Helios Posted April 2, 2006 Posted April 2, 2006 Некоторое время назад шли некоторые дебаты по управляемым 8xпортовым свитчам. Выбирали помнится между Dlink 2108 и Lightcom S100-8 . Мы в своей сетке сделали выбор в пользу Lightcom. Текушая версия прошивки 10.0.15Т. Каково же было мое изумление, когда обнаружил, что стянутая на днях с сайта производителя новая версия утилитки конфигурирования свитча - Netcfg 1.4.0.3 http://www.netping.ru/Lightcom-S100-8/NPCo...fig_1_4_0_3.exe находит, заходит и конфигурирует коммутаторы не только без пароля(!) но и игнорируя установленные в коммутаторе же правила по разрешенным IP, с которых можно на него заходить(!!). Это просто №;"Аац какой-то! Мало того - данный бекдоор опубликован самой компанией (!) 6 февраля, 20 марта гарантированно о побочных св-вах данного продукта знали в самом Lightcom, http://forum.lightcom.ru/cgi-bin/iboard/ik...T;f=5;t=9;st=40 Сегодня 2 апреля, а техсаппорт не может НИЧЕГО предложить, кроме варианта прошить в коммутатор бета версию новой прошивки, к которая мало того, что с глюками, так к ней еще и конфигуратора никакого нет. Типа нефиг прохлаждаться - хотите настраивать - вот вам telnet и вперед, высчитывайте битовые маски VLAN. Вот после этого и доверяй отечественному производителю. Вставить ник Quote
Magnum72 Posted April 2, 2006 Posted April 2, 2006 Некоторое время назад шли некоторые дебаты по управляемым 8xпортовым свитчам. Выбирали помнится между Dlink 2108 и Lightcom S100-8 . Мы в своей сетке сделали выбор в пользу Lightcom. Текушая версия прошивки 10.0.15Т. Каково же было мое изумление, когда обнаружил, что стянутая на днях с сайта производителя новая версия утилитки конфигурирования свитча - Netcfg 1.4.0.3 http://www.netping.ru/Lightcom-S100-8/NPCo...fig_1_4_0_3.exe находит, заходит и конфигурирует коммутаторы не только без пароля(!) но и игнорируя установленные в коммутаторе же правила по разрешенным IP, с которых можно на него заходить(!!). Это просто №;"Аац какой-то! Мало того - данный бекдоор опубликован самой компанией (!) 6 февраля, 20 марта гарантированно о побочных св-вах данного продукта знали в самом Lightcom, http://forum.lightcom.ru/cgi-bin/iboard/ik...T;f=5;t=9;st=40 Сегодня 2 апреля, а техсаппорт не может НИЧЕГО предложить, кроме варианта прошить в коммутатор бета версию новой прошивки, к которая мало того, что с глюками, так к ней еще и конфигуратора никакого нет. Типа нефиг прохлаждаться - хотите настраивать - вот вам telnet и вперед, высчитывайте битовые маски VLAN. Вот после этого и доверяй отечественному производителю. Где ты увидел бакдор? Если у тебя на коммутаторах стоит дефолтные настройки cnmp то виноват в этом только ты сам. Насчет конфигуратора. Если я правильно понял то если изменить snmp private/public на что либо другое в настройках коммутатора то в него нельзя зайти с конфигуратора, тогда все просто открывает этот конфигуратор в любом HEX реадкторе и делаешь поиск public | private заменяешь на свои строки, естественно длина таже должна быть. Если в коммутаторе нельзя заменить дефолтные значения SNMP то поступаешь аналогично с файлом прошивки, но молись чтобы небыло проверки на контрольную сумму, хотя ее тоже можно изменить. Вставить ник Quote
Helios Posted April 2, 2006 Author Posted April 2, 2006 А вы батенька своими то руками хоть раз с этим свитчом работали? Пробовали? Или главное пальцем в небо - и пост написать? Текущая официальная прошивка 10.0.15Т конфигурится по UDP фирменным протоколом производителя. И производитель же выпустил для нее бекдоор. Пофиг коммутатору с такой прошивкой на community. В новой, SNMP, бага такого нет. НО - вопервых она бета, во вторых к ней конфигуратора нет. Я лично не мазохист высчитывать битовые маски, переводить двоичные числа в уме в десятичные, при конфигурировании VLAN и молиться чтобы во первых из-за недоработок прошивки коммутатор не подвесить, или из-за своей ошибки управление коммутатором не потерять. На чердак на другом конце города лишний раз лазить желания никакого нет. Вставить ник Quote
Ilya Shulman Posted April 3, 2006 Posted April 3, 2006 Некоторое время назад шли некоторые дебаты по управляемым 8xпортовым свитчам. Выбирали помнится между Dlink 2108 и Lightcom S100-8 . Мы в своей сетке сделали выбор в пользу Lightcom. Текушая версия прошивки 10.0.15Т. Каково же было мое изумление, когда обнаружил, что стянутая на днях с сайта производителя новая версия утилитки конфигурирования свитча - Netcfg 1.4.0.3 http://www.netping.ru/Lightcom-S100-8/NPCo...fig_1_4_0_3.exe находит, заходит и конфигурирует коммутаторы не только без пароля(!) но и игнорируя установленные в коммутаторе же правила по разрешенным IP, с которых можно на него заходить(!!). Это просто №;"Аац какой-то! Мало того - данный бекдоор опубликован самой компанией (!) 6 февраля, 20 марта гарантированно о побочных св-вах данного продукта знали в самом Lightcom, http://forum.lightcom.ru/cgi-bin/iboard/ik...T;f=5;t=9;st=40 Сегодня 2 апреля, а техсаппорт не может НИЧЕГО предложить, кроме варианта прошить в коммутатор бета версию новой прошивки, к которая мало того, что с глюками, так к ней еще и конфигуратора никакого нет. Типа нефиг прохлаждаться - хотите настраивать - вот вам telnet и вперед, высчитывайте битовые маски VLAN. Вот после этого и доверяй отечественному производителю. ну это не backdoor все таки, а бага. причем наверное бага не в конфигураторе, а в прошивке. сегодня пойму, что там происходит. на самом деле, как мне кажется, проблем вообще быть не должно, если управляющий порт сидит в отдельном влане . ( в противном случае пароли в clear text снифятся на раз ). по поводу телнета и битовых масок влан... на сколько я помню, битовые маски в телнете были заменены на нормальное управление еще год назад. Вставить ник Quote
Helios Posted April 3, 2006 Author Posted April 3, 2006 С чего бы пароли снифятся, если сеть не на хабах построена ? К тому же я же писал - для конфигуратора не работает ограничение по IP адресам, с которых можно на коммутатор заходить. Даже если по телнету пароль кто-то (гипотетически) отснифает - это спасало. А что сейчас делать? Вставить ник Quote
Ilya Shulman Posted April 3, 2006 Posted April 3, 2006 С чего бы пароли снифятся, если сеть не на хабах построена ?К тому же я же писал - для конфигуратора не работает ограничение по IP адресам, с которых можно на коммутатор заходить. Даже если по телнету пароль кто-то (гипотетически) отснифает - это спасало. А что сейчас делать? это не очень спасало, так как в определенных конфигурациях можно и IP адрес поменять. вообщем без выделения управляющего IP коммутатора в отдельный VLAN, вопрос доступа к его управлению, скорее вопрос желания, чем вопрос техники. я пока не могу ответить на вопрос что делать, так как еще не услышал объяснений разработчиков. если коннект конфигуратора в какой то версии прошивки вывалился из под access правил, это бага прошивки. Вставить ник Quote
Korj Posted April 3, 2006 Posted April 3, 2006 С чего бы пароли снифятся, если сеть не на хабах построена ? А VLAN и прочее дураки придумывали?! При желании свич ничем совершенно от хаба не отличается. К тому же я же писал - для конфигуратора не работает ограничение по IP адресам, с которых можно на коммутатор заходить. Даже если по телнету пароль кто-то (гипотетически) отснифает - это спасало. :)))) LOL! И что в нём static arp забит и на другом конце тоже? Да даже если забит - не поможет... А что сейчас делать? Для начала пересмотреть методику работы с управляемыми коммутаторами. Плэйн-текст пароль и "проверка" ip это чисто декоративные фичи на уровне "защиты от дурака", если только в сети во всех свичах не выставлены принудительно MAC-адреса на портах + ротинг с ACL - это единственное, что может заставить пользователей юзать свои MAC/IP, причём во всех случаях, а не только защитит свичи, как костыль - управляющий VLAN, хотя последний нужен всё равно - на всякий случай. :) Вставить ник Quote
Helios Posted April 3, 2006 Author Posted April 3, 2006 ВЫ хоть понимаете о чем говорите? Какой спуфинг, какой обман acl листов? Вы хоть прикиньте вероятность того, что кто-то специально, в момент исправления конфигов коммутатора (поджидая этого круглые сутки) организует (сможет организовать) спуфинг атаку (привязка пользователя по MAC есть), поймает пароли, потом подменит у себя IP машины, с которой коммутаторы разрешено конфигурировать (которая всегда включенна) и т.д. Прикинули? А теперь прикиньте, что пионер скачивает программу, запускает, она ему вываливает ближайший коммутатор, он дважды по нему щелкает и - вуаля! Не надо с больной головы на здоровую переваливать! Давайте тогда вообще от паролей откажемся в новой версии прошивки Lightcom. Так и напишем - производитель для ограничения доступа предусматривает только отдельный управляющий VLAN совмещеный с запретом маршрутизации на этот VLAN с подсетей пользователей. Вставить ник Quote
Korj Posted April 3, 2006 Posted April 3, 2006 ВЫ хоть понимаете о чем говорите? Какой спуфинг, какой обман acl листов? Вы хоть прикиньте вероятность того, что кто-то специально, в момент исправления конфигов коммутатора (поджидая этого круглые сутки) Тут есть масса вариантов, начиная с того, что не факт, что круглосуточная атака будет заметна/замечена, а проводить её, естественно, будет программа - ручку крутить не надо - хоть месяц подряд жди... Также нельзя забывать S.E., да и просто исходя из того, когда производится переконфигурация - скажем, спалить соседу сетевуху (или договорится с соседом), он купит новую, Вы внесёте её в MAC-таблицу - момент отследить достаточно просто. И таких вариантов - уйма, потому если теоретически что-то можно взломать, то можно и практически. организует (сможет организовать) спуфинг атаку (привязка пользователя по MAC есть), Что делает коммутатор, если приходит пакет с левого мака? Блокирует порт, или просто не пропускает пакет (возможно с внесением MAC в таблицу?) - разница принципиальная. Если блокирует - тогда уже сложнее, но остаётся ip... поймает пароли, потом подменит у себя IP машины, с которой коммутаторы разрешено конфигурировать (которая всегда включенна) И что с того, что она включена или выключена? Так сложно ARP заспоилить включённой? При отсутствии маршрутизаторов и статик arp пару пакетов от своего MACа и Вашего ip свичу, и, соответственно, от своего MACа и свичёвого ip Вам. А дальше ретранслировать и запоминать. С постоянно включенными одними и теми же машинами это ещё проще, чем если б Вы рандомно с некой машины заходили! и т.д. Прикинули? Прикинул - ничего невозможного. А теперь прикиньте, что пионер скачивает программу, запускает, она ему вываливает ближайший коммутатор, он дважды по нему щелкает и - вуаля! Таких вуаля может быть 100 вариантов, именно потому надо перестраховываться и делать всё изначально правильно и полностью. Конечно, случай вопиющий, но если б всё было нормально настроено, на работу он бы не повлиял. И если есть возможность пробросить всюду VLAN, то imho первым делом это и нужно сделать, не дожидаясь, пока Lightcom почешется... Не надо с больной головы на здоровую переваливать! Давайте тогда вообще от паролей откажемся в новой версии прошивки Lightcom. Так и напишем - производитель для ограничения доступа предусматривает только отдельный управляющий VLAN совмещеный с запретом маршрутизации на этот VLAN с подсетей пользователей. Но именно так и должно делаться, а всё остальное - телнеты итд, должно рассматриваться как вспомогательное - заявляет об этом производитель или нет... Вставить ник Quote
Skylaer Posted April 3, 2006 Posted April 3, 2006 Бесполезно объяснять :( Люди до сих пор верят в несокрушимость телнета, в невозможность снифа. А в реальности - отдельный влан, никак не маршрутизирующийся. Попадание в него - через раутер, по SSH, а уж оттуда - телнетом. Тогда да, есть шансы удержать. Вставить ник Quote
Ilya Shulman Posted April 3, 2006 Posted April 3, 2006 насколько я понимаю, update firmware появится сегодня ( или уже появился ) на нашем сайте Вставить ник Quote
Helios Posted April 3, 2006 Author Posted April 3, 2006 Пока не обнаружил (проверил форум, раздел ПО). C нетерпением жду, надеюсь со старым конфигуратором эта прошивка будет работать.. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.