Jump to content
Калькуляторы

Срочно всем у кого каталисты смотрят в инет.

На микротике можно конфиги восстанавливать по ходу из центра - залили на основное оборудование, потом по подключенным каналам на остальное и т.п. по мак телнету.

 

С циской же только с ноутбуком идти в консоле ужас наводить.

Share this post


Link to post
Share on other sites
4 часа назад, Saab95 сказал:

Конечно менее. На нем изначально никаких возможностей удаленно загружать прошивку нет.

Достаточно установить ограничение по IP админов на рабочие службы и никто подключиться не сможет.

А у циски обычно "вланы управления", что само собой подразумевает возможность захода откуда угодно.

 

Ага конечно. Это циска придумала mac-telnet и mac-winbox по умолчанию вешать доступными на всех интерфейсах и устройства с дефоултным паролем admin: пусто поставлять.

за 1.5 минуты скана небольшой сети местного оператора нашел 5 штук незапароленных железок .

 

Share this post


Link to post
Share on other sites
2 часа назад, jffulcrum сказал:

Смешного мало...в Москве вчера несколько операторов хакнули, обнулив конфиги, в основном пострадали всякие бизнес-центры.

Теперь мало.

Раньше тут кошатники ходили с завышенным ЧСВ, тогда такое было смешно. Щас железок получше кошки за дешевле появилось полно и они сами наполучали ещё бумажек от других вендоров или отлупов от тех кто экономит.

Теперь место это заняли пользователи микроглюков с завышенным ЧСВ.

Share this post


Link to post
Share on other sites
5 часов назад, YuryD сказал:

Но и дыры известные есть, cdp например.

так циска и рекомендует cdp выключать. особенно на устройствах, которые смотрят в инет.

Share this post


Link to post
Share on other sites

https://www.kaspersky.ru/blog/cisco-apocalypse/20136/

Цитата

 

Если ответ покажет, что Smart Install включен, то рекомендуется отключить его при помощи команды no vstack.

 

В некоторых релизах операционной системы это отключение будет работать до первой перезагрузки (в свитчах серий Cisco Catalyst 4500 и 4500-X при ОС 3.9.2E/15.2(5)E2; в свитчах Cisco Catalyst 6500 при версиях системы 15.1(2)SY11, 15.2(1)SY5 и 15.2(2)SY3; в свитчах Cisco Industrial Ethernet 4000 при версиях 15.2(5)E2 и 15.2(5)E2a; а также в свитчах Cisco ME 3400 и ME 3400E при версии 12.2(60)EZ11. Узнать версию используемой ОС можно, исполнив команду show version). В таком случае рекомендуется сменить версию или автоматизировать выполнение команды no vstack.

 

 

Share this post


Link to post
Share on other sites
6 минут назад, nuclearcat сказал:

Интересно, кто-то поймал в netflow ip-шники тех кто ломал?

Интересней как ломали железки в DMZ с серыми IP и железо вообще без доступа к интернету.

Share this post


Link to post
Share on other sites

Пока пруфов такового похоже нет, скорее всего где-то да был легкий выход в инет.

Share this post


Link to post
Share on other sites
4 минуты назад, nuclearcat сказал:

Пока пруфов такового похоже нет, скорее всего где-то да был легкий выход в инет.

9 часов назад, SpheriX сказал:

Есть мнение, что возможна эксплуатация вслепую, поскольку реализация асика коммутации скорее всего упрощенная, что по умолчанию без включенных ACLей по дефолту форвардит все специфичные пакеты вроде STP, cdp и прочих служебных, в которые входит забагованный процесс, по умолчанию форвардятся на CPU. Следовательно, просто отсылая эксплоитовую последовательность пакетов безотносительно IP, CPU валится в одностороннем порядке. Включение acl таки заставляет прошерстить пакеты и зафильтровать, поскольку acl расположена в матрице коммутации.

Я готов к тому, что на меня сейчас посыпется вал критики по поводу того, что я нихрена не понимаю в железе, однако мой опыт практического участия в дебагах некоторого количества "отечественных" железок говорит в пользу реалистичности описанного мной варианта.

Как то страшно жить...

Share this post


Link to post
Share on other sites

Нужны пруфы (ессно замаскировать dst ip оператора), чтобы вопросики дижиталоушну позадавать

 

1 minute ago, bike said:

 

Как то страшно жить...

По поводу того утверждения и smart install, такое возможно с stateless protocols, но ИМХО к tcp через который ходит smart install это отношения не имеет

Share this post


Link to post
Share on other sites

Apr  6 16:07:39.692: %SYS-5-CONFIG_NV_I: Nonvolatile storage configured from tftp://198.199.79.18/my.conf by console
Apr  6 16:07:40.833: %SYS-5-RELOAD: Reload requested by SMI IBC Download Process. Reload Reason: Switch upgraded through Smart Install.

 

в одном из чатиков такое видел. Кто сислог собирает и пострадал поглядите тоже.

Share this post


Link to post
Share on other sites

198.199.79.18 tcp 4786 и udp tftpd

128.199.60.122 только tcp 4786

Share this post


Link to post
Share on other sites
8 часов назад, jffulcrum сказал:

Смешного мало...в Москве вчера несколько операторов хакнули, обнулив конфиги, в основном пострадали всякие бизнес-центры.

ну так а чего страшного, ведь у них же бэкапы конфигов есть, да?

Share this post


Link to post
Share on other sites

пример страшного - https://kinomax.ru/

 

Уважаемые гости! Временно не работает покупка билетов. У нашего провайдера возникли технические проблемы и он уже занимается поиском решения. Приносим свои извинения за предоставленные неудобства.

 

"временно" - это уже вторые сутки.

провайдер-то всё из бэкапов поднимет, но сколько к этому моменту бабла потеряется…

Share this post


Link to post
Share on other sites
12 минут назад, zhenya` сказал:

Бэкапов видимо нет)

А чувак в свитре с оленями,который все конфигурил,где-то в глубоком забухе.

 

8 часов назад, nuclearcat сказал:

Интересно, кто-то поймал в netflow ip-шники тех кто ломал?

А что оно даст? С какого-нибудь vps/vds арендованного (на биткойны) запускали по-любому. Никто палиться так глупо не будет,если только клинические идиоты какие-нибудь.

Share this post


Link to post
Share on other sites

 Даже ркн в субботу проснулся, с письмом :)  и требовал до воскресенья ответить :)

Share this post


Link to post
Share on other sites
10 минут назад, YuryD сказал:

 Даже ркн в субботу проснулся, с письмом :)  и требовал до воскресенья ответить :)

Да пора бы уже за голову схватиться,уязвимость смешная (устраняется одной командой),не зеродэй (известна аж с 2016),а последствия... Вот тебе и защищенность критической инфраструктуры... Уровня детской песочницы.

Share this post


Link to post
Share on other sites
5 минут назад, alexwin сказал:

Да пора бы уже за голову схватиться,уязвимость смешная (устраняется одной командой),не зеродэй (известна аж с 2016),а последствия... Вот тебе и защищенность критической инфраструктуры... Уровня детской песочницы.

 А вы чего хотели ? Киберпатруль аля пожарная безопасность в масштабе страны ? Ну так и будет, как при проверках пожарных, сэс и прочих контролёрах... Максимум - дое.утся что у вас в серверной пачкорды непараллельны. И не бай дог, оказаться частью критической инфраструктуры, требования там огого-какие, и не за счёт государства.

Share this post


Link to post
Share on other sites
1 минуту назад, YuryD сказал:

 А вы чего хотели ? Киберпатруль аля пожарная безопасность в масштабе страны ? Ну так и будет, как при проверках пожарных, сэс и прочих контролёрах... Максимум - дое.утся что у вас в серверной пачкорды непараллельны.

Сплюньте через плечо,этого цирка этой стране еще не хватало.

Share this post


Link to post
Share on other sites
4 минуты назад, alexwin сказал:

Сплюньте через плечо,этого цирка этой стране еще не хватало.

 Это Оруэлл, для начала министерство правды, затем контроль. Но может и наоборот, сначала контроль а затем минправды

Share this post


Link to post
Share on other sites

Операторы,которые попали под раздачу - это те,у которых положен болт на безопасность: в штате нет отдельного ИБэшника и не проводятся регулярные аудиты безопасности.

 

5 минут назад, YuryD сказал:

 Это Оруэлл, для начала министерство правды, затем контроль. Но может и наоборот, сначала контроль а затем минправды

Закончится все максимум каким-то совещанием.

Share this post


Link to post
Share on other sites
7 минут назад, alexwin сказал:

Закончится все максимум каким-то совещанием.

 У нас не оон, с терроризмом совещаниями не борются. Борятся нелепыми телодвижениями. Хотя - отчего-бы не попробовать в запретинфо наконец-то использовать порт в урлах ? Нормальные дпи должны уметь...

 

 Для хохмы недавно включил 

ipfw show 3
00003          222            8900 deny tcp from any to any dst-port 4786

 

Share this post


Link to post
Share on other sites
36 минут назад, YuryD сказал:

Для хохмы недавно включил 

ipfw show 3
00003          222            8900 deny tcp from any to any dst-port 4786

 

Наверное,грамотнее было бы свое (операторское) оборудование защитить,а клиенты пусть сами решают за свое.

 

37 минут назад, YuryD сказал:

Хотя - отчего-бы не попробовать в запретинфо наконец-то использовать порт в урлах ?

Ну как бы он для запрещенки,а не для ИБ,задачи разные.

 

38 минут назад, YuryD сказал:

Борятся нелепыми телодвижениями

Я не понимаю,что так много денег нужно,чтобы обучить сотрудников РКН сетевым технологиям и ИБ? (курсов различных полно). Меньше бы репутация страдала из-за систематических опарафиниваний рейтуз.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now