не спорю, но ещё правильнее было бы не включать по умолчанию всякую левую хуйню )
+100500
MOXHATOE
Wingman
а ещё насколько я вычитал, она бывает неотключабельна (no четотам не пишется в конфиг и при ребуте восстанавливается) - это норм?
Yury
не спорю, но ещё правильнее было бы не включать по умолчанию всякую левую хуйню )
Ну так тогда давайте к херам вообще все выключим, оставим консоль, стандартные виданы и статику. Все остальное от диавола и небезопасно )
Wingman
Ну так тогда давайте к херам вообще все выключим, оставим консоль, стандартные виданы и статику. Все остальное от диавола и небезопасно )
ок, это спорно
но не позволять отключить - норм? :)
Yury
ок, это спорно
но не позволять отключить - норм? :)
Да все выключается там. Не выключается-убери из продакшена или поставь поглубже за фаером. Просто тут как всегда. Наипнулось что-то - о, а что, тут такая фича была? Всем же похуй на референс гайдс, дизайн и прочие непонятки. Конф т, адрес на интерфейс и заебца.
Wingman
сек
Evgeniy
Если выключать smart install, то он не сможет выполнять своё назначение
Wingman
Да все выключается там. Не выключается-убери из продакшена или поставь поглубже за фаером. Просто тут как всегда. Наипнулось что-то - о, а что, тут такая фича была? Всем же похуй на референс гайдс, дизайн и прочие непонятки. Конф т, адрес на интерфейс и заебца.
3750-juk(config)#no vstack basic
3750-juk(config)#end
3750-juk#sh run | in vstack
3750-juk#
MOXHATOE
Ну так тогда давайте к херам вообще все выключим, оставим консоль, стандартные виданы и статику. Все остальное от диавола и небезопасно )
Да! Давайте. Нужна фича - пошёл, включил явно. В этом иосе хренова гора фич, которые включены по умолчанию, и большинство из которых нахер не нужны 99%, и эти 99% про их существование часто даже не знают, потому что не используют. А потом получаем вот такие эпикфейлы.
Wingman
нихуя не выключается)
Wingman
Если выключать smart install, то он не сможет выполнять своё назначение
тут кому как, но по мне так предпочтительнее предварительно прошить пачку железок, включить смарт инсталл, а потом уже рассылать по городам
Sergey
нихуя не выключается)
"Не выключается-убери из продакшена или поставь поглубже за фаером"
Wingman
а, ну норм
Sergey
как сказал мудрец выше
Yury
Да! Давайте. Нужна фича - пошёл, включил явно. В этом иосе хренова гора фич, которые включены по умолчанию, и большинство из которых нахер не нужны 99%, и эти 99% про их существование часто даже не знают, потому что не используют. А потом получаем вот такие эпикфейлы.
Блин, ну вот когда покупаешь машину-ты ж в ее особенности вникаешь, где что включить-выключить. Так и с железкой. Досталась-разберись, чтоб траблов не было. А все просто циске доверились
Wingman
(я, типа, не про то, "что мне делать", а про то, что сделано долбоёбически)
Wingman
Wingman
чувак
Wingman
они сделали, грубо говоря, открытый неавторизированный доступ
Wingman
завтра они зашьют всем известный аккаунт 15 левела неотключабельный
Evgeniy
тут кому как, но по мне так предпочтительнее предварительно прошить пачку железок, включить смарт инсталл, а потом уже рассылать по городам
Фишка как раз и коробки достать и сделать
Wingman
тоже будет "ну чё вы, это как машина, и вообще убери из прода или зафаерволь"?
Yury
(я, типа, не про то, "что мне делать", а про то, что сделано долбоёбически)
По дефолту на vty нет acl, но это не значит, что он там не нужен
Sergey
разбирались бы.. делали сами из фпгашек свои маршрутизаторы..
Evgeniy
Sergey
а так покупаем готовые
Evgeniy
Софт надо обновлять похоже
Wingman
угу
Wingman
но мне-то как раз повод выкинуть нах последнюю 37 из сети :D
Evgeniy
Ещё и режиме директор вроде оно неуязвимо
Sergey
Ещё и режиме директор вроде оно неуязвимо
Apr 6 22:19:38.667: VSTACK_ERR:
!! smi_ibc_dl_handle_events: download not successful
Apr 6 22:19:38.667: %SMI-6-UPGRD_STARTED: Device (IP address: 0.0.0.0) startup-config upgrade has started
Apr 7 00:31:26.148: VSTACK_ERR:
!! smi_ibc_dl_handle_events: download not successful
Anton
завтра они зашьют всем известный аккаунт 15 левела неотключабельный
уже
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-xesc
Wingman
По дефолту на vty нет acl, но это не значит, что он там не нужен
я вот щас не полезу читать их basic config guide, но я уверен, что про vty там есть, а про эту хуйню нет
Wingman
забьёмся? :)
Wingman
Evgeniy
Sergey
да про эту херню, да еще и в 65 каталистах думаю многие в шоке узнали, накой она там
Yury
забьёмся? :)
Да я не говорю что циска белая и пушистая, косяк несомненный, но голова ж не только для шапки у инженера)
Sergey
ладно там в свитчах доступа
Evgeniy
да про эту херню, да еще и в 65 каталистах думаю многие в шоке узнали, накой она там
Смарт инстал вполне для энтов фича. Суп2т в энтов дофига продали
Sergey
Смарт инстал вполне для энтов фича. Суп2т в энтов дофига продали
но их там десятки и сотни для автоконфигируирования?
Wingman
кстати, тогда уж было бы логично отключать её при startup-config, отличном от дефолтного)
Sergey
кстати, тогда уж было бы логично отключать её при startup-config, отличном от дефолтного)
да или не отключать, но работала бы только на влан1
Wingman
ох
Wingman
знаю кучу провайдеров с vlan 1 во все поля :D:D
MOXHATOE
Блин, ну вот когда покупаешь машину-ты ж в ее особенности вникаешь, где что включить-выключить. Так и с железкой. Досталась-разберись, чтоб траблов не было. А все просто циске доверились
С чем тут "разбираться"? Вот я ставлю сраный л2-свищ в офис, мне пройти почитать про все его фичи, подумать, что из них мне нужно, подумать об их взаимосвязях с другим функционалом и т.д.? Мне от железки нужен определенный функционал, в нем я разобрался, зачем мне читать полные гайды по всему говну, которое вендор напихал в свою коробку? Да, пользователи доверяют вендору, в той или иной степени. Особенно в случае с примитивными устройствами типа л2 коммутаторов. Если уж пошли аналогии с машиной, я ее покупаю, чтобы ездить, и мне в целом нафиг не надо знать, какой там диаметр форсунок в инжекторе или скорость работы топливного насоса.
В общем да, я думаю, что чем меньше в железке включено всякого "по-умолчанию", тем спокойнее с ней жить.
Sergey
кроме заливки по тфтп, они могут выполнить какую то другую команду?
Sergey
ошистить пзу ?
Evgeniy
да
Sergey
ацл тоже не панацея, много раз случалось на каталистах так, что drop висит, а тарфик проходит
Evgeniy
не
Sergey
перезаливается ацл и все ок
Evgeniy
https://github.com/Sab0tag3d/SIET
Sergey
ацл тоже не панацея, много раз случалось на каталистах так, что drop висит, а тарфик проходит
дроп висит, а запросы в логе есть
Wingman
0о
Wingman
лол )
Wingman
тогда чето поздно зажгли)
Evgeniy
да почему
Sergey
дроп висит, а запросы в логе есть
ну вот что б прям сразу фейлилось не припомню, а когда ацл висит, и спустя какое-то время выясняется, что _часть_ правил не работает - вот это сюрприз
Sergey
причем это не единичный случай на каталистах
Yury
С чем тут "разбираться"? Вот я ставлю сраный л2-свищ в офис, мне пройти почитать про все его фичи, подумать, что из них мне нужно, подумать об их взаимосвязях с другим функционалом и т.д.? Мне от железки нужен определенный функционал, в нем я разобрался, зачем мне читать полные гайды по всему говну, которое вендор напихал в свою коробку? Да, пользователи доверяют вендору, в той или иной степени. Особенно в случае с примитивными устройствами типа л2 коммутаторов. Если уж пошли аналогии с машиной, я ее покупаю, чтобы ездить, и мне в целом нафиг не надо знать, какой там диаметр форсунок в инжекторе или скорость работы топливного насоса.
В общем да, я думаю, что чем меньше в железке включено всякого "по-умолчанию", тем спокойнее с ней жить.
Ну в офисе на границе какая-никакая фильтрация все равно присутствует, пусть себе стоит. Если посмотреть, то все перечисленные модели-это акцесс или дистр, они по логике наружу не должны смотреть, стало быть и проблемы нет. А вот если акцессник стоит жопой в инет, то тут стоило бы озаботиться ознакомлением со всем имеющимся функционалом и повырубать/позакрывать ненужное
Sergey
а учитывая, что этот smi слушает вообще весь л3, а на том же суп2т л3 интерфейсов могут быть сотн ии на кажедый надо повесить ацл... какая вероятность чточасть этих правил слетит?)
Sergey
даже если не принимать в расчет человеческую ошибку
Sergey
для защиты циско инфраструктуры перезд ними на аплинки надо ставить микротик с фаерволом на бридже
Sergey
боюсь 10г на микротиках маловато, а 40г ваще не завезли :D
MOXHATOE
Ну в офисе на границе какая-никакая фильтрация все равно присутствует, пусть себе стоит. Если посмотреть, то все перечисленные модели-это акцесс или дистр, они по логике наружу не должны смотреть, стало быть и проблемы нет. А вот если акцессник стоит жопой в инет, то тут стоило бы озаботиться ознакомлением со всем имеющимся функционалом и повырубать/позакрывать ненужное
Ну вот у меня снаружи нет этих каталистов, ок, отлично. И что? Мне вот сейчас приятно сидеть и думать что любой из 20000+ пользователей компании может слить или стереть конфиги коммутаторов, которых в компании несколько тысяч стоит? Нет, не приятно.
Sergey
со сливом конфига вообще классная тема, эта фигня с гитхаба из коробки работает
Sergey
мы какраз вчера еще до всей шумихи софт на тестовых железках тестили ей
MOXHATOE
со сливом конфига вообще классная тема, эта фигня с гитхаба из коробки работает
Угу, я проверил уже. Красота вообще
Sergey
со сливом конфига вообще классная тема, эта фигня с гитхаба из коробки работает
слив к ним конфига, или заливка на циску их конфига?
Sergey
креш из последней баги тестили и слив к себе конфига, заливку проверять не стали, но механизм товобщем то тот же