@linkmeup_chat

Страница 778 из 1252
 
Sergey
06.04.2018
20:53:15
какие ацл на л3 транзите

 
Ivan
06.04.2018
20:53:26
у вас тут негодования?

 
Sergey
06.04.2018
20:53:28
ssh заблочил и уже слава богу :D

 
да, судя по упавшим провадм, цодам и сервисам, охреневаем

Google
 
Pavel
06.04.2018
20:54:54
Не. Это не у всех больших операторов. Это у всех адекватных людей так
ну энтерпрайз какой мелкий может и бабла на асу зажать, типа и так норм работает, 3750 поставил, acl на vty повесил и хватит

 
Sergey
06.04.2018
20:55:00
как там оказались каталисты с л3 управлением на белом ип

 
Innokentiy
06.04.2018
20:55:16
> с л3 управлением на белом ип это не требуется

 
Sergey
06.04.2018
20:55:23
к мелким провам притензий нет, спроса нет

 
Innokentiy
06.04.2018
20:55:24
достаточно просто иметь белый ип

 
Roman
06.04.2018
20:55:35
ну энтерпрайз какой мелкий может и бабла на асу зажать, типа и так норм работает, 3750 поставил, acl на vty повесил и хватит
Зачем? Зачем вешать паблик ip на свитч тем более в ынытрпрайзе?

 
Pavel
06.04.2018
20:55:47
свитч рутит

 
Sergey
06.04.2018
20:55:49
> с л3 управлением на белом ип это не требуется
я про 2960 и подобные, л2 которые

 
Pavel
06.04.2018
20:55:52
это типа бордер, стык с ISP

 
Ivan
06.04.2018
20:56:11
мне кажется у больших операторов все эти свичики спрятаны за асами какими-нибудь, где все зафильтровано, что не надо, потому не думаю, что кто-то из них пострадает
Это не так

 
Innokentiy
06.04.2018
20:56:23
а мне кажется, количество упавших 2960 небольшое

 
Sergey
06.04.2018
20:56:25
достаточно просто иметь белый ип
коммутаторы из списка для роутеров в цоды, под сервисы и в провайдеры крупные не годятся

 
а они падают

Google
 
Leonid
06.04.2018
20:56:32
это типа бордер, стык с ISP
+, 3650 бгп без лицензии умеет, отличный выбор жля мелкой конторы)

 
Pavel
06.04.2018
20:57:23
Вангую, что большинство упавших сеток, это мелкие л2-каталисты, которые терминируют дальше вланы на 3750-м, и в нем же аплинк на провайдера. Минус 3750 после атаки = минус вся сеть

 
Ну, к примеру

 
Roman
06.04.2018
20:57:47
Самое печальное, что все будут винить вендора, а не свой долбоебизм

 
Sergey
06.04.2018
20:57:54
с мелких провов и спроса нет, тут безвыходная ситуация

 
Самое печальное, что все будут винить вендора, а не свой долбоебизм
какой?

 
Ivan
06.04.2018
20:58:41
Самое печальное, что все будут винить вендора, а не свой долбоебизм
Конечно. Вспомни уязвимость в тиках год назад. Только ленивый не указал на косяк тиков.

 
Roman
06.04.2018
20:58:53
какой?
Какой что?

 
Ivan
06.04.2018
20:58:58
какой?
пользовать фаервол и не торчать портами наружу

 
Sergey
06.04.2018
20:59:08
ты мелкий пров, у тебя 3750G , куча л3 интерфейсов на ней, транзитный трафик , л3 маршрутизация, стыки с аплинками..

 
пользовать фаервол и не торчать портами наружу
давай раскажи как вещать на пару сотню svi интерфейсов ацли и блокировкой портов

 
Leonid
06.04.2018
20:59:58
Самое печальное, что все будут винить вендора, а не свой долбоебизм
Ну, справедливости ради, если бы у меня в каком то мелком филиале стоял как роутер 3650ый, я бы на него аксесс лист на все порты бы не вешал.

 
Ivan
06.04.2018
21:00:08
давай раскажи как вещать на пару сотню svi интерфейсов ацли и блокировкой портов
дык закрой порт, обнови железки вот это вот все

 
Sergey
06.04.2018
21:00:24
дык закрой порт, обнови железки вот это вот все
давай раскажи как закрыть порт

 
Roman
06.04.2018
21:00:31
Если у тебя на едже нет ничего фильтрующего... Ну это такое...

 
Ivan
06.04.2018
21:00:45
давай раскажи как закрыть порт
наружу? Фаерволом?

 
Sergey
06.04.2018
21:01:04
нет отдельного ацл для контрол плана в тех свитчах

 
какой фаерволл если циска у тебя бордер

 
с какой стороны закрываться, атакм может быть как с интернета так и сзараженного клиента

 
клиент может быть в любом из сотни вланов

Google
 
Ivan
06.04.2018
21:02:31
с какой стороны закрываться, атакм может быть как с интернета так и сзараженного клиента
ну циске же сообщили об этом за 4 месяца (вроде как)

 
Pavel
06.04.2018
21:02:33
Вот эту штуку периодически мониторить можно, чтобы попытаться оперативно не допустить беды: https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir#~Vulnerabilities Правда едва ли там быстрее будут появляться сведения, чем во всяких чатиках и каналах

 
Ivan
06.04.2018
21:02:47
можно было патч выпустить и всем письмо написать.

 
Sergey
06.04.2018
21:02:48
ну циске же сообщили об этом за 4 месяца (вроде как)
циске сообщили, а она пинала

 
Ivan
06.04.2018
21:02:56
циске сообщили, а она пинала
вот и я об этом

 
Pavel
06.04.2018
21:03:39
ну железки-то старые. Намёк - типа покупайте новые продукты)

 
Sergey
06.04.2018
21:03:54
странно вообще такой сервис держать на всех л3 интерфейсах, ладно она в дефолте .есть 1 влан дхцп на нем

 
Anton Klochkov
06.04.2018
21:04:25
с какой стороны закрываться, атакм может быть как с интернета так и сзараженного клиента
вырубить нахрен no vstack

 
Sergey
06.04.2018
21:04:33
вырубить нахрен no vstack
не вырубается

 
Vladimir
06.04.2018
21:04:35
Фотка с ММТС-9

 


 
Ivan
06.04.2018
21:04:46
не вырубается
там же уже инструкция есть

 
Anton Klochkov
06.04.2018
21:04:49
не вырубается
Что значит не вырубается?

 
Sergey
06.04.2018
21:04:52
вырубить нахрен no vstack
#no vstack % Incomplete command.

 
Ivan
06.04.2018
21:05:04
ip access-list extended SMI_HARDENING_LIST permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786 deny tcp any any eq 4786 permit ip any any`

 
Anton Klochkov
06.04.2018
21:05:06
#no vstack % Incomplete command.
no vstack config

 
Алё

 
На некоторых, на пример 3845 дописывай

 
Sergey
06.04.2018
21:06:19
no vstack config
а помогло Ж)

 
пробовал но встак басик, не выключало

Google
 
Ivan
06.04.2018
21:06:33
циске сообщили, а она пинала
Говорят что не пинала

 
https://roem.ru/06-04-2018/269389/u-provajderov-cisco/

 
Anton Klochkov
06.04.2018
21:07:38
а помогло Ж)
Ну так да :)

 
Sergey
06.04.2018
21:07:39
no vstack config
вру

 
001E371C *.4786 *.* LISTEN

 
так же висит

 
#sh tcp brief all | inc 4786 001E371C *.4786 *.* LISTEN

 
Anton Klochkov
06.04.2018
21:09:56
ХМ а на чем ты? 3750?

 
Sergey
06.04.2018
21:11:50
3750G

 
Anton Klochkov
06.04.2018
21:14:15
А дай вывод sh vstack config

 
Sergey
06.04.2018
21:14:50
#sh vstack config Role: Client Vstack Director IP address: 0.0.0.0 * Following configurations will be effective only on director * Vstack default management vlan: 1 Vstack management Vlans: none Join Window Details: Window: Open (default) Operation Mode: auto (default) Vstack Backup Details: Mode: On (default) Repository:

 
Alex
06.04.2018
21:14:55
таки чем плох уход в менеджмент так и не было озвучено. Очень понравилось сранвение про красную кнопку. Уровень компетенции и широты знаний + выше уровень ответственности, как следствие - переход на уровень менеджмента. Когда человек командуя армиями чужими руками может решать больше задач и более эффективно, чем собственноручно на уровне исполнителя копая окопы круглые сутки.
Это просто бралось как данное. Что делать если возраст уже не тот, а в менеджмент не можется/хочется.

 
Denis
06.04.2018
21:16:38
-(config)#no vstack config ^ % Invalid input detected at '^' marker. -(config)#no vstack ? director Configure director's IP address -#sh vstack config Role: Client Vstack Director IP address: 0.0.0.0 12.2(55)SE

 
на 2960

 
WS-C2960G-48TC-L

 
Anton Klochkov
06.04.2018
21:17:31
https://supportforums.cisco.com/t5/lan-switching-and-routing/cannot-disable-vstack-on-switch/td-p/3326603

 
Красиво

 
Innokentiy
06.04.2018
21:17:37
No vstack config не выключает vstack

 
Anton Klochkov
06.04.2018
21:17:39
Значит я ошибся

 
Хер там, no vstack config не помог

Google
 
Innokentiy
06.04.2018
21:19:19
только что проверил на тестовом 3560

 
там есть no vstack, и оно помогает

 
а no vstack config - не помогает

 
Sergey
06.04.2018
21:21:08
12.2(55)SE1 у меня

 
дыра есть, вижу пытаются использовать

 
не срабатывает

 
U
06.04.2018
21:22:42
WS-C2960G-48TC-L
как раз днём настраивал, вливал c2960-lanbasek9-mz.122-55.SE12.bin, было там на тему no vstack

 
Sergey
06.04.2018
21:23:33
это же л2 свитчи, им транзитом л3 не гонять, ип только на управлении, его зафаерволить можно где нибудь еще, клиенты и инетрнет этот л3 интерфейс не увидят

 
Denis
06.04.2018
21:23:34
у меня SE просто

 
U
06.04.2018
21:25:05
это же л2 свитчи, им транзитом л3 не гонять, ип только на управлении, его зафаерволить можно где нибудь еще, клиенты и инетрнет этот л3 интерфейс не увидят
на L2 само собой хорошим тоном является вынос управления в отдельный vlan с ограниченным доступом. Я просто проверил на всякий случай )

 
Anton Klochkov
06.04.2018
21:43:25
#sh vstack config Role: Client Vstack Director IP address: 0.0.0.0 * Following configurations will be effective only on director * Vstack default management vlan: 1 Vstack management Vlans: none Join Window Details: Window: Open (default) Operation Mode: auto (default) Vstack Backup Details: Mode: On (default) Repository:
Попробуй назначить не дефолтный влан для этого говна

 
vstack vlan

 
Sergey
06.04.2018
21:43:38
Попробуй назначить не дефолтный влан для этого говна
?

 
Anton Klochkov
06.04.2018
21:43:48
Vstack default management vlan: 10 Vstack management Vlans: none

 
Sergey
06.04.2018
21:44:00
у меня в 1 влане ничего же нет

 
Anton Klochkov
06.04.2018
21:44:36
Железка так не думает наверно, попробуй хуеж точно не будет влан 666 какой-нибуль :)

 
Innokentiy
06.04.2018
21:47:25
ему пофиг на вланы, увы

 
влан указывается для бродкастового поиска директора клиентом

 
Sergey
06.04.2018
21:52:30
по дефолту процесс весит на всех адресах

 
Anton Klochkov
06.04.2018
21:52:31
188.123.253.246 Вот этот IP вижу в логах фаера :)

 
AKADO-STOLITSA-HFC

 
Sergey
06.04.2018
21:52:52
сливай в роскомнадзор, пусть банят

Страница 778 из 1252