Комментарии 23
Операция «Буря в пустыне» 1991 года показала всему миру, как мгновенно через активизацию закладок перестали работать все без исключения средства ПВО Ирака, только что закупленные во Франции.
Вы всё ещё думаете, что опасность надумана?
Вы всё ещё думаете, что опасность надумана?
(если что — это перевод)
С тех пор прошло почти четверть века, и методы как защиты, так и атаки радикально изменились. В начале 90-х необходимость обеспечения защиты информационных систем была не такой очевидной, как сейчас. Да и магистральное сетевое оборудование практически всех вендоров (включая Huawei, но исключая Cisco) строится на базе одних и тех же совершенно стандартных и отлично изученных ASICов. Запрятать в них что-то, да так, чтобы ребут не помог — ну очень сложная задача. Как бы обычно транзитные пакеты не проходят через процессор общего назначения.
А вот если враг будет иметь детальную информацию об уязвимых местах сети (а они есть у всех) и о средствах мониторинга безопасности — никакие закладки не нужны.
С тех пор прошло почти четверть века, и методы как защиты, так и атаки радикально изменились. В начале 90-х необходимость обеспечения защиты информационных систем была не такой очевидной, как сейчас. Да и магистральное сетевое оборудование практически всех вендоров (включая Huawei, но исключая Cisco) строится на базе одних и тех же совершенно стандартных и отлично изученных ASICов. Запрятать в них что-то, да так, чтобы ребут не помог — ну очень сложная задача. Как бы обычно транзитные пакеты не проходят через процессор общего назначения.
А вот если враг будет иметь детальную информацию об уязвимых местах сети (а они есть у всех) и о средствах мониторинга безопасности — никакие закладки не нужны.
Ко мне как-то попали 4 дслама huawei 5300… Стояли, работали, где то через пару лет, я вынюхал дебаг пароль для них. Самое интересно он состоит всего из 4 цифр!!! У меня был шок.
Можно вспомнить еще про сетевухи на чипах Intel, и как их можно положить отправив «двойки» в определенной последовательности (где-то про это была статья на хабре).
Я бы не стал выделять что такой-то производитель норм, а такойт нюхает вашу сеть. Скорее всего то что делает хуавей -делают все производители, мы об этом просто пока не знаем. Здесь поможет только разработка отечественных чипов и своего ПО.
Можно вспомнить еще про сетевухи на чипах Intel, и как их можно положить отправив «двойки» в определенной последовательности (где-то про это была статья на хабре).
Я бы не стал выделять что такой-то производитель норм, а такойт нюхает вашу сеть. Скорее всего то что делает хуавей -делают все производители, мы об этом просто пока не знаем. Здесь поможет только разработка отечественных чипов и своего ПО.
А наши умники у Французов Мистрали покупают.
Не надумана, конечно. В потроха современного процессора в сборке влезть затруднительно, все там понять — тем более.
Хотя мне кажется, что этой статьей и истерией на тему хуавея американцы защищают не себя от закладок, а кошельки некоторых своих компаний — от опустошения.
Хотя мне кажется, что этой статьей и истерией на тему хуавея американцы защищают не себя от закладок, а кошельки некоторых своих компаний — от опустошения.
Вы агитируете за отечественные бренды или что?
думаете там не может быть подобных бакдоров? или команда отечественного бренда не может внедрить промышленного шпиона-конкурента? или масштаб не такой страшный как между странами? ну сотрудникам компании которая подвергается атаке-шпионажу от этого не легче.
А, вот, скажите, много ли открытого кода у хуавей в сравнении с циско? ну — я как то привык что бакдоры находят энтузиасты, и потом о них громко заявляют…
думаете там не может быть подобных бакдоров? или команда отечественного бренда не может внедрить промышленного шпиона-конкурента? или масштаб не такой страшный как между странами? ну сотрудникам компании которая подвергается атаке-шпионажу от этого не легче.
А, вот, скажите, много ли открытого кода у хуавей в сравнении с циско? ну — я как то привык что бакдоры находят энтузиасты, и потом о них громко заявляют…
Снова: это — перевод статьи, написанной американцем и лишь показывающей вопрос с довольно интересной стороны.
Я не в курсе существования отечественного (разработанного в России) сетевого оборудования, пригодного для крупных провайдеров, так что вариантов у нас — никаких :) А вот у американцев, у которых полно замечательных производителей замечательного сетевого железа, дела обстоят получше, и тем более удивляет, что даже на объектах ядерной энергетики у них задействовано железо вероятного противника. Которое — сюрприз — иногда может глючить, и действительно может потребоваться вмешательство представителей чужой страны в те области, куда их с точки зрения здравого смысла и на пушечный выстрел нельзя подпускать.
Представьте себе, что во времена холодной войны американская делегация бы открыто ходила по коридорам некоего здания на Лубянке, записывала график смен охраны, особенности работы пропускного режима, расположение камер видеонаблюдения, маршруты патрульных вокруг здания и т.д., попутно мило беседуя с руководителями о том, какие еще меры безопасности те планируют наладить, где они хранят секретную документацию и тому подобное. Шокирует? Но автор оригинальной статьи примерно про это и говорит :)
Вы агитируете за отечественные бренды или что?
Я не в курсе существования отечественного (разработанного в России) сетевого оборудования, пригодного для крупных провайдеров, так что вариантов у нас — никаких :) А вот у американцев, у которых полно замечательных производителей замечательного сетевого железа, дела обстоят получше, и тем более удивляет, что даже на объектах ядерной энергетики у них задействовано железо вероятного противника. Которое — сюрприз — иногда может глючить, и действительно может потребоваться вмешательство представителей чужой страны в те области, куда их с точки зрения здравого смысла и на пушечный выстрел нельзя подпускать.
Представьте себе, что во времена холодной войны американская делегация бы открыто ходила по коридорам некоего здания на Лубянке, записывала график смен охраны, особенности работы пропускного режима, расположение камер видеонаблюдения, маршруты патрульных вокруг здания и т.д., попутно мило беседуя с руководителями о том, какие еще меры безопасности те планируют наладить, где они хранят секретную документацию и тому подобное. Шокирует? Но автор оригинальной статьи примерно про это и говорит :)
> Я не в курсе существования отечественного (разработанного в России) сетевого оборудования, пригодного для крупных провайдеров, так что вариантов у нас — никаких
Почему же, есть и российские игроки рынка телеком оборудования — питерские Беркут, Петер-сервис, московский CBOSS. На мировом рынке выглядят слабовато, но отечественные операторы частенько закупают у них различные VAS платформы. Прифинансировании желании можно и коммутаторы свои собирать.
Почему же, есть и российские игроки рынка телеком оборудования — питерские Беркут, Петер-сервис, московский CBOSS. На мировом рынке выглядят слабовато, но отечественные операторы частенько закупают у них различные VAS платформы. При
Зря так на качество. У меня было очень скептическое отношение к их оборудованию, однако мы его купили в составе ряда маршрутизаторов и коммутаторов. CLI великолепен. Документация достаточно хорошая. По субъективному взгляду выполнения железа тоже нареканий нет. Сбоев замечено не было. На металле не экономят, внутри полно диагностической индикации для сервис-центра. Разобрать, естественно, не получилось, изучить компоненты не вышло. Это что касается enterprise класса. Про Carrier класс можно особо не писать, в мире почти все крупные операторы используют их оборудование.
По цене, кстати, тоже, получается хоть и дешевле, но не на столько, что бы говорить о демпинге.
Что касается безопасности, то по-моему это все скорее надуманно. Ведь прошивки доступны, при желании можно заняться реверсом.
По цене, кстати, тоже, получается хоть и дешевле, но не на столько, что бы говорить о демпинге.
Что касается безопасности, то по-моему это все скорее надуманно. Ведь прошивки доступны, при желании можно заняться реверсом.
у мегафона вон все целиком на хуавеях, по крайней мере у нас в городе. десяток бс щупал.
Работал в Huawei и ZTE, был с китайцами на разных площадках наших федеральных операторов(Москва). Китайцам по фиг на устройство сети и все оборудование, кроме прямых конкурентов данной линейки(телефонистам не интересен датаком, датакомщикам-какой стоит софтсвич), это им для того, чтобы предложить swap по выгодной цене). Больший интерес во время тендеров и тестов, но опять таки ради того, чтобы продать и/или насолить конкуренту, когда все заканчивается-им уже все равно. Кстати, государство тут тоже не дураки, на стратегически важные объекты иностранцев не пускают вообще.
Этот Грег — цисковод олдфаг, и к тому же пиндос с задвигами а-ля Democracy is everything, сам ни разу не видевший (да и откуда ему?) как работает десант китайцев на сайте.
Во-первых, это было давно. Давно уже десант китайцев на датаком-железки не приезжает, не тот возраст. Железки уже давно вылизаны, причёсаны и никакого десанта с компиляторами не прилетает.
Во-вторых, десант этот не пустят туда, куда им не надо. Да и сами они не полезут, т.к. есть чёткие правила поведения на сайте и вообще правила работы на чужом (купленном) оборудовании, находящемся в КЭ. Всё строго регламентировано.
В-третьих, сейчас на сайт приходят только «местные». В России — российские спецы, в шататах — штатские :)))
Во-первых, это было давно. Давно уже десант китайцев на датаком-железки не приезжает, не тот возраст. Железки уже давно вылизаны, причёсаны и никакого десанта с компиляторами не прилетает.
Во-вторых, десант этот не пустят туда, куда им не надо. Да и сами они не полезут, т.к. есть чёткие правила поведения на сайте и вообще правила работы на чужом (купленном) оборудовании, находящемся в КЭ. Всё строго регламентировано.
В-третьих, сейчас на сайт приходят только «местные». В России — российские спецы, в шататах — штатские :)))
У Huawei очень интересная политика продаж в нашей стране. Надо сразу закупать на крупную сумму. Но все равно, если сравнить цены, по крайней мере, на коммутаторы доступа (200$ за S2300 против 1000$ за туже Cisco 2960) или агрегации(700$ за S5300 против Cisco 3750). Также следует учесть, что Huawei в целом работает из коробки с любыми китайскими SFP-модулями, менее прожорливы по питанию.
Оказывают они и удаленную техподдержку, работает в РФ в течении двух лет после покупки. Довольно часто обновляют софт, добавляя новые фичи. Если еще 2-3 года назад софт реально был довольно убог, теперь уже довольно удобен. Но, правда, у той же Cisco или Juniper, софт гораздо лучше, можно разобраться практически с любой проблемой. А вот с дополнительной информацией очень туго — есть только на сайте support.huawei.com, да и то не все.
Из альтернатив Huawei остаются либо D-Link(софт убог на столько, на сколько возможно), либо Zyxel(все равно немного дороже), либо откровенная китайчатина(Extreme, SNR и т.д.)
Оказывают они и удаленную техподдержку, работает в РФ в течении двух лет после покупки. Довольно часто обновляют софт, добавляя новые фичи. Если еще 2-3 года назад софт реально был довольно убог, теперь уже довольно удобен. Но, правда, у той же Cisco или Juniper, софт гораздо лучше, можно разобраться практически с любой проблемой. А вот с дополнительной информацией очень туго — есть только на сайте support.huawei.com, да и то не все.
Из альтернатив Huawei остаются либо D-Link(софт убог на столько, на сколько возможно), либо Zyxel(все равно немного дороже), либо откровенная китайчатина(Extreme, SNR и т.д.)
У Вас устаревшая информация, софт у китайцев весьма неплохой уже. И это пугает :) Правда и от демпинга они потихоньку отказываются.
Что за бред?! Работаю в Huawei второй год, и могу уверить, что инженеры не собирают информации о сетевой архитектуре.
Даже наоборот, передача в HQ сведений о сети заказчика без его письменного разрешения заказчика запрещена.
Автор пишет про какие-то сотни китайских инженеров, но на самом деле «в полях» сейчас трудятся почти всегда только местные инженеры, и их как правило, всего несколько человек в проектной команде.
Даже наоборот, передача в HQ сведений о сети заказчика без его письменного разрешения заказчика запрещена.
Автор пишет про какие-то сотни китайских инженеров, но на самом деле «в полях» сейчас трудятся почти всегда только местные инженеры, и их как правило, всего несколько человек в проектной команде.
Специфически у Китая есть намного более действенный способ «опустить» США. И абсолютно легальный (хоть и не легитимный) в отличии от…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Безопасность и Huawei