[Robot_NagNews]

Материал: Моя история начинается, как и все подобные. Ночной звонок от коллег, прерванный сон, сообщение "нас взломали". Полный текст

[Гость]

Сами фашисты-латвийцы и сломали...

[ayf]

В 06.10.2022 в 12:19, Гость сказал:

Сами фашисты-латвийцы и сломали...

Ну после взлома цисок, в которых управление не имело доступа в интернет, я уже ничему не удивляюсь.

[st_re]

В 06.10.2022 в 13:52, ayf сказал:

Ну после взлома цисок, в которых управление не имело доступа в интернет, я уже ничему не удивляюсь.

Тоесть вариант, что сначала нашли дыру внутри периметра, а оттуда уже сломали, он совсем не рассматривается ?

[sdy_moscow]

Резюме:

Микротик - редкостное гавно, но лучше за эти деньги ничего и не найти.

 

З.Ы.

Ребят жалко, но нано-операторам под солнцем места не будет скоро, впрочем как и всем остальным, кроме большой четверки.

[ixi]

Не в 2018 дело было? тогда вопросов, кроме как к настройкам, и не остаётся.

[ayf]

В 06.10.2022 в 14:09, st_re сказал:

Тоесть вариант, что сначала нашли дыру внутри периметра, а оттуда уже сломали, он совсем не рассматривается ?

Да тогда массовый взлом был. Когда вланы стирали и на их место американский флаг вставляли

 

[Гость]

Т.е. вас не смутило что в сети какое-то время стояло устройство, которое управлялось кем-то другим? И вы считаете это нормально?

То что управление было доступно всем кроме группы админов, это тоже нормально?

[Ivan_83]

Дилетанты.

 

1. Это не БИОС, нету там никакого биоса, не было и быть не может. Прочитайте в википедии что такое БИОС.

На мелкой флешке обычно размещается загрузчик типа u-boot с его настройками, иногда там же линуксовое ядро.

 

2. Настройки этого загрузчика обычно защищаются CRC а не хэшем.

 

3. Юзайте линукс напрямую, нахрена вам этот микротик!?

В железку скорее всего можно влить OpenWRT, чтобы не выбрасывать.

А лучше было сразу поставить тазик х86 и линухом, там ничего подобного и близко бы не случилось при восстановлении.

[LostSoul]

В 08.10.2022 в 15:30, Ivan_83 сказал:

Дилетанты.

 

1. Это не БИОС, нету там никакого биоса, не было и быть не может. Прочитайте в википедии что такое БИОС.

На мелкой флешке обычно размещается загрузчик типа u-boot с его настройками, иногда там же линуксовое ядро.

 

2. Настройки этого загрузчика обычно защищаются CRC а не хэшем.

 

3. Юзайте линукс напрямую, нахрена вам этот микротик!?

В железку скорее всего можно влить OpenWRT, чтобы не выбрасывать.

А лучше было сразу поставить тазик х86 и линухом, там ничего подобного и близко бы не случилось при восстановлении.

железку в истории выше восстановили.

у меня востановление в такой ситуации заняло минут 40, ну видать кому-то проще купить новую.

 

главным достоинством микротика против "поставьте линукс" является промышленная повторяемость результата.

 

 

[straus]

В 09.10.2022 в 16:09, LostSoul сказал:

главным достоинством микротика против "поставьте линукс" является промышленная повторяемость результата

с заваливанием микротиков в том числе.

[LostSoul]

В 09.10.2022 в 15:43, straus сказал:

с заваливанием микротиков в том числе.

завалить можно все.

повально зашифрованные вирусами сервера вам ни о чём не говорят?

в ситуации с микротиком есть уверенность в том, что конфигурация работавшая одним образом на стенде, будет таким же образом работать в проде.

а а "взаимное сочетание 50 конфигов, где тут запятую забыл а тут перевод строки, а тут аттрибут +x на файл на поставил" и поэтому все рухнуло минут на 20.

ну или не на 20 а пока админ с ноутбуком не доедет

[Ivan_83]

Цитата

сделать все это можно простым программатором CH341A с прищепкой.

Далеко не всегда.

С прищепкой в принципе не комфортно работать: она то слетает то контакт теряется то ещё какие то наводки.

В некоторых разводках питания от программатора не хватает или линии данных сильно проседают и прочитать/записать не возможно, только выпаивание.

Паять лучше феном - сплошное удовольствие и минимум риска повредить плату.

 

С программаторов хорошие 866 про в2 китайские, есть софт под линукс. Кажется 900 появились, лучше почитать на гитлабе где опенсорц лежит на предмет улучшений и поддержки.

[Ivan_83]

В 09.10.2022 в 13:09, LostSoul сказал:

железку в истории выше восстановили.

у меня востановление в такой ситуации заняло минут 40, ну видать кому-то проще купить новую.

Охренеть как восстановили.

Сервис вендора послал в магазин за новой, и только местные хакеры осилили спасти из помойки девайс, который в лучшем случае пошёл бы на запчасти.

 

В 09.10.2022 в 13:09, LostSoul сказал:

главным достоинством микротика против "поставьте линукс" является промышленная повторяемость результата.

Если у вас на линухе не получается повторяемого результата - это целиком ваша проблема.

У меня и с OpenWRT результат повтояем и на FreeBSD десктопы почти идентичные, а десктоп это вам не какой то сервер, тут одних портов 700+ стоит, плюс дров на железо сильно больше обычного.

 

В целом же, повторяемость на линухе/бсд это уже ближе к девопс, потому что требуется чуть больше чем просто мышковозить в винбоксе: нужна система где будут конфиги лежать, несколько уровней от базового до специфичных для определённых ролей и самый последний уровень это конфиги специфичные для определённой инсталяции.

У меня дома 3 уровня конфигов: базовый - раскатывается везде, специфичный для роли (сервер/десктоп) и то что накручено уже по месту под конкретное железо или конкретное применение.

Никаких проблем с повторяемостью нет, более того я любую инсталяцию фри могу довольно быстро ассимилировать.

[LostSoul]

В 09.10.2022 в 16:43, Ivan_83 сказал:

Сервис вендора послал в магазин за новой, и только местные хакеры осилили спасти из помойки девайс, который в лучшем случае пошёл бы на запчасти.

У вас в жизни были другие кейсы?

Ну вот реально хоть один случай когда бы поддержка вендора могла помочь?

В моей жизни таких случаев 0.

решить проблемы с которыми может помочь поддержка я могу и без неё.

 

а востановление данных eprom нормальная процедура.

и тут не надо было каких то мега-сложных манипуляций.

прищепка чтоб вычитать с одной платы той-же ревизии и прищепка чтоб залить в другую.

 

 

В 09.10.2022 в 16:43, Ivan_83 сказал:

Если у вас на линухе не получается повторяемого результата - это целиком ваша проблема.

сказки рассказывайте своим деткам на ночь.

 

я вашу ситуацию хорошо помню по прошлым годам обсуждений.

узел в соседней комнате и возле узла круглосуточный дежурный.

не сравнивайте это с сетями где узлы раскиданы по городу/стране хрен знает где куда лететь 2 дня.

 

не будешь у вас клавиш с монитором в соседней комнате, ваш бизнес бы вынесли уже вперед ногами

 

 

В 09.10.2022 в 16:43, Ivan_83 сказал:

Никаких проблем с повторяемостью нет, более того я любую инсталяцию фри могу довольно быстро ассимилировать.

вы даже не понимаете о чём речь.

роли у него "сервер/десктоп".

 

Рассуждения типичного админа локалхоста.

И про настройку микротика "галочками в винбоксе" из той же серии.

 

[edo]

В 09.10.2022 в 17:25, LostSoul сказал:

повально зашифрованные вирусами сервера вам ни о чём не говорят?

линуксовые? видел несколько раз в жизни (точно по пальцам одной руки можно пересчитать) какую-то живность, каждый раз это было «вау, оно всё-таки существует», и каждый раз это была парольная авторизация в ssh и слабые пароли (и уже много лет, как сервера, глядящие в интернет, я настраиваю исключительно на авторизацию по ключам).

 

да, я знаю, что существуют и другие уязвимости, но в диком виде не довелось встретить.

[edo]

В 09.10.2022 в 17:43, Ivan_83 сказал:

У меня и с OpenWRT результат повтояем

а как управляете конфигами, версиями пакетов?

 

[pppoetest]

В 09.10.2022 в 20:50, LostSoul сказал:

востановление данных eprom нормальная процедура.

и тут не надо было каких то мега-сложных манипуляций.

Гораздо проще наклепать пачку флешек по цене 10 баксов за пучок, чем ковырять епром

[Ivan_83]

В 09.10.2022 в 14:50, LostSoul сказал:

Ну вот реально хоть один случай когда бы поддержка вендора могла помочь?

Как последняя линия поддержки в вендоре могу сказать что помогаем.

Но сильно зависит от того насколько оно повторяемо и насколько клиент выносит моск.

 

В 09.10.2022 в 14:50, LostSoul сказал:

а востановление данных eprom нормальная процедура.

и тут не надо было каких то мега-сложных манипуляций.

Вы это ТП мыкротика расскажите, потому что хакинг с флешками это далеко за рамками того как работает коробочное решение.

 

В 09.10.2022 в 14:50, LostSoul сказал:

прищепка чтоб вычитать с одной платы той-же ревизии и прищепка чтоб залить в другую.

Прищепка не всегда работает, увы.

 

В 09.10.2022 в 14:50, LostSoul сказал:

я вашу ситуацию хорошо помню по прошлым годам обсуждений.

узел в соседней комнате и возле узла круглосуточный дежурный.

не сравнивайте это с сетями где узлы раскиданы по городу/стране хрен знает где куда лететь 2 дня.

И да и нет. )

У меня остался один мыкротык в сибири и два сервера с фрёй в мск, сам я где то в 1к км от мск.

Ещё в мск один десктоп который я тоже суппортю.

Это из моего личного хозяйства.

На работе десктоп и пара серверов которые на мне.

 

Если всё делать аккуратно то даже мажорное обновление ОС можно накатить удалённо, а просто обновление портов и системы это рутина.

Хватает для всего этого обычного ссш.

 

 

В 09.10.2022 в 17:23, edo сказал:

а как управляете конфигами, версиями пакетов?

На фре рсинк, на опенврт - бэкап/ресторе через вебгуй.

На опенврт у меня относительно простые конфиги.

[jffulcrum]

В 09.10.2022 в 17:50, LostSoul сказал:

Ну вот реально хоть один случай когда бы поддержка вендора могла помочь?

С Cisco всякое бывало, бывало даже недостижимое пока для MT явление, как отзыв и замена. Но денег такая поддержка стоила много, да.

 

В 09.10.2022 в 20:07, edo сказал:

линуксовые? видел несколько раз в жизни (точно по пальцам одной руки можно пересчитать) какую-то живность, каждый раз это было «вау, оно всё-таки существует», и каждый раз это была парольная авторизация в ssh и слабые пароли (и уже много лет, как сервера, глядящие в интернет, я настраиваю исключительно на авторизацию по ключам).

C Heartbleed насмотрелся, шифровать не шифровали, но майнер или ботнет - запросто.

 

 

[edo]

В 09.10.2022 в 20:47, Ivan_83 сказал:

опенврт - бэкап/ресторе через вебгуй.

не, ну это совсем не промышленное решение, даже на дестках устройств это не вариант )

[jffulcrum]

Ну, с Ansible и прочим configuration-driven нет особой разницы, что тазы с линухом, что тазы с xxxWRT, что MT (причем, скорее тазы с МТ в нынешних условиях). Разница сводится к первичным затратам на написание плейбука, типа час или полтора, и к адаптации шаблона к интерфейсам конкретной коробки. Даже всякие оптимизации - такое, не заморачиваться, памяти в тазах и дури в процах нычне столько, что нужен реальный хайлоад чтобы во что-то там стукнуться, стояшее вышивания бисером. Можно жопой бубунту поставить и 10Gb/s вытащить, не приходя в сознание.

[Ivan_83]

В 09.10.2022 в 18:10, edo сказал:

не, ну это совсем не промышленное решение, даже на дестках устройств это не вариант )

У меня как раз до десятка :)

И меня больше заботит автоматизация сборки, тк некоторые девайсы не вошли в OpenWRT.

[edo]

В 09.10.2022 в 22:02, Ivan_83 сказал:

И меня больше заботит автоматизация сборки, тк некоторые девайсы не вошли в OpenWRT.

а почему просто не послать патчи в апстрим?

 

 

В 09.10.2022 в 21:35, jffulcrum сказал:

Ну, с Ansible и прочим configuration-driven нет особой разницы, что тазы с линухом, что тазы с xxxWRT, что MT

ну для кучи мелких роутеров больше вероятность, что какой-нибудь прямо сейчас будет оффлайн, так что больше подходит pull-модель, чем push, так что ansible напрямую выглядит не самым лучшим вариантом.

 

можно наколхозить какую-то свою инфрастуктуру, но наверняка же всё украдено до нас.

увы, пока я смог найти только https://github.com/openwisp/openwisp-controller который выглядит просто ужасным оверкиллом

[straus]

Да, кстати. Для особо ленивых к Open-WRT была написана надстройка X-WRT - полноценный GUI для всех функций, а не только основных. Правда одно время её похерили, не знаю, как сейчас. Так вот вполне юзабельно (для любителей гуя).

Помню, несколько лет назад был спор GUI vs CLI. Так вот на X-WRT паренёк сделал всё намного быстрее, чем опытный мужик в CLI. Хотя это неспортивно.