серий Cisco Catalyst 4500 и 4500-X при ОС 3.9.2E/15.2(5)E2; в свитчах Cisco Catalyst 6500 при версиях системы 15.1(2)SY11, 15.2(1)SY5 и 15.2(2)SY3; в свитчах Cisco Industrial Ethernet 4000 при версиях 15.2(5)E2 и 15.2(5)E2a; а также в свитчах Cisco ME 3400 и ME 3400E при версии 12.2(60)EZ11. Узнать версию используемой ОС можно, исполнив команду show version). В таком случае рекомендуется сменить версию или автоматизировать выполнение команды no vstack.

 

 

[nuclearcat]

Интересно, кто-то поймал в netflow ip-шники тех кто ломал?

[bike]

6 минут назад, nuclearcat сказал:

Интересно, кто-то поймал в netflow ip-шники тех кто ломал?

Интересней как ломали железки в DMZ с серыми IP и железо вообще без доступа к интернету.

[nuclearcat]

Пока пруфов такового похоже нет, скорее всего где-то да был легкий выход в инет.

[vvertexx]

@nuclearcat 

с digitalocean'а было

[bike]

4 минуты назад, nuclearcat сказал:

Пока пруфов такового похоже нет, скорее всего где-то да был легкий выход в инет.

9 часов назад, SpheriX сказал:

Есть мнение, что возможна эксплуатация вслепую, поскольку реализация асика коммутации скорее всего упрощенная, что по умолчанию без включенных ACLей по дефолту форвардит все специфичные пакеты вроде STP, cdp и прочих служебных, в которые входит забагованный процесс, по умолчанию форвардятся на CPU. Следовательно, просто отсылая эксплоитовую последовательность пакетов безотносительно IP, CPU валится в одностороннем порядке. Включение acl таки заставляет прошерстить пакеты и зафильтровать, поскольку acl расположена в матрице коммутации.

Я готов к тому, что на меня сейчас посыпется вал критики по поводу того, что я нихрена не понимаю в железе, однако мой опыт практического участия в дебагах некоторого количества "отечественных" железок говорит в пользу реалистичности описанного мной варианта.

Как то страшно жить...

[nuclearcat]

Нужны пруфы (ессно замаскировать dst ip оператора), чтобы вопросики дижиталоушну позадавать

 

1 minute ago, bike said:

 

Как то страшно жить...

По поводу того утверждения и smart install, такое возможно с stateless protocols, но ИМХО к tcp через который ходит smart install это отношения не имеет

[zhenya`]

Apr  6 16:07:39.692: %SYS-5-CONFIG_NV_I: Nonvolatile storage configured from tftp://198.199.79.18/my.conf by console
Apr  6 16:07:40.833: %SYS-5-RELOAD: Reload requested by SMI IBC Download Process. Reload Reason: Switch upgraded through Smart Install.

 

в одном из чатиков такое видел. Кто сислог собирает и пострадал поглядите тоже.

[enots]

198.199.79.18 tcp 4786 и udp tftpd

128.199.60.122 только tcp 4786

[^rage^]

8 часов назад, jffulcrum сказал:

Смешного мало...в Москве вчера несколько операторов хакнули, обнулив конфиги, в основном пострадали всякие бизнес-центры.

ну так а чего страшного, ведь у них же бэкапы конфигов есть, да?

[rdc]

пример страшного - https://kinomax.ru/

 

Уважаемые гости! Временно не работает покупка билетов. У нашего провайдера возникли технические проблемы и он уже занимается поиском решения. Приносим свои извинения за предоставленные неудобства.

 

"временно" - это уже вторые сутки.

провайдер-то всё из бэкапов поднимет, но сколько к этому моменту бабла потеряется…

[zhenya`]

Бэкапов видимо нет)

[alexwin]

12 минут назад, zhenya` сказал:

Бэкапов видимо нет)

А чувак в свитре с оленями,который все конфигурил,где-то в глубоком забухе.

 

8 часов назад, nuclearcat сказал:

Интересно, кто-то поймал в netflow ip-шники тех кто ломал?

А что оно даст? С какого-нибудь vps/vds арендованного (на биткойны) запускали по-любому. Никто палиться так глупо не будет,если только клинические идиоты какие-нибудь.

[YuryD]

 Даже ркн в субботу проснулся, с письмом :)  и требовал до воскресенья ответить :)

[alexwin]

10 минут назад, YuryD сказал:

 Даже ркн в субботу проснулся, с письмом :)  и требовал до воскресенья ответить :)

Да пора бы уже за голову схватиться,уязвимость смешная (устраняется одной командой),не зеродэй (известна аж с 2016),а последствия... Вот тебе и защищенность критической инфраструктуры... Уровня детской песочницы.

[YuryD]

5 минут назад, alexwin сказал:

Да пора бы уже за голову схватиться,уязвимость смешная (устраняется одной командой),не зеродэй (известна аж с 2016),а последствия... Вот тебе и защищенность критической инфраструктуры... Уровня детской песочницы.

 А вы чего хотели ? Киберпатруль аля пожарная безопасность в масштабе страны ? Ну так и будет, как при проверках пожарных, сэс и прочих контролёрах... Максимум - дое.утся что у вас в серверной пачкорды непараллельны. И не бай дог, оказаться частью критической инфраструктуры, требования там огого-какие, и не за счёт государства.

[alexwin]

1 минуту назад, YuryD сказал:

 А вы чего хотели ? Киберпатруль аля пожарная безопасность в масштабе страны ? Ну так и будет, как при проверках пожарных, сэс и прочих контролёрах... Максимум - дое.утся что у вас в серверной пачкорды непараллельны.

Сплюньте через плечо,этого цирка этой стране еще не хватало.

[YuryD]

4 минуты назад, alexwin сказал:

Сплюньте через плечо,этого цирка этой стране еще не хватало.

 Это Оруэлл, для начала министерство правды, затем контроль. Но может и наоборот, сначала контроль а затем минправды

[alexwin]

Операторы,которые попали под раздачу - это те,у которых положен болт на безопасность: в штате нет отдельного ИБэшника и не проводятся регулярные аудиты безопасности.

 

5 минут назад, YuryD сказал:

 Это Оруэлл, для начала министерство правды, затем контроль. Но может и наоборот, сначала контроль а затем минправды

Закончится все максимум каким-то совещанием.

[YuryD]

7 минут назад, alexwin сказал:

Закончится все максимум каким-то совещанием.

 У нас не оон, с терроризмом совещаниями не борются. Борятся нелепыми телодвижениями. Хотя - отчего-бы не попробовать в запретинфо наконец-то использовать порт в урлах ? Нормальные дпи должны уметь...

 

 Для хохмы недавно включил 

ipfw show 3
00003          222            8900 deny tcp from any to any dst-port 4786

 

[alexwin]

36 минут назад, YuryD сказал:

Для хохмы недавно включил 

ipfw show 3
00003          222            8900 deny tcp from any to any dst-port 4786

 

Наверное,грамотнее было бы свое (операторское) оборудование защитить,а клиенты пусть сами решают за свое.

 

37 минут назад, YuryD сказал:

Хотя - отчего-бы не попробовать в запретинфо наконец-то использовать порт в урлах ?

Ну как бы он для запрещенки,а не для ИБ,задачи разные.

 

38 минут назад, YuryD сказал:

Борятся нелепыми телодвижениями

Я не понимаю,что так много денег нужно,чтобы обучить сотрудников РКН сетевым технологиям и ИБ? (курсов различных полно). Меньше бы репутация страдала из-за систематических опарафиниваний рейтуз.