tzirechnoy

А-а-а! opennet.ru
"Cisco лишь создала видимость устранения уязвимостей в выпущенном в январе обновлении прошивки к маршрутизаторам Cisco RV320 и RV325. Вместо реального устранения проблем в скриптах web-интерфейса, в обновлении прошивки были внесены изменения в настройки http-сервера nginx, блокирующие обращение при помощи утилиты curl, которая использовалась в прототипе эксплоита и примерах для проверки наличия уязвимости."

Невыразимо прекрасно просто. Впрочем, да, про некоторые перлы ведущих спецыалистов цыски по безопасности я тут ужэ писал вроде. Так что неудивительно.

Сик транзит, да. 20 лет назад CCIE был безусловным признанием квалификацыи и уровня. Сейчас — они и сами делают просто мусор.

around

Cisco спалили, что пачти для январских прошивок для тех же RV320 и RV325 вместо реального исправления косяков веб морды, просто перенастраивают идущий в комплекте nginx, чтобы блокировать обращения через curl.
В чём виноват curl, спросите вы? А просто его использовали в poc версии эксплоита.
Итого: бага на месте, а страшные хакеры ржут в голос, подменяя поле юзерагента у curl.
А вы говорите, все альтернативно одарённые в РКН собрались…

Ilya-S-Zharskiy

gen.lib.rus.ec

ISBN-13: 978-1587052569
ISBN-10: 1587052563

LAN Switch Security: What Hackers Know About Your Switches — A practical guide to hardening Layer 2 devices and stopping campus network attacks


Contrary to popular belief, Ethernet switches are not inherently secure. Security vulnerabilities in Ethernet switches are multiple: from the switch implementation, to control plane protocols (Spanning Tree Protocol [STP], Cisco® Discovery Protocol [CDP], and so on) and data plane protocols, such as Address Routing Protocol (ARP) or Dynamic Host Configuration Protocol (DHCP). LAN Switch Security explains all the vulnerabilities in a network infrastructure related to Ethernet switches. Further, this book shows you how to configure a switch to prevent or to mitigate attacks based on those vulnerabilities. This book also includes a section on how to use an Ethernet switch to increase the security of a network and prevent future attacks.


Divided into four parts, LAN Switch Security provides you with steps you can take to ensure the integrity of both voice and data traffic traveling over Layer 2 devices. Part I covers vulnerabilities in Layer 2 protocols and how to configure switches to prevent attacks against those vulnerabilities. Part II addresses denial-of-service (DoS) attacks on an Ethernet switch and shows how those attacks can be mitigated. Part III shows how a switch can actually augment the security of a network through the utilization of wirespeed access control list (ACL) processing and IEEE 802.1x for user authentication and authorization. Part IV examines future developments from the LinkSec working group at the IEEE. For all parts, most of the content is vendor independent and is useful for all network architects deploying Ethernet switches.


After reading this book, you will have an in-depth understanding of LAN security and be prepared to plug the security holes that exist in a great number of campus networks.



Use port security to protect against CAM attacks

Prevent spanning-tree attacks

Isolate VLANs with proper configuration techniques

Protect against rogue DHCP servers

Block ARP snooping

Prevent IPv6 neighbor discovery and router solicitation exploitation

Identify Power over Ethernet vulnerabilities

Mitigate risks from HSRP and VRPP

Stop information leaks with CDP, PaGP, VTP, CGMP and other Cisco ancillary protocols

Understand and prevent DoS attacks against switches

Enforce simple wirespeed security policies with ACLs

Implement user authentication on a port base with IEEE 802.1x

Use new IEEE protocols to encrypt all Ethernet frames at wirespeed.


This security book is part of the Cisco Press® Networking Technology Series. Security titles from Cisco Press help networking professionals secure critical data and resources, prevent and mitigate network attacks, and build end-to-end self-defending networks.

i.imgur.com

Dimez

Проапгрейдил JFF 515e. Поставил туда 512Mb RAM (с 1Gb не запустилась, удивительно даже, что с 512 запустилась), с ибея приехал за копеечку P-III 850 MHz (стоковый P-II Celeron 433 MHz)
Всё летает :))

Turbid

zdnet.com

>Cisco said that there are "no workarounds" to address the vulnerability, but it said that disabling Telnet would "eliminate" some risks.

Это те самые пидорасы, у которых в стоковых прошивках нет ssh в железках за несколько штук $?

pLuto

У меня неспешно открывается вакансия сетевого инженера.
Задачи — архитектура, обеспечение функционирования ядра сети и третий уровень поддержки, в дальнейшем возможен рост до руководителя отдела.
Оборудование — Cisco или cisco-like, некоторое количество линуксов вокруг.
Уровень знаний — CCNP, наличие сертификата приветствуется, но не обязательно.
Деньги обсуждаемы, зависят от знаний и опыта, для Томска норм.
Пишите :)

winner

Коллеги, подскажите, пожалуйста, а как правильно собирать netflow с BRAS на Cisco ASR?
Раньше на ISR в конфиге интерфейса virtual-template были строчки ip flow ingress / ip flow egress, теперь на virtual-template нельзя повесить ip flow monitor COLLECTOR input:
% Flow Monitor: Flow Monitor 'COLLECTOR' Virtual Interface Unsupported

А мне бы собирать netflow до NAT. Как это правильно теперь делается?

Michae1

Российский менеджмент Cisco Systems предупредил своих партнеров о скором изменении модели бизнеса. Корпорация перейдет на самостоятельные поставки продукции в РФ через дочернее предприятие, которое будет проводить таможенное оформление техники и продавать ее за рубли.
В четвертом квартале 2015 финансового года долларовая выручка компании в РФ снизилась на 38%, заявил глава Cisco Джон Чемберс на конференц-колле 12 августа. В рублях финансовые показатели Cisco в РФ, напротив, растут. Неудовлетворительные показатели связаны с макроэкономической ситуацией, а также с политическими проблемами, в частности санкциями США в отношении РФ, пояснял господин Чемберс. "По правилам Cisco на каждый заказ конечный покупатель должен подписать форму, гарантирующую, что оборудование будет у него, а не уйдет в ФСБ или на шельф. Такую бумагу должно подписывать первое лицо компании-покупателя"
Следующим шагом корпорации может стать самостоятельное обслуживание самых крупных заказчиков, среди которых сотовые операторы "большой тройки", ЦБ, Сбербанк, "Газпром", считает один из сотрудников дистрибутора Cisco в РФ. "Интеграторы уже готовятся к этому и начинают проводить Cisco-замещение,— рассказывает один из партнеров корпорации.— Будем предлагать клиентам альтернативных производителей, например Huawei или Juniper".
Коммерсантъ

pLuto

Казахская циска запустила Cisco Connect онлайн в вебексе, но, похоже, не рассчитала количество желающих и доступные каналы связи. Звук медленно подыхал первые 5 минут трансляции и сейчас сдох совсем.
Фуфуфу :)

pLuto

Давненько не заглядывал в область эмуляции сетевых топологий, а там, оказывается, весьма неплохое развитие. Продукт Unified Networking Lab.
unetlab.com
habrahabr.ru
Что особенно приятно — реализован как виртуальная машина (.ova), запускаемая в ESXi в том числе. Т.е. больше не надо гонять GNS локально, на домашнем сервере развернул и пользуешься.
Для подготовки к экзаменам — прекрасно.

pLuto

Ого. Джон Чемберс уходит с поста CEO Cisco. Вместо него с 26 июля 2015 года CEO станет бывший вице-президент по глобальной деятельности Чак Роббинс (Chuck Robbins).
Прямо эпоха заканчивается, 20 лет, как-никак. Посмотрим, что будет с Cisco дальше.

Macil

Раскрутил наменди PIX, а там... НОСТАЛЬЖ-Ы-Ы-Ы-Ы, Intel 440BX (мечта любого школьника конца 90-х), Celeron Mendoccino, который порезанный Pentium II 300 мегагерц. А у тогдашних железок и данного чипсета о-го-го какой оверклокерский потенциал: гналось оно до 450 мегагерц почти всегда, или до 400 мегагерц — всегда. Причём гналось оно по FSB, с заметным увеличением реальной (а не синтетической) производительности... Эх, были времена... Короче, если бы цискари не поленились бы развести AGP и присобачить физику AC97, ну или развести PCI коннектор (как на 515e), то на рутере можно было бы невозбранно ебошить в квейк... (Интересно, а PCI видеокарту к 515e кто-нибудь подключал?) Кстати, подозрительная незанятая «гребёнка» в районе южного моста наводит на определенные мысли.
Самый обычный Socket 370, самые обычные полноразмерные DIMM. Дешевый алюминиевый радиатор, китайский кулер, незанятый разъем питания под второй кулер... Короче, полноценный писюк конца 90-х.
Две сетевухи Intel 82559 припаяны прямо на плату и подключены к PCI. Какой fastpath? Всё что идёт на соседний интерфейс, идет через процессор, никаких акселераторов в т.ч. и ВПН. Хотя поскольку PIX изначально — NAT, то похрен.
На отдельной флешке самый обычный BIOS широко известной в узких кругах General Software (понятно дело, весь вывод int 10 перенаправлен в RS232). Картину портит только намертво присобаченная к материнке рабочая флешка на 8 метров. Этот фатальный недостаток поправили в ASA. Странно, почему цискари не догадались сделать возможность загрузки по BOOTP через сетевуху... Но пёс с ними, пиксовый загрузчик (ака режим monitor) позволяет невозбранно грузить в память любую прогу по TFTP.
В аппаратном дизайне больше всех, наверное, поражают две вещи: цепи питания (дикое количество громадных ёмкостей и индуктивностей, и это учитывая что блок питания 506e выдаёт +12, +5, еще раз +5, и -12) и совершенно запредельное количество TP и JP на плате (да, плату можно было ремонтировать, что по нынешним меркам кажется несусветной глупостью).
Прежде чем хаять, учтите: это дизайн 2000-го года. А в те времена ничего другого просто и не было... Единственная претензия к цискарям, какого хуя они продавали это вплоть до 2008 года.
Из нестандартного только операционная система... Но и этот недостаток поправили в ASA.
Смешно, но почему-то в интернете нет проектов по загрузке линукса/Free-/Net/OpenBSD на пиксы. Делов-то, похачить загрузчик 7-й версии PIX OS (который является образом для загрузчика 6-й версии PIX OS, который сидит рядом с БИОСом), а дальше либо оживить USB (если оно работает), либо грузить всё по той же сети, благо RAM невозбранно расширяется. А уж операционки-то без проблем заведутся, 440BX — настолько эпичный чипсет, что эмулируется QEmu/VMWare/VirtualPC. Хрен, даже винду, наверное, можно поставить, благо в составе QEmu идет соответствующий БИОС.
Такая вот история, а мораль — придумайте сами. Скажу только, что такие вот юзкейсы весьма полезно оценивать с технической, этической и организационной точек зрения.

pLuto

Наконец-то — после долгого ожидания cisco выпустила замену для младшей ASA — теперь она называется ASA5506-X. Четырехъядерный Inter Rangeley 1.7GHz, 4 гига штатно (до 16 расширяется), SSD 64G, 8GE, выделенный менеджмент порт. И все навороты от FirePOWER. Должно быть вкусненько, хотя, как обычно, всё зависит от ценника.

pLuto

В понедельник, 26.01.2015, и среду, 28.01.2015, сдал внеочередные экзамены Cisco, потому что у вендора внезапно зачесалось изменить структуру сертификации по датацентрам. Новый статус называется Cisco Data Center Unified Fabric Support Specialist, для сравнения — предыдущий назывался Cisco Data Center UF Support Specialist (и да, UF — сокращенное Unified Fabric). Изменений в содержании экзаменов приблизительно столько же, сколько и в названии, поэтому на втором экзамене даже до конца не проснулся :) Теперь у меня 12 активных статусов по Cisco (и 4 заэкспайренных по независящим от меня причинам).

BTW, у VUE в последнее время волшебная засада (наблюдается три раза из трех за последние пару месяцев). В момент оплаты экзамена они сначала блокируют сумму, а через пару секунд списывают ее же — но уже другой транзакцией. В результате первая сумма повисает в блокировке на месяц. Так что планирующие сдавать — имейте в виду, что на карте надо держать в два раза больше, чем стоят экзамены.

pLuto

Интересно, Cisco выбрала фильм для показа на закрытии Connect'а потому, что в нем во время секса по телефону девушка герою говорит "Придуши меня дохлым котом!"? :)

Серьезно, фильм Her imdb.com весьма неплохой и, хотя и не особо глубокий, но ухватил Оскара за сценарий, да и вообще просмотра достоин. Но напоить толпу сетевых инженеров пивом, а потом показывать им серьезный фильм о любви и отношениях? Как-то не подумали они о выборе. Показали бы какой-нибудь экшн, тех же Guardians of the Galaxy, все бы были рады :)

seeker

что-то я тупой видать совсем. есть кошка с настройкой порта
interface GigabitEthernet1/0/43
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,100,300,1000,2000
switchport mode trunk

есть линух в нее воткнутый.
1,300 вланы поднимаются, 2000 нет.

[root@localhost seeker]# cat /proc/net/vlan/prom
prom VID: 2000 REORDER_HDR: 1 dev->priv_flags: 1
total frames received 0
total bytes received 0
Broadcast/Multicast Rcvd 0

total frames transmitted 143
total bytes transmitted 9864
Device: p20p1
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings:
[root@localhost seeker]# cat /proc/net/vlan/wifi
wifi VID: 300 REORDER_HDR: 1 dev->priv_flags: 1
total frames received 281
total bytes received 30442
Broadcast/Multicast Rcvd 29

total frames transmitted 186
total bytes transmitted 34190
Device: p20p1
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings:

maxlapshin

Вопрос на засыпку для говноцискаря: как передаются vlan-ы по ethernet-у. Годный ответ — обычный ethernet упаковывается в обертку, которая несет в себе другой тип пакета и номер vlan-а. На выходе получается валидный ethernet, но с вложением. Можно услышать про разные варианты инкапсуляции.

Ответ, который я услышал от человека: нуу там эта, номер влана передается между ethernet и проводом. Вот именно так: обмазывается вазелином и влезает между.

У того же человека бьются по сети HTTP пакеты, поэтому надо к ним чексумму передавать (дословная цитата).

tincturaginseng

Спецы, нужен совет. Имеется Linksys SRW208G (который еще не циска) со свободным SFP-слотом, имеется SFP-модуль от циски GLC-LH-SM (1000BaseLX single mode). Есть шанс подружить это дело между собой без последствий? Нужно на Linksys`е поднять два гигабитных интерфейса, а в наличии только 100BaseLX модули + 1 от циски.

maxlapshin

Народ, тут наверняка есть всякие CCNA. Стоит циска, в неё воткнуто куча головных станций. Головные станции вещают мультикастом.
Каждый кодер (их 20 штук) получает только тот мультикаст, который просил.

Потом мы что-то делаем и на кодеры с одной головной станции сваливается вообще весь мультикаст, который превратился в броадкаст.

Вопрос: что это могло быть? Как проверить, что циска фильтрует мультикаст в VLAN-е и не шлет его броадкастом?

alexkuklin

тупой вопрос — а существует алгоритм кодирования паролей для циски?
username cisco password encrypted 69e****8 privilege 15
типа чтоб мне дали не plaintext, а у каждого сотрудника был пароль уникальный и я его не знал