Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в Cisco RV32x были устранены через блокировку зап..."	+/–
Сообщение от opennews (??), 28-Мрт-19, 08:14
Исследователи из компании RedTeam Pentesting обнаружили (https://twitter.com/RedTeamPT/status/1110843396657238016), что компания Cisco лишь создала видимость устранения уязвимостей (CVE-2019-1653) в выпущенном в январе обновлении прошивки к маршрутизаторам  Cisco RV320 и RV325. Вместо реального устранения проблем в скриптах web-интерфейса, в обновлении прошивки  были внесены изменения в настройки http-сервера nginx, блокирующие обращение при помощи утилиты curl, которая использовалась в прототипе эксплоита и примерах для проверки наличия уязвимости. После установки обновления прошивки с "устранением (https://tools.cisco.com/security/center/content/CiscoSecurit...)" проблем, устройства Cisco RV32x как и раньше остаются уязвимыми. Для атаки достаточно сменить значение User-Agent при помощи ключа "-A", например:    curl -s -k -A kurl -X POST --data 'submitbkconfig=0' https://192.168.1.1/cgi-bin/config.exp Неисправленными остаются две уязвимости, позволяющие без аутентификации обратиться к скриптам config.exp или export_debug_msg.exp с флагом "submitbkconfig" и получить содержимое файла конфигурации устройства, включая хэши паролей доступа, и ключи к VPN и IPsec. При запросе через export_debug_msg.exp конфигурация отдаётся в зашифрованном виде, но для шифрования использован фиксированный пароль, присутствующий в прошивке ('NKDebug12#$%'). URL: https://news.ycombinator.com/item?id=19507225 Новость: https://www.opennet.me/opennews/art.shtml?num=50404
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 28-Мрт-19, 08:14	+43 +/–
Поражает наивность реакции Cisco: "The initial fix for this vulnerability was found to be incomplete. Cisco is currently working on a complete fix." https://tools.cisco.com/security/center/content/CiscoSecurit... Предполагаю, что под "complete fix" они понимают блокировку User-Agent "kurl", используемый в новом примере атаки.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #62

2. Сообщение от ryoken (ok), 28-Мрт-19, 08:18	–3 +/–
Уже и цискам нельзя доверять? Кошмар, куды бечь?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #18, #26, #46, #70

3. Сообщение от Аноним (3), 28-Мрт-19, 08:20	+6 +/–
Ещё доставляет реклама этих рутеров на сайте Cisco: "Keep your employees, your business, and yourself productive and effective. The Cisco RV320 Dual Gigabit WAN VPN Router is an ideal choice for any small office or small business looking for performance, security, and reliability in its network." https://www.cisco.com/c/en/us/products/routers/rv320-dual-gi...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #42

4. Сообщение от Аноним (4), 28-Мрт-19, 08:26	+7 +/–
Молодцы. Умеют устранять уязвимости.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #28

5. Сообщение от ЩЫптЫ (?), 28-Мрт-19, 08:32	–6 +/–
кинетик/микротик
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #7, #13, #77

6. Сообщение от Аноним (1), 28-Мрт-19, 08:32	+7 +/–
И заметье, на подготовку такого патча им потребовалось полгода: 2018-09-19 Original vulnerability identified 2019-01-22 Firmware 1.4.2.20 released by vendor
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #10

7. Сообщение от Аноним (1), 28-Мрт-19, 08:35	+/–
В MikroTik с безопасностью не лучше. https://www.opennet.me/opennews/art.shtml?num=49226 https://www.opennet.me/opennews/art.shtml?num=49408 "Уязвимость была вызвана ошибкой в компоненте Winbox и позволяла изменить настройки устройства без прохождения аутентификации."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #9, #11

8. Сообщение от Tifereth (?), 28-Мрт-19, 08:49	+4 +/–
Абсолютно феерично. Мог ожидать такого от Microsoft, но чтобы от Cisco, которая кичится своим трепетным отношением к безопасности...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #14, #15, #21

9. Сообщение от Аноним (9), 28-Мрт-19, 08:50	–1 +/–
Просто вырубил winbox в IP->services, и всё остальное кроме www.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

10. Сообщение от IdeaFix (ok), 28-Мрт-19, 09:14	–1 +/–
Ну, если отбросить арифметику, для для гротеска можно сказать что они шесть лет готовили этот недопатч (по факту - три месяца).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #17

11. Сообщение от Айран (?), 28-Мрт-19, 09:19	–1 +/–
исправлено же
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

12. Сообщение от sstj3n (?), 28-Мрт-19, 09:24	+3 +/–
...And sometimes Cisco explains its behavior with a simple phrase: "Monopoly means that we just can afford it"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

13. Сообщение от ryoken (ok), 28-Мрт-19, 09:30	+2 +/–
Тоже хрень, да и тут вещают, под ДДоСом валятся на ура мокротыки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #20

14. Сообщение от Аноним (14), 28-Мрт-19, 09:33	+1 +/–
Нет, анонимы давно ожидают такого ... и регулярно получают https://overclockers.ru/blog/Docent2006/show/20835/v_routera...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #53

15. Сообщение от Аноним (14), 28-Мрт-19, 09:37	+4 +/–
> Cisco, ... к безопасности взаимоисключающие понятия
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

16. Сообщение от Аноним (16), 28-Мрт-19, 09:47	+1 +/–
Это же мыльница какаято - купили кавота, налепили наклейку - cisco епт:)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #25

17. Сообщение от Аноним (17), 28-Мрт-19, 09:51	+3 +/–
> по факту - три месяца Четыре.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

18. Сообщение от пох (?), 28-Мрт-19, 09:52	+1 +/–
ну вообще-то цискам, которые на самом деле линксиси, а это именно оно, доверять никогда было нельзя. Там вся команда индусская-преиндусская, во главе охренеть-раджа, даром что ни ухом, ни рылом в предмете не разбирается... но сейчас вполне может статься, что такой становится и вся циска целиком - https://finance.yahoo.com/news/former-cisco-employee-arreste... - ну ведь нельзя же джентльмену с прекрасным именем Бхикка не верить на слово? Вот ему карта-то и поперла... бечь - понятно куда, в оченьплохуюдорогу, там ни одного индуса нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #55

19. Сообщение от пох (?), 28-Мрт-19, 09:54	–2 +/–
да, но выкинуть на мороз индуса и нанять нормального хотя бы менеджера среднего звена - вполне можно было и после покупки. Но зачем - пипл же и так схавает, других-то нет (точнее, других-то в избытке, но они еще хуже).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #37

20. Сообщение от пох (?), 28-Мрт-19, 09:57	–3 +/–
ну если три-четыре околонулевой нагруженности ipsec-туннеля для них ddos - то моя древняя ржавая asa и парочка ее краденых виртуальных сестренок должны были уже не то что лечь, а взорваться и улететь в форточку. Однако ж, работают, а мокротыки коллеги сделавшие себе на них защищенную сеть - перезагружают просто вот по три раза на дню, а чо, затодешево! (не так чтоб и особо)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #27, #38

21. Сообщение от KonstantinB (ok), 28-Мрт-19, 09:57	+/–
Да какое еще отношение к безопасности? Это по старой памяти 15-летней давности только если. Сейчас там индус на индусе. Любая китайская поделка будет примерно на том же уровне.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #30, #34

22. Сообщение от Аноним (16), 28-Мрт-19, 09:57	+5 +/–
Сдаеца мне именно так и сделали - индуса ваявшего прошивку на мороз, вместо него эффективный менеджмент справица:)
Ответить | Правка | Наверх | Cообщить модератору

23. Сообщение от Аноним (23), 28-Мрт-19, 09:59	+2 +/–
Я, конечно, понимаю, что такое "латание" уязвимостей это скорее попытка блокировать PoC-скрипты кулхацкеров... Но блокирование по user-agent это верх "тяп-ляп и в продакшн", даже слов нет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31

24. Сообщение от Нанобот (ok), 28-Мрт-19, 10:08	+3 +/–
Всегда так делаю 👍
Ответить | Правка | Наверх | Cообщить модератору

25. Сообщение от Аноним (14), 28-Мрт-19, 10:12	+/–
Ага - мыльница. Цены-то у него конские.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #54

26. Сообщение от Аноним (26), 28-Мрт-19, 10:21	+5 +/–
>Уже и цискам нельзя доверять? А можно было? Имеется ввиду безопасность, а не навороченность железа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

27. Сообщение от Андрей (??), 28-Мрт-19, 10:33	+1 +/–
Наверно они при покупке на смотрели на схемы железок, которые они покупать собираются. На сайте Микротика все выложено. Там нарисовано как трафик ходит и где затыки могут быть. Например на надо покупать одноядерный микротик, если надо шифровать IP-Sec и гонять большой трафик в режиме роутера. Соответственно нормально выбранная железка и у Микротика, стоит не мало. Но ведь кто ж читает... Кроилово, оно всегда переходит в попадалово. Да. Ну а ASA - это по сути комп. Простой как три копейки. При высокой нагрузке лагает, как и все. При зоопарке VPN-клиентов поглючивает и подкашливает. Так что никаких чудес. Был у меня на работе старый компа с OpenVPN. Выкинули комп когда CA-сертификат протух (был на 10 лет сделан при инсталяции). А пока не протух CA, работал себе вполне и всем очень нравился.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #33

28. Сообщение от А (??), 28-Мрт-19, 10:34	+/–
И главное - быстро. 10 баллов!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

29. Сообщение от Уровень предприятия (?), 28-Мрт-19, 10:34	+/–
Может, проще туда как-нибудь OpenWrt прошить?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #43

30. Сообщение от Sw00p aka Jerom (?), 28-Мрт-19, 10:44	+3 +/–
>Это по старой памяти 15-летней давности только если. Слайды Сноудена припомните, циска изначально такой и была
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

31. Сообщение от тщт (?), 28-Мрт-19, 10:46	+2 +/–
не надо так "тяп-ляп" опускать, костыли, пусть и кривые, будут есть и будут, а это откровенное "пох..й, лохи, и так сожрут"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

32. Сообщение от Аноним (34), 28-Мрт-19, 10:57	+1 +/–
Конечно же это всё произошло случайно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35

33. Сообщение от пох (?), 28-Мрт-19, 10:58	+1 +/–
> Например на надо покупать одноядерный микротик, если надо шифровать IP-Sec стесняюсь спросить - они до сих пор не умеют его оффлоадить на отдельное шифроустройство? > Ну а ASA - это по сути комп. Простой как три копейки. угу - в 5510 - _селерон_ (p3, без всяких там aes'ов и sssse8910). При этом, как ни удивительно, с ipsec на крупный branch-office c десятками туннелей к каким-нибудь удаленным складам у нее все в порядке (с поправками на неумение элементарных вещей) - шифрует отдельный чип, тормозит тоже отдельно от всего. Непростой там софт - попробуй-ка на коленке на компе (все равно из каких деталей) собрать failover cluster с автомагическим переключением - включая и те же криптотоннели. У асы - работает. > При высокой нагрузке лагает, как и все. какие такие все? Вот любимый некротик при невысокой виснет, перезагрузка ресетом. Зато дешево. У stonesoft за шесть вагонов денег - при нагрузке, не превышающей штатной - разваливается кластер, активная нода виснет намертво, вторая умудряется этого не заметить и не переключиться, при банальном апдейте банальных правил - начинает все глючить и виснуть до отката на старые конфиги. Техподдержка разводит лапками - "шеф, я вас вижу! - Аналогично!" А у тебя - всего лишь лагает ,и то потому что вышел за допустимые параметры. (ну да, есть еще checkpoint и paloalto, но там и деньги несопоставимые с асой без доп-примочек, и смысл этих коробок немного в другом, и своих специальных глюков и проблем на ровном месте у них навалом. А в дверку тихонько скребется очень-плохая-дорога, со словами "а мы тут, кстати, сертификат ФСТЭК прикупили")
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #39, #40, #44, #60

34. Сообщение от Аноним (34), 28-Мрт-19, 10:59	+/–
Тогда зачем платить больше. Купи длинков пучок и пере загружай их весь день.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #36

35. Сообщение от freehck (ok), 28-Мрт-19, 11:02	+2 +/–
Да как обычно небось: наняли джуна на испытательный, код-ревью не делали... Ну вот и результат. )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #75

36. Сообщение от KonstantinB (ok), 28-Мрт-19, 11:04	+1 +/–
Вот, кстати, с древним dlink 320 с dd-wrt никаких проблем ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

37. Сообщение от ананим.orig (?), 28-Мрт-19, 11:08	+1 +/–
> нормального менеджера среднего звена не бывает. возьмите чубайса.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

38. Сообщение от Аноним (39), 28-Мрт-19, 11:11	–4 +/–
я смотрю пох/нах у нас специалисты во всех сферах, сам-то хоть видел его вживую хоть раз? и сколько раз он у тебя вис? p.s. имею в доступности с два десятка микротиков: за почти два года ни единого зависания (нагрузка у них постоянная от 10 до 75%).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #50

39. Сообщение от Аноним (39), 28-Мрт-19, 11:13	–8 +/–
Из этого всего потока сознания можно сделать вывод что перед нами теоретик-флудер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #49

40. Сообщение от PnDx (ok), 28-Мрт-19, 11:20	+1 +/–
> Непростой там софт - попробуй-ка на коленке на компе (все равно из каких деталей) собрать failover cluster с автомагическим переключением - включая и те же криптотоннели. У асы - работает.   Тут не удержусь от ехидного комментария. Глядя на злоключения коллег из сетевого отдела — *не* работает. В 9 прошивках из 10 есть какой-то очередной нюанс, препятствующий переключению или сваливающий в "панику". И при этом зафиксировать рабочее — тоже не вариант, т.к. регламенты. Не знаю как там у можжевеловых, но Cisco+ASA = вот это вот.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #48

42. Сообщение от Аноним (42), 28-Мрт-19, 12:04	+5 +/–
"productive and effective" такой productive and effective.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #58

43. Сообщение от Аноним (-), 28-Мрт-19, 12:15	+3 +/–
Проще приобрести мощный одноплатник под OpenWRT за треть цены сабжа. А то, что вы предлагаете, скорее из области трансректальной гландоэктомии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

44. Сообщение от ыы (?), 28-Мрт-19, 12:23	–1 +/–
>стесняюсь спросить - они до сих пор не умеют его оффлоадить на отдельное шифроустройство? есть модели с специальным шифроустрйоством и есть без. Какие имеют его - написано на сайте (включая недорогие роутеры сохо-сегмента). Но кто-ж читает что там на сайте написано...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #51

45. Сообщение от Аноним (16), 28-Мрт-19, 13:09	+/–
https://habr.com/ru/post/444998/ а вы тут от мыльницы какой то защищенности хотите:)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47

46. Сообщение от Аноним (46), 28-Мрт-19, 13:12	+2 +/–
А с каких пор можно было доверять проприетарщине?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #66

47. Сообщение от Аноним (1), 28-Мрт-19, 13:26	+/–
> https://habr.com/ru/post/444998/ а вы тут от мыльницы какой то защищенности хотите:) Это они баян с Ars Technica без ссылки на источник перевели под видом нового исследования. https://arstechnica.com/information-technology/2019/03/criti.../ На opennet про этом предупреждали несколько лет назад :-) https://www.opennet.me/opennews/art.shtml?num=27447 https://www.opennet.me/opennews/art.shtml?num=32863 https://www.opennet.me/opennews/art.shtml?num=48391
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

48. Сообщение от нах (?), 28-Мрт-19, 13:39	–1 +/–
>   Тут не удержусь от ехидного комментария. Глядя на злоключения коллег > из сетевого отдела — *не* работает. В 9 прошивках из 10 признаюсь честно, именно ipsec site2site failover я делал на 7-8.0 (то есть до прихода щастья всем в виде поддержки многотредовости в 8.2)  - работало, переключалось c sub-second delay (ибо voip), в панику за год не свалилось. Учитывая что именно это место гарантированно пострадало от мультипроцессорности/тредов - готов поверить, что в 9+ оно так. > есть какой-то очередной нюанс, препятствующий переключению или сваливающий в "панику". > И при этом зафиксировать рабочее — тоже не вариант, т.к. регламенты. вообще-то с циской принято не фиксировать полурабочее скотчем, а открывать tac case (раз они где-то берут свежие версии, значит, и доступ к tac у них есть). Вот если tac уже послал - нужны подробности, как дошли до жизни такой. Поскольку вроде бы как раз основной функционал, и непонятно, зачем дальше такая коробка нужна. мы ssg, видимо, выпилим за такое поведение, ибо ненужно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

49. Сообщение от . (?), 28-Мрт-19, 13:58	+4 +/–
> Из этого всего потока сознания можно сделать вывод что перед нами теоретик-флудер. судя  по тому что это для вас "поток сознания" - вы даже не теоретик, а так - "один раз видел микротик, но настраивал его какой-то инженер".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

50. Сообщение от пох (?), 28-Мрт-19, 14:07	+/–
> я смотрю пох/нах у нас специалисты во всех сферах, сам-то хоть видел > его вживую хоть раз? стыдно сказать, нет ;-) Я ни разу не был на площадках, где оно работает. > и сколько раз он у тебя вис? не считал, но это у той конторы обыденнейшая ситуация "опять повисло, перезагрузите" - раз-другой за неделю мелькало в чятике. Коробок с десяток, какой-либо зависимости от нагрузки/расположения/настроек я не заметил. Да и настроек там кот наплакал, внешний траффик через те коробки не ходил, только туннели для внутренних нужд. > p.s. имею в доступности с два десятка микротиков: за почти два года > ни единого зависания (нагрузка у них постоянная от 10 до 75%). дружище, нагрузку в сети в bps/pps меряют ;-) хотя вообще-то если у тебя 75 это cpu load - ничего не хочу больше знать о тех некротиках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

51. Сообщение от пох (?), 28-Мрт-19, 14:08	+/–
> есть модели с специальным шифроустрйоством и есть без. Какие имеют его - > написано на сайте (включая недорогие роутеры сохо-сегмента). Но кто-ж читает что > там на сайте написано... "вы же уже купили", что теперь толку от того чтения :-(
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

53. Сообщение от InuYasha (?), 28-Мрт-19, 14:38	+/–
Интересные ссылки, благодарю. По отдельности всё не так страшно, но когда соберёшь всё рядом... /(o_o)\
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

54. Сообщение от пох (?), 28-Мрт-19, 15:10	–1 +/–
https://www.amazon.com/gp/offer-listing/B00DGH08OC/ если бы это не была линксися перекрашенная - не вижу ничего конского, дешевенькая soho-железка так и должна стоить. вот тебе примерно такой же длинк еще дороже и хуже: https://www.amazon.com/gp/offer-listing/B004Z9XRQG/ а вот, для сравнения, сколько стоит настоящая циска с весьма приблизительно похожим функционалом (свитч еще за столько же купишь): https://www.ebay.com/itm/Brand-New-CISCO1921-K9-CISCO-1900-I... (хотя какой лох будет это на ебее покупать - не знаю) ну или так, только там гигабит ненастоящий, а для soho нафиг не надо, это для branch office кого-то очень большого предназначено: https://www.ebay.com/itm/Cisco-CISCO892-K9-10-100-Mbps-GigE-... их, разумеется, тоже никто на ебее покупать не будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

55. Сообщение от ryoken (ok), 28-Мрт-19, 15:15	+/–
Там ещё хуже - там ваще КИТАЙЦЫ. А этому племени у меня доверия нет и вряд ли появится...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #63

56. Сообщение от ryoken (ok), 28-Мрт-19, 15:19	+/–
А как там у Джуниперов дела? Они подобного уровня добро вообще делают? Давно на опеннете им на голову ушатов помоев не было что-то :D
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #59

57. Сообщение от Анонимс (?), 28-Мрт-19, 15:54	+1 +/–
> после установки обновления прошивки 1.4.2.20 с заявленным "устранением" проблем, устройства Cisco RV32x как и раньше остаются уязвимыми > обновление прошивки с корректным исправлением пока не выпущено и ожидается в середине апреля > компания Cisco была уведомлена о проблеме в начале февраля, а информация об изначальной уязвимости была направлена ещё в сентябре прошлого года > для атаки достаточно сменить значение User-Agent Циска и безопасность - это слова синонимы и об этом знают все.
Ответить | Правка | Наверх | Cообщить модератору

58. Сообщение от x3who (?), 28-Мрт-19, 16:24	+1 +/–
> такой productive and effective. Ну да, именно. Вы просто не понимаете, что эффективное производство стремится снижать затраты на производство продукта, у каждого менеджера есть KPI согласно которому он должен поднять эффективность бизнеса на Х процентов. А основные издержки приходятся на что? Деталь из устройства не выкинешь, зато можно снизить издержки на разработчиков и поддержку продукта - выгнать пару наиболее оплачиваемых технарей-дармоедов на мороз, и эффективность бизнеса тут же возрастает на размер их оплаты с налогами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #65

59. Сообщение от пох (?), 28-Мрт-19, 16:48	–1 +/–
> А как там у Джуниперов дела? Они подобного уровня добро вообще делают? нет, там все заподорого и не через розничные магазины - мелкоохфесам не светит. ну то есть ты можешь, конечно, на ебее купить какой-нибудь сравнительно дешевый srx, и он всем лучше этой линксиси, но это будет 100% неофициальный продаван, ни прошивок, ни техподдержки ты там не получишь - в смысле, вообще нет никакого легального пути их получения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #72

60. Сообщение от Андрей (??), 28-Мрт-19, 16:56	–1 +/–
Надо не стесняться. Надо сходить на сайт, выбрать пункт "IPsec hardware acceleration" и посмотреть на то, что выдалось. Там же можно поизучать схемы каждого девайса, чтобы понять есть тут "переподписка" или нет. failover cluster достаточно легко собирается на тех же Линуксах и если у вас это не получилось однажды, вовсе не значит, что этого нет в природе. Кому надо тот делает. Инструментарий для этого есть. Ваши истошные посты убитого жизнью админа понятны. Отдыхать надо. Всех дел не переделаешь. Удачи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #61

61. Сообщение от пох (?), 28-Мрт-19, 20:06	+/–
дружище, я на другие сайты хожу. с лошадками, например... В то время как цисячьи и э...скажем, чекпоинтовские продаваны борются за звание чемпионов соцсоревнования по впариванию нашей конторе готовых решений за много денег. Если в кои-то веки мне надо выбрать что-то для себя любимого, это точно не будет некротик, и тем более я не буду изучать "схемы", я что, проектировщик этого хлама, что-ли - нахрена они мне? Есть примерное понимание, какие в сети ходят объемы траффика, у вендора есть такое же примерное (поэтому точно низачем не надо) представление, какого и сколько вон та коробка может прожевать. А если вместо этого мне подсовывают схемы и заставляют вручную проверять наличие какого-там hardware - ну его нафиг. И тем более сетевые устройства не должны виснуть без видимых причин, это уже вообще за рамками допустимого. > failover cluster достаточно легко собирается на тех же Линуксах ну же, ну же - я затаив дыхание жду историю успеха?! Напоминаю - sub-second switching, ipsec (я, честно говоря, не знаю как вы вообще в линуксе собрались его фейловерить - нет, трогать другой конец низзя, вам никто не обещал что он вообще ваш собственный и что вам там рулить дадут - то есть endpoint у вас один и его адрес фиксирован - мы ведь об ipsec failover, а не как накостылить обходной путь при его отсутствии), stateful nat, в том числе dual (потому что, опять же, с той стороны не все железо ваше и не все сети грамотно спланированы) static routing, для простоты. В асе все вот просто - он одной командой включается, и про проблему забываем навсегда. Конфиги она посинхронизирует сама, за состоянием интерфейсов следит сама - вообще неинтересно (в отличие от настройки самого ipsec, где грабель целое поле, с невиданным урожаем). И так оно - с 2005го года, еще в pix'ах было. ну вот коллега заявляет что в 2019м доломали где-то, но что-то темнит о деталях - например, заводился ли тикет и что на него отвечали. > Ваши истошные посты убитого жизнью админа понятны. Отдыхать надо. дык я и отдыхаю, не схемы же некротиков мне для отдыха разглядывать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

62. Сообщение от Аноним (62), 28-Мрт-19, 20:09	+/–
Они так до белого списка юзерагентов додумаются в итоге.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #64

63. Сообщение от пох (?), 28-Мрт-19, 20:14	+/–
дык, потому индусов и нет ;-) они их палочками едят. доверять им может и нельзя (правда, товарищ майор велели им как раз - доверять, циске - не доверять! это для защищенных полувоенных применений, на минуточку), но вот к их железу у меня вопросы если и были, то такие, из серии "денег никому не заплатить". Оно такое, странненькое, но именно странненькое, а не уродливое, как у некротиков. Иногда даже радуют красивыми ходами, которых у той же циски либо нет, либо криво, либо появилось на десять лет позже (тот же display this - у цисок есть аналог только в XR и неудобный страшно. Или онлайн апдейты в дешевых, копеечных s2300 - причем работающие, ни разу не повисло)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

64. Сообщение от Aknor (?), 28-Мрт-19, 21:30	+/–
И чем это им поможет ??
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #67

65. Сообщение от Аноним (-), 28-Мрт-19, 21:34	+5 +/–
И с каждой последующей итерацией высе^W продукт штурмует очередное днище. Но дефективным менеджерам пофиг, ло^W клиент же не мамонт. >Деталь из устройства не выкинешь Внезапно, совершенно спокойно выкидываются снабберные цепи, синфазные дроссели, "лишние" стабилизаторы, желательно с парой "наиболее оплачиваемых" инженеров-"дармоедов". Не важно, что недостаточная стабилизация питания и отсутствие фильтрации помех вызывают целый спектр спецэффектов типа повышенного тепловыделения, фризов и зависаний, зато быстрее за новым продуктом прибегут. Это не эффективное производство, а копроэкономика, если называть вещи своими именами, потому > такой productive and effective. > такой reductive and defective. пофиксил, ибо слишком тонкая ирония.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

66. Сообщение от Аноним (66), 28-Мрт-19, 21:43	–3 +/–
Сейчас с нами поделятся историей успеха что ставили, что ставят и что будут ставить в цодах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #71

67. Сообщение от Аноним (62), 28-Мрт-19, 22:48	+/–
Ничем, просто логическое развитие их подхода.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

68. Сообщение от Аноним (68), 28-Мрт-19, 23:32	+1 +/–
Ха-ха! https://i.imgur.com/YOpC9e6.jpg
Ответить | Правка | Наверх | Cообщить модератору

69. Сообщение от Онаним (?), 28-Мрт-19, 23:37	+/–
- без аутентификации обратиться к скриптам config.exp или export_debug_msg.exp с флагом "submitbkconfig" и получить содержимое файла конфигурации устройства - конфигурация отдаётся в зашифрованном виде, но для шифрования использован фиксированный пароль, присутствующий в прошивке ('NKDebug12#$%') - выполнить любую команду в системном окружении устройства через манипуляции с параметрами в форме генерации сертификатов (например, вместо имени можно указать "'a\$(ping -c 4 192.168.1.2)'b") Нельзя таки подпускать школьников и хипстеров к разработке системного ПО. А школьников-хипстеров - тем более.
Ответить | Правка | Наверх | Cообщить модератору

70. Сообщение от Michael Shigorin (ok), 29-Мрт-19, 13:18	+/–
> Уже и цискам нельзя доверять? А когда было можно? (я тех времён, когда они под стол пешком ходили, не застал по специальности)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

71. Сообщение от Michael Shigorin (ok), 29-Мрт-19, 13:19	–1 +/–
Смотря на каком континенте спрашивать будете.  Не специалист, но могу спросить того же gremlin@, только тогда приготовьтесь к оглумлению.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

72. Сообщение от ryoken (ok), 29-Мрт-19, 13:57	+/–
> ну то есть ты можешь, конечно, на ебее купить какой-нибудь сравнительно дешевый > srx, и он всем лучше этой линксиси, но это будет 100% > неофициальный продаван, ни прошивок, ни техподдержки ты там не получишь - > в смысле, вообще нет никакого легального пути их получения. Кто там ещё остался... AlliedTelesyn(s)? Давно что-то вообще про них не слышал, да и есть ли у них подобного уровня девайсы..?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #73

73. Сообщение от пох (?), 29-Мрт-19, 16:08	+/–
https://www.alliedtelesis.com/products/security-appliances/u... нуууу хрен его знает - я очень давно их не видел, но они были такие...японские... В смысле - японумать упоминали регулярно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

74. Сообщение от Аноним (74), 29-Мрт-19, 17:43	–1 +/–
На самом деле у рассматриваемого есть прекрасная непробиваемая защита. А именно - 2 раза пытались внедрить оборудование данного бренда. И оба раза оно не проработало более 1 недели ввиду перегорания блока питания. Т.о. до уязвимостей сабжа дело не дошло и сеть была надежно защищена оборудованием другого бренда.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #76

75. Сообщение от пох (?), 29-Мрт-19, 23:07	+1 +/–
джуны такое себе не позволяют - им не нужно увольнение с первой в жизни должности и волчий билет в итоге, они делают криво, но стараются. это senior сделал, уверенный что ему за это ничего не будет - потому что в Бангалоре, где он живет, все равно особо далеко падать некуда - ну уволят, не станет денег снимать квартиру - пойдет жить на улицу. Потом может быть с голоду помрет - так переродится же ж. Таск закрыт в установленный срок. Ок, что у нас там следующее? "запилить новую фичу для IoT"? Окей, гугль, как это делают-то и что такое IoT, заодно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

76. Сообщение от пох (?), 29-Мрт-19, 23:16	+/–
ну да, что у тебя в сети вместо 220 гуляет 380, и банальных фильтров купить даже уже после сгоревшего устройства вы пожабились - это циска ж виновата. И, разумеется, когда у тебя горит оборудование, которое у других работает годами, надо искать "другого бренда",а не вые..ть электриков. P.S. блок питания какой-нибудь ASR9000 стоит около $2k. Лучше не думать, сколько стоит в ней остальное.  Если два сгорит по милости электрика - что же, на то ему и даны целых две почки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

77. Сообщение от Gannet (ok), 30-Мрт-19, 19:51	+/–
Netter
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема