Saab95 Опубликовано 7 апреля, 2018 · Жалоба На микротике можно конфиги восстанавливать по ходу из центра - залили на основное оборудование, потом по подключенным каналам на остальное и т.п. по мак телнету. С циской же только с ноутбуком идти в консоле ужас наводить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 7 апреля, 2018 · Жалоба 4 часа назад, Saab95 сказал: Конечно менее. На нем изначально никаких возможностей удаленно загружать прошивку нет. Достаточно установить ограничение по IP админов на рабочие службы и никто подключиться не сможет. А у циски обычно "вланы управления", что само собой подразумевает возможность захода откуда угодно. Ага конечно. Это циска придумала mac-telnet и mac-winbox по умолчанию вешать доступными на всех интерфейсах и устройства с дефоултным паролем admin: пусто поставлять. за 1.5 минуты скана небольшой сети местного оператора нашел 5 штук незапароленных железок . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 7 апреля, 2018 · Жалоба 2 часа назад, jffulcrum сказал: Смешного мало...в Москве вчера несколько операторов хакнули, обнулив конфиги, в основном пострадали всякие бизнес-центры. Теперь мало. Раньше тут кошатники ходили с завышенным ЧСВ, тогда такое было смешно. Щас железок получше кошки за дешевле появилось полно и они сами наполучали ещё бумажек от других вендоров или отлупов от тех кто экономит. Теперь место это заняли пользователи микроглюков с завышенным ЧСВ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 7 апреля, 2018 · Жалоба 5 часов назад, YuryD сказал: Но и дыры известные есть, cdp например. так циска и рекомендует cdp выключать. особенно на устройствах, которые смотрят в инет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Urs_ak Опубликовано 7 апреля, 2018 · Жалоба https://www.kaspersky.ru/blog/cisco-apocalypse/20136/ Цитата Если ответ покажет, что Smart Install включен, то рекомендуется отключить его при помощи команды no vstack. В некоторых релизах операционной системы это отключение будет работать до первой перезагрузки (в свитчах серий Cisco Catalyst 4500 и 4500-X при ОС 3.9.2E/15.2(5)E2; в свитчах Cisco Catalyst 6500 при версиях системы 15.1(2)SY11, 15.2(1)SY5 и 15.2(2)SY3; в свитчах Cisco Industrial Ethernet 4000 при версиях 15.2(5)E2 и 15.2(5)E2a; а также в свитчах Cisco ME 3400 и ME 3400E при версии 12.2(60)EZ11. Узнать версию используемой ОС можно, исполнив команду show version). В таком случае рекомендуется сменить версию или автоматизировать выполнение команды no vstack. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 7 апреля, 2018 · Жалоба Интересно, кто-то поймал в netflow ip-шники тех кто ломал? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 7 апреля, 2018 · Жалоба 6 минут назад, nuclearcat сказал: Интересно, кто-то поймал в netflow ip-шники тех кто ломал? Интересней как ломали железки в DMZ с серыми IP и железо вообще без доступа к интернету. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 7 апреля, 2018 · Жалоба Пока пруфов такового похоже нет, скорее всего где-то да был легкий выход в инет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 7 апреля, 2018 · Жалоба @nuclearcat с digitalocean'а было Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bike Опубликовано 7 апреля, 2018 · Жалоба 4 минуты назад, nuclearcat сказал: Пока пруфов такового похоже нет, скорее всего где-то да был легкий выход в инет. 9 часов назад, SpheriX сказал: Есть мнение, что возможна эксплуатация вслепую, поскольку реализация асика коммутации скорее всего упрощенная, что по умолчанию без включенных ACLей по дефолту форвардит все специфичные пакеты вроде STP, cdp и прочих служебных, в которые входит забагованный процесс, по умолчанию форвардятся на CPU. Следовательно, просто отсылая эксплоитовую последовательность пакетов безотносительно IP, CPU валится в одностороннем порядке. Включение acl таки заставляет прошерстить пакеты и зафильтровать, поскольку acl расположена в матрице коммутации. Я готов к тому, что на меня сейчас посыпется вал критики по поводу того, что я нихрена не понимаю в железе, однако мой опыт практического участия в дебагах некоторого количества "отечественных" железок говорит в пользу реалистичности описанного мной варианта. Как то страшно жить... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 7 апреля, 2018 · Жалоба Нужны пруфы (ессно замаскировать dst ip оператора), чтобы вопросики дижиталоушну позадавать 1 minute ago, bike said: Как то страшно жить... По поводу того утверждения и smart install, такое возможно с stateless protocols, но ИМХО к tcp через который ходит smart install это отношения не имеет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 7 апреля, 2018 · Жалоба Apr 6 16:07:39.692: %SYS-5-CONFIG_NV_I: Nonvolatile storage configured from tftp://198.199.79.18/my.conf by console Apr 6 16:07:40.833: %SYS-5-RELOAD: Reload requested by SMI IBC Download Process. Reload Reason: Switch upgraded through Smart Install. в одном из чатиков такое видел. Кто сислог собирает и пострадал поглядите тоже. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
enots Опубликовано 7 апреля, 2018 · Жалоба 198.199.79.18 tcp 4786 и udp tftpd 128.199.60.122 только tcp 4786 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 7 апреля, 2018 · Жалоба 8 часов назад, jffulcrum сказал: Смешного мало...в Москве вчера несколько операторов хакнули, обнулив конфиги, в основном пострадали всякие бизнес-центры. ну так а чего страшного, ведь у них же бэкапы конфигов есть, да? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdc Опубликовано 8 апреля, 2018 · Жалоба пример страшного - https://kinomax.ru/ Уважаемые гости! Временно не работает покупка билетов. У нашего провайдера возникли технические проблемы и он уже занимается поиском решения. Приносим свои извинения за предоставленные неудобства. "временно" - это уже вторые сутки. провайдер-то всё из бэкапов поднимет, но сколько к этому моменту бабла потеряется… Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 8 апреля, 2018 · Жалоба Бэкапов видимо нет) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 8 апреля, 2018 · Жалоба 12 минут назад, zhenya` сказал: Бэкапов видимо нет) А чувак в свитре с оленями,который все конфигурил,где-то в глубоком забухе. 8 часов назад, nuclearcat сказал: Интересно, кто-то поймал в netflow ip-шники тех кто ломал? А что оно даст? С какого-нибудь vps/vds арендованного (на биткойны) запускали по-любому. Никто палиться так глупо не будет,если только клинические идиоты какие-нибудь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 8 апреля, 2018 · Жалоба Даже ркн в субботу проснулся, с письмом :) и требовал до воскресенья ответить :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 8 апреля, 2018 · Жалоба 10 минут назад, YuryD сказал: Даже ркн в субботу проснулся, с письмом :) и требовал до воскресенья ответить :) Да пора бы уже за голову схватиться,уязвимость смешная (устраняется одной командой),не зеродэй (известна аж с 2016),а последствия... Вот тебе и защищенность критической инфраструктуры... Уровня детской песочницы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 8 апреля, 2018 · Жалоба 5 минут назад, alexwin сказал: Да пора бы уже за голову схватиться,уязвимость смешная (устраняется одной командой),не зеродэй (известна аж с 2016),а последствия... Вот тебе и защищенность критической инфраструктуры... Уровня детской песочницы. А вы чего хотели ? Киберпатруль аля пожарная безопасность в масштабе страны ? Ну так и будет, как при проверках пожарных, сэс и прочих контролёрах... Максимум - дое.утся что у вас в серверной пачкорды непараллельны. И не бай дог, оказаться частью критической инфраструктуры, требования там огого-какие, и не за счёт государства. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 8 апреля, 2018 · Жалоба 1 минуту назад, YuryD сказал: А вы чего хотели ? Киберпатруль аля пожарная безопасность в масштабе страны ? Ну так и будет, как при проверках пожарных, сэс и прочих контролёрах... Максимум - дое.утся что у вас в серверной пачкорды непараллельны. Сплюньте через плечо,этого цирка этой стране еще не хватало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 8 апреля, 2018 · Жалоба 4 минуты назад, alexwin сказал: Сплюньте через плечо,этого цирка этой стране еще не хватало. Это Оруэлл, для начала министерство правды, затем контроль. Но может и наоборот, сначала контроль а затем минправды Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 8 апреля, 2018 · Жалоба Операторы,которые попали под раздачу - это те,у которых положен болт на безопасность: в штате нет отдельного ИБэшника и не проводятся регулярные аудиты безопасности. 5 минут назад, YuryD сказал: Это Оруэлл, для начала министерство правды, затем контроль. Но может и наоборот, сначала контроль а затем минправды Закончится все максимум каким-то совещанием. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 8 апреля, 2018 · Жалоба 7 минут назад, alexwin сказал: Закончится все максимум каким-то совещанием. У нас не оон, с терроризмом совещаниями не борются. Борятся нелепыми телодвижениями. Хотя - отчего-бы не попробовать в запретинфо наконец-то использовать порт в урлах ? Нормальные дпи должны уметь... Для хохмы недавно включил ipfw show 3 00003 222 8900 deny tcp from any to any dst-port 4786 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 8 апреля, 2018 · Жалоба 36 минут назад, YuryD сказал: Для хохмы недавно включил ipfw show 3 00003 222 8900 deny tcp from any to any dst-port 4786 Наверное,грамотнее было бы свое (операторское) оборудование защитить,а клиенты пусть сами решают за свое. 37 минут назад, YuryD сказал: Хотя - отчего-бы не попробовать в запретинфо наконец-то использовать порт в урлах ? Ну как бы он для запрещенки,а не для ИБ,задачи разные. 38 минут назад, YuryD сказал: Борятся нелепыми телодвижениями Я не понимаю,что так много денег нужно,чтобы обучить сотрудников РКН сетевым технологиям и ИБ? (курсов различных полно). Меньше бы репутация страдала из-за систематических опарафиниваний рейтуз. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...