Как стать автором
Обновить

Комментарии 13

Говорят, что на ММТС-9 сегодня был сискоконнект афтепати:

Тут полный howto со всеми вытекающими давно был в .pdf
И в твиттере не очень-то прятались: twitter.com/imedv
Не знаю как насчет «Инфраструктура сети MSK-IX не затронута», но мы полностью потеряли нашу стойку на Профсоюзной/Бутлерова. Там где ранее был Демос, а теперь Релком.
И надеюсь тут есть представители Релкома: Ребята, я понимаю у вас аншлаг, аврал и дикая проблема. Но шесть часов не отвечать на телефон и только через 4 часа ответить на созданный тикет фразой «Решаем». Это перебор. Это совсем дикий перебор. Держать крупного клиента в неведении. Поставить его в ситуацию когда наша аварийная смена не может выехать на место, так как там пропускной режим, а ввиду не возможности связаться с Релкомом, даже нельзя было заказать пропуск и приехать на объект. 7,5 часов downtime.
Я тут просто напишу много-много матов. Спасибо.

Эта уязвимость известна с прошлого года, интересно кто держит свитчи мордой в интернет?

Те же кто и домашние веб камеры светит в интернет с базовым паролем

Как по мне, то так им и надо — это обычное разгильдяйство.

Товарищ, представьте что вы оператор связи.
Теперь представьте, что у вас статичная маршрутизация для клиентов.
А теперь представьте, что некоторые клиенты пользуются белыми IP адресами.

До сих пор ничего необычного, правда?, Ок, едем дальше, теперь будет вишенка.

Все вторичные IP-интерфейсы, поднятые на коммутаторе Cisco для подключения таких клиентов — давали доступ к обсуждаемой уязвимости. Закрыть к ним доступ снаружи = закрыть Интернет для этих клиентов. Невероятно, но факт.

Расскажите мне теперь про глупых ленивых админов, вываливающих интерфейсы управления мордой в интернет.
Уважаемый, если вы провайдер связи, вы обязаны держать свое оборудование под контролем, в том числе и в плане безопасности, а также в плане схем подключения. Если есть потенциальный риск, значит надо пересматривать эти схемы подключения, а не руководствоваться правилом — работает не трогай
Уважаемый VitamiNoZzZz, я писал слово «роутеры». Думаю вы знаете что у циски (и не только циски) во многих моделях весьма размыто понимание свич/роутер. Большинство железок умеют и то и другое.
Чистые L2 свичи думаю и не пострадали ни у кого.
В мой офис Инет «приходит» по витухе с крыши, затем в 10-долларовый 8-ми портовый неуправляемый свитч; из него по проксям/NAT-ам. Уверен, таким путём к 90% потребителям и заходит Инет. Думал под это дело нарезать отдельный VLAN в одном из SG-свитчей, который частью портов смотрит в LAN и таким образом избавиться от лишних соплей. После прочтения о данной уязвимости отпало всякое желание убрать неуправляемый свитч.
Если на вашем прокси/NAT реальный IP то никто никогда не гарантирует что на нем не появится подобного бага (на дешевом оборудовании даже больше шансов).
Так что защита и файрвол нужны всем. Разве только надеяться что ваш роутер никогда никому не будет интересен :)
Тогда уж сразу отключиться от Инета и одеть шапочку из фольги.
Намного удобней firewall чем шапочка.
В вашем случае VLAN в свиче который не имеет реального IP ничего не изменит по части безопасности от подобной атаки.
Но нужно будет следить за безопасностью его порта, например от мультикаст флуда который «случайно» может пройти через вашего провайдера (как было месяц назад в другой известной сети обмена трафиком).
Но на самом деле я-бы не советовал включать кабель с крыши в управляемый свич по другой причине, куда более банальной — гроза.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий