Илья
на эти вещи просто все кладут с прибором
Илья
денег не приносит ибо
Yury
Илья
как например в пятницу
Andrei
госуха неплохо на проектах по безопасности наваривается
Александр
Howdy
#whois
- разработчик
- frontend
- россия
- увидел линк
- 0
Igor
пойду спать. Хочу видеть Сомова утром в чятике, пусть сбудется
Прозвучало по гейски, если честно
Kristina
так и тут, есть какая-то секурити, но надо следить что сеукрность сохраняется
Секурити — страшные дебри. Большой порог вхождения (имеется ввиду конечно не базовый уровень навроде настройки авторизации, ацл на порты удаленного доступа и тд). По хорошему — на это должен быть нанят отдельный спец
Eugene
отдельный спец в "погонах" и хрен вам, а не айпи-фабрики ваши новомодные
Roman
https://onsna18.sched.com/mobile/#session:228d82b4a42afb19b496a602c945ab66
Roman
Stanislav
это получается хуовей протолкнул pppoe fib модуль в vpp?
Stanislav
или чайна телеком
Stanislav
а бля, увидел китайца подумал хуовей, а оказывается не хуовей ))
Igor
П — предрассудки :)
Igor
Stanislav
норм там в впп разрабы
'simple', 'clear' and even 'flexible' are subjective qualities. You and I could discuss, over many a beer, whether these qualities contribute to code's 'goodness' and what constitutes simpler and flexibler and not come to a definitive answer.
Igor
«Да, наш код говно, но давайте зададимся вопросом, что есть такое говно?»
Igor
Хотя у меня перлы в коммитах не лучше есть, что-нибудь вроде — я пересмотрел код этого метода, но он всё ещё не работает.
Stanislav
ну это чел из цуски код ревью делал китайцу етому)
Виталий
отдельный спец в "погонах" и хрен вам, а не айпи-фабрики ваши новомодные
тоже самое и про sd-wan можно сказать. вроде бы и настраивается dmvpn, но до кучи открывается 18999/udp с возможностью удаленного выполнения кода. удобно... https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-qos
Roman
это получается хуовей протолкнул pppoe fib модуль в vpp?
Архитектура очень похожа на то что я видел у Хуа в презах по vBNG
Roman
вот это vBRAS-CP
Roman
vBRAS-DP
Eugene
тоже самое и про sd-wan можно сказать. вроде бы и настраивается dmvpn, но до кучи открывается 18999/udp с возможностью удаленного выполнения кода. удобно... https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-qos
ну тоесть я так понял единственный метод - это CoPP-ить этот 18999? нет свежего софта где бы он был прихлопнут к ебеням?
Mike
почему, там же только некоторые версии софта подвержены
Mike
he Adaptive QoS for Dynamic Multipoint VPN (DMVPN) feature of Cisco IOS Software and Cisco IOS XE Software uses UDP port 18999 and may be open due to the provisioning of this feature on unaffected platforms.
Eugene
да подвержены то понятно, но через какое-то время найдут очередную уязвимость которая будет эксплойтить этот удп 18999
Eugene
вот нахрена эт надо?
Eugene
почему бы не прибить его к чертям если он мне не нужен
Eugene
но Цуско конечно скажет что на самом деле мне этот порт нужен. Равно как мне нужен автопровиженинг, нужен АйВан и СДакцесс
Mike
ну на 15,6м4 оно закрыто если дмвпн не поднят
Eugene
без них просто никак
Eugene
на аср1к как Х, так и простых, открыто
Eugene
софт естественно не древний
Eugene
и никакого дмвпн-а нет, это просто рухтеры-бардеры
Mike
тогда в аксес лист, какие еще варианты
Eugene
бинго! :)
Eugene
это то и хреново, что никаких других вариантов
Eugene
сам подход уебищен
Eugene
и позиция Цуско тоже уебищна
Alexander
на аср1к как Х, так и простых, открыто
эм... т.е у тебя включено даже с не настроеным дмвпном?
Eugene
так тощно, даже на 16.3.5
Stanislav
да люди вон живут с дефолтным snmp наружу
https://www.shodan.io/search?query=asr9k+country%3A%22kz%22
Stanislav
а вы про какой то порт залочить)
Stanislav
мы всегда на цусках порезаем к контрол плейну всё ненужное
Evgeniy
да это злые блэкхэты ток если запилят сплоит
Evgeniy
скрипткиддие такое не запилят
Evgeniy
там интернал тестинг
Evgeniy
это же все обычно на конфах выливается
Evgeniy
а тут на чем пиарить то себя
Evgeniy
я написал сплоит на адаптивкос ?
Evgeniy
да люди вон живут с дефолтным snmp наружу
https://www.shodan.io/search?query=asr9k+country%3A%22kz%22
трансам должно быть стыдно
Виталий
ну тоесть я так понял единственный метод - это CoPP-ить этот 18999? нет свежего софта где бы он был прихлопнут к ебеням?
https://tools.cisco.com/security/center/softwarechecker.x?productSelected=ios&selectedMethod=A&captchaPage=true&versionNamesSelected=15.6%282%29T3&allAdvisoriesSelectedByTree=N&advisoryType=0&iosBundleId=cisco-sa-20180328-bundle&isFewCheckBoxChecked1=false&isNoneCheckBoxsChecked1=true#~onStep3 пишут что поправили и указана версия где.
Evgeniy
ну сопп тоже хорошо
Evgeniy
я бы хуй рискинул поставить на брас денали
Evgeniy
и вот эти все новомодные иосы
Roman
Stanislav
неа
Stanislav
тока базовый
Stanislav
который бесплатный
Константин
слушайте, ну вот с белыми адресами все понятно, тупо сканят с внешки и все.
А допустим там где менеджмент в отделньном врф бегает? или L3-свищ c серыми адресами абонов роутит? бегать порты закрывать - это паранойя или разумный подход?
Evgeniy
ну защиту иметь от вредителя внутри тоже как бы надо
Evgeniy
школотрон почитает новость
Alexander
Evgeniy
поставит питон
Roman
но вообще лучше найти компромис между безопасностью и удобством
Evgeniy
и будет пацанам потом в школе рассказывать
Evgeniy
как уронил провайдера
Константин
ну защиту иметь от вредителя внутри тоже как бы надо
а сдругой стороны - обложиться АЦЛьками со всех строн - это ж явный минус к производительности железа. кое-где можно вообще в process switching скатиться
Evgeniy
хз