Robot_NagNews Posted October 6, 2022 Posted October 6, 2022 Материал: Моя история начинается, как и все подобные. Ночной звонок от коллег, прерванный сон, сообщение "нас взломали". Полный текст Вставить ник Quote
Guest Posted October 6, 2022 Posted October 6, 2022 Сами фашисты-латвийцы и сломали... Вставить ник Quote
ayf Posted October 6, 2022 Posted October 6, 2022 В 06.10.2022 в 12:19, Гость сказал: Сами фашисты-латвийцы и сломали... Ну после взлома цисок, в которых управление не имело доступа в интернет, я уже ничему не удивляюсь. Вставить ник Quote
st_re Posted October 6, 2022 Posted October 6, 2022 В 06.10.2022 в 13:52, ayf сказал: Ну после взлома цисок, в которых управление не имело доступа в интернет, я уже ничему не удивляюсь. Тоесть вариант, что сначала нашли дыру внутри периметра, а оттуда уже сломали, он совсем не рассматривается ? Вставить ник Quote
sdy_moscow Posted October 6, 2022 Posted October 6, 2022 Резюме: Микротик - редкостное гавно, но лучше за эти деньги ничего и не найти. З.Ы. Ребят жалко, но нано-операторам под солнцем места не будет скоро, впрочем как и всем остальным, кроме большой четверки. Вставить ник Quote
ixi Posted October 6, 2022 Posted October 6, 2022 Не в 2018 дело было? тогда вопросов, кроме как к настройкам, и не остаётся. Вставить ник Quote
ayf Posted October 7, 2022 Posted October 7, 2022 В 06.10.2022 в 14:09, st_re сказал: Тоесть вариант, что сначала нашли дыру внутри периметра, а оттуда уже сломали, он совсем не рассматривается ? Да тогда массовый взлом был. Когда вланы стирали и на их место американский флаг вставляли Вставить ник Quote
Guest Posted October 7, 2022 Posted October 7, 2022 Т.е. вас не смутило что в сети какое-то время стояло устройство, которое управлялось кем-то другим? И вы считаете это нормально?То что управление было доступно всем кроме группы админов, это тоже нормально? Вставить ник Quote
Ivan_83 Posted October 8, 2022 Posted October 8, 2022 Дилетанты. 1. Это не БИОС, нету там никакого биоса, не было и быть не может. Прочитайте в википедии что такое БИОС. На мелкой флешке обычно размещается загрузчик типа u-boot с его настройками, иногда там же линуксовое ядро. 2. Настройки этого загрузчика обычно защищаются CRC а не хэшем. 3. Юзайте линукс напрямую, нахрена вам этот микротик!? В железку скорее всего можно влить OpenWRT, чтобы не выбрасывать. А лучше было сразу поставить тазик х86 и линухом, там ничего подобного и близко бы не случилось при восстановлении. Вставить ник Quote
LostSoul Posted October 9, 2022 Posted October 9, 2022 В 08.10.2022 в 15:30, Ivan_83 сказал: Дилетанты. 1. Это не БИОС, нету там никакого биоса, не было и быть не может. Прочитайте в википедии что такое БИОС. На мелкой флешке обычно размещается загрузчик типа u-boot с его настройками, иногда там же линуксовое ядро. 2. Настройки этого загрузчика обычно защищаются CRC а не хэшем. 3. Юзайте линукс напрямую, нахрена вам этот микротик!? В железку скорее всего можно влить OpenWRT, чтобы не выбрасывать. А лучше было сразу поставить тазик х86 и линухом, там ничего подобного и близко бы не случилось при восстановлении. железку в истории выше восстановили. у меня востановление в такой ситуации заняло минут 40, ну видать кому-то проще купить новую. главным достоинством микротика против "поставьте линукс" является промышленная повторяемость результата. Вставить ник Quote
straus Posted October 9, 2022 Posted October 9, 2022 В 09.10.2022 в 16:09, LostSoul сказал: главным достоинством микротика против "поставьте линукс" является промышленная повторяемость результата с заваливанием микротиков в том числе. Вставить ник Quote
LostSoul Posted October 9, 2022 Posted October 9, 2022 В 09.10.2022 в 15:43, straus сказал: с заваливанием микротиков в том числе. завалить можно все. повально зашифрованные вирусами сервера вам ни о чём не говорят? в ситуации с микротиком есть уверенность в том, что конфигурация работавшая одним образом на стенде, будет таким же образом работать в проде. а а "взаимное сочетание 50 конфигов, где тут запятую забыл а тут перевод строки, а тут аттрибут +x на файл на поставил" и поэтому все рухнуло минут на 20. ну или не на 20 а пока админ с ноутбуком не доедет Вставить ник Quote
Ivan_83 Posted October 9, 2022 Posted October 9, 2022 Цитата сделать все это можно простым программатором CH341A с прищепкой. Далеко не всегда. С прищепкой в принципе не комфортно работать: она то слетает то контакт теряется то ещё какие то наводки. В некоторых разводках питания от программатора не хватает или линии данных сильно проседают и прочитать/записать не возможно, только выпаивание. Паять лучше феном - сплошное удовольствие и минимум риска повредить плату. С программаторов хорошие 866 про в2 китайские, есть софт под линукс. Кажется 900 появились, лучше почитать на гитлабе где опенсорц лежит на предмет улучшений и поддержки. Вставить ник Quote
Ivan_83 Posted October 9, 2022 Posted October 9, 2022 В 09.10.2022 в 13:09, LostSoul сказал: железку в истории выше восстановили. у меня востановление в такой ситуации заняло минут 40, ну видать кому-то проще купить новую. Охренеть как восстановили. Сервис вендора послал в магазин за новой, и только местные хакеры осилили спасти из помойки девайс, который в лучшем случае пошёл бы на запчасти. В 09.10.2022 в 13:09, LostSoul сказал: главным достоинством микротика против "поставьте линукс" является промышленная повторяемость результата. Если у вас на линухе не получается повторяемого результата - это целиком ваша проблема. У меня и с OpenWRT результат повтояем и на FreeBSD десктопы почти идентичные, а десктоп это вам не какой то сервер, тут одних портов 700+ стоит, плюс дров на железо сильно больше обычного. В целом же, повторяемость на линухе/бсд это уже ближе к девопс, потому что требуется чуть больше чем просто мышковозить в винбоксе: нужна система где будут конфиги лежать, несколько уровней от базового до специфичных для определённых ролей и самый последний уровень это конфиги специфичные для определённой инсталяции. У меня дома 3 уровня конфигов: базовый - раскатывается везде, специфичный для роли (сервер/десктоп) и то что накручено уже по месту под конкретное железо или конкретное применение. Никаких проблем с повторяемостью нет, более того я любую инсталяцию фри могу довольно быстро ассимилировать. Вставить ник Quote
LostSoul Posted October 9, 2022 Posted October 9, 2022 В 09.10.2022 в 16:43, Ivan_83 сказал: Сервис вендора послал в магазин за новой, и только местные хакеры осилили спасти из помойки девайс, который в лучшем случае пошёл бы на запчасти. У вас в жизни были другие кейсы? Ну вот реально хоть один случай когда бы поддержка вендора могла помочь? В моей жизни таких случаев 0. решить проблемы с которыми может помочь поддержка я могу и без неё. а востановление данных eprom нормальная процедура. и тут не надо было каких то мега-сложных манипуляций. прищепка чтоб вычитать с одной платы той-же ревизии и прищепка чтоб залить в другую. В 09.10.2022 в 16:43, Ivan_83 сказал: Если у вас на линухе не получается повторяемого результата - это целиком ваша проблема. сказки рассказывайте своим деткам на ночь. я вашу ситуацию хорошо помню по прошлым годам обсуждений. узел в соседней комнате и возле узла круглосуточный дежурный. не сравнивайте это с сетями где узлы раскиданы по городу/стране хрен знает где куда лететь 2 дня. не будешь у вас клавиш с монитором в соседней комнате, ваш бизнес бы вынесли уже вперед ногами В 09.10.2022 в 16:43, Ivan_83 сказал: Никаких проблем с повторяемостью нет, более того я любую инсталяцию фри могу довольно быстро ассимилировать. вы даже не понимаете о чём речь. роли у него "сервер/десктоп". Рассуждения типичного админа локалхоста. И про настройку микротика "галочками в винбоксе" из той же серии. Вставить ник Quote
edo Posted October 9, 2022 Posted October 9, 2022 В 09.10.2022 в 17:25, LostSoul сказал: повально зашифрованные вирусами сервера вам ни о чём не говорят? линуксовые? видел несколько раз в жизни (точно по пальцам одной руки можно пересчитать) какую-то живность, каждый раз это было «вау, оно всё-таки существует», и каждый раз это была парольная авторизация в ssh и слабые пароли (и уже много лет, как сервера, глядящие в интернет, я настраиваю исключительно на авторизацию по ключам). да, я знаю, что существуют и другие уязвимости, но в диком виде не довелось встретить. Вставить ник Quote
edo Posted October 9, 2022 Posted October 9, 2022 В 09.10.2022 в 17:43, Ivan_83 сказал: У меня и с OpenWRT результат повтояем а как управляете конфигами, версиями пакетов? Вставить ник Quote
pppoetest Posted October 9, 2022 Posted October 9, 2022 В 09.10.2022 в 20:50, LostSoul сказал: востановление данных eprom нормальная процедура. и тут не надо было каких то мега-сложных манипуляций. Гораздо проще наклепать пачку флешек по цене 10 баксов за пучок, чем ковырять епром Вставить ник Quote
Ivan_83 Posted October 9, 2022 Posted October 9, 2022 В 09.10.2022 в 14:50, LostSoul сказал: Ну вот реально хоть один случай когда бы поддержка вендора могла помочь? Как последняя линия поддержки в вендоре могу сказать что помогаем. Но сильно зависит от того насколько оно повторяемо и насколько клиент выносит моск. В 09.10.2022 в 14:50, LostSoul сказал: а востановление данных eprom нормальная процедура. и тут не надо было каких то мега-сложных манипуляций. Вы это ТП мыкротика расскажите, потому что хакинг с флешками это далеко за рамками того как работает коробочное решение. В 09.10.2022 в 14:50, LostSoul сказал: прищепка чтоб вычитать с одной платы той-же ревизии и прищепка чтоб залить в другую. Прищепка не всегда работает, увы. В 09.10.2022 в 14:50, LostSoul сказал: я вашу ситуацию хорошо помню по прошлым годам обсуждений. узел в соседней комнате и возле узла круглосуточный дежурный. не сравнивайте это с сетями где узлы раскиданы по городу/стране хрен знает где куда лететь 2 дня. И да и нет. ) У меня остался один мыкротык в сибири и два сервера с фрёй в мск, сам я где то в 1к км от мск. Ещё в мск один десктоп который я тоже суппортю. Это из моего личного хозяйства. На работе десктоп и пара серверов которые на мне. Если всё делать аккуратно то даже мажорное обновление ОС можно накатить удалённо, а просто обновление портов и системы это рутина. Хватает для всего этого обычного ссш. В 09.10.2022 в 17:23, edo сказал: а как управляете конфигами, версиями пакетов? На фре рсинк, на опенврт - бэкап/ресторе через вебгуй. На опенврт у меня относительно простые конфиги. Вставить ник Quote
jffulcrum Posted October 9, 2022 Posted October 9, 2022 В 09.10.2022 в 17:50, LostSoul сказал: Ну вот реально хоть один случай когда бы поддержка вендора могла помочь? С Cisco всякое бывало, бывало даже недостижимое пока для MT явление, как отзыв и замена. Но денег такая поддержка стоила много, да. В 09.10.2022 в 20:07, edo сказал: линуксовые? видел несколько раз в жизни (точно по пальцам одной руки можно пересчитать) какую-то живность, каждый раз это было «вау, оно всё-таки существует», и каждый раз это была парольная авторизация в ssh и слабые пароли (и уже много лет, как сервера, глядящие в интернет, я настраиваю исключительно на авторизацию по ключам). C Heartbleed насмотрелся, шифровать не шифровали, но майнер или ботнет - запросто. Вставить ник Quote
edo Posted October 9, 2022 Posted October 9, 2022 В 09.10.2022 в 20:47, Ivan_83 сказал: опенврт - бэкап/ресторе через вебгуй. не, ну это совсем не промышленное решение, даже на дестках устройств это не вариант ) Вставить ник Quote
jffulcrum Posted October 9, 2022 Posted October 9, 2022 Ну, с Ansible и прочим configuration-driven нет особой разницы, что тазы с линухом, что тазы с xxxWRT, что MT (причем, скорее тазы с МТ в нынешних условиях). Разница сводится к первичным затратам на написание плейбука, типа час или полтора, и к адаптации шаблона к интерфейсам конкретной коробки. Даже всякие оптимизации - такое, не заморачиваться, памяти в тазах и дури в процах нычне столько, что нужен реальный хайлоад чтобы во что-то там стукнуться, стояшее вышивания бисером. Можно жопой бубунту поставить и 10Gb/s вытащить, не приходя в сознание. Вставить ник Quote
Ivan_83 Posted October 9, 2022 Posted October 9, 2022 В 09.10.2022 в 18:10, edo сказал: не, ну это совсем не промышленное решение, даже на дестках устройств это не вариант ) У меня как раз до десятка :) И меня больше заботит автоматизация сборки, тк некоторые девайсы не вошли в OpenWRT. Вставить ник Quote
edo Posted October 9, 2022 Posted October 9, 2022 В 09.10.2022 в 22:02, Ivan_83 сказал: И меня больше заботит автоматизация сборки, тк некоторые девайсы не вошли в OpenWRT. а почему просто не послать патчи в апстрим? В 09.10.2022 в 21:35, jffulcrum сказал: Ну, с Ansible и прочим configuration-driven нет особой разницы, что тазы с линухом, что тазы с xxxWRT, что MT ну для кучи мелких роутеров больше вероятность, что какой-нибудь прямо сейчас будет оффлайн, так что больше подходит pull-модель, чем push, так что ansible напрямую выглядит не самым лучшим вариантом. можно наколхозить какую-то свою инфрастуктуру, но наверняка же всё украдено до нас. увы, пока я смог найти только https://github.com/openwisp/openwisp-controller который выглядит просто ужасным оверкиллом Вставить ник Quote
straus Posted October 9, 2022 Posted October 9, 2022 Да, кстати. Для особо ленивых к Open-WRT была написана надстройка X-WRT - полноценный GUI для всех функций, а не только основных. Правда одно время её похерили, не знаю, как сейчас. Так вот вполне юзабельно (для любителей гуя). Помню, несколько лет назад был спор GUI vs CLI. Так вот на X-WRT паренёк сделал всё намного быстрее, чем опытный мужик в CLI. Хотя это неспортивно. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.