Не ждём, а готовимся!
gen.lib.rus.ec
goodreads.com
ciscopress.com
жаббер смешно меняет сообщения. отправил коллеге в сообщении html, первая строка была
<div id="map" style="height:400px"></div>
а к ней прилетело не 400px, а 10pt
А-а-а! opennet.ru
"Cisco лишь создала видимость устранения уязвимостей в выпущенном в январе обновлении прошивки к маршрутизаторам Cisco RV320 и RV325. Вместо реального устранения проблем в скриптах web-интерфейса, в обновлении прошивки были внесены изменения в настройки http-сервера nginx, блокирующие обращение при помощи утилиты curl, которая использовалась в прототипе эксплоита и примерах для проверки наличия уязвимости."
Невыразимо прекрасно просто. Впрочем, да, про некоторые перлы ведущих спецыалистов цыски по безопасности я тут ужэ писал вроде. Так что неудивительно.
Сик транзит, да. 20 лет назад CCIE был безусловным признанием квалификацыи и уровня. Сейчас — они и сами делают просто мусор.
Cisco спалили, что пачти для январских прошивок для тех же RV320 и RV325 вместо реального исправления косяков веб морды, просто перенастраивают идущий в комплекте nginx, чтобы блокировать обращения через curl.
В чём виноват curl, спросите вы? А просто его использовали в poc версии эксплоита.
Итого: бага на месте, а страшные хакеры ржут в голос, подменяя поле юзерагента у curl.
А вы говорите, все альтернативно одарённые в РКН собрались…
gen.lib.rus.ec
ISBN-13: 978-1587052569
ISBN-10: 1587052563
LAN Switch Security: What Hackers Know About Your Switches — A practical guide to hardening Layer 2 devices and stopping campus network attacks
Contrary to popular belief, Ethernet switches are not inherently secure. Security vulnerabilities in Ethernet switches are multiple: from the switch implementation, to control plane protocols (Spanning Tree Protocol [STP], Cisco® Discovery Protocol [CDP], and so on) and data plane protocols, such as Address Routing Protocol (ARP) or Dynamic Host Configuration Protocol (DHCP). LAN Switch Security explains all the vulnerabilities in a network infrastructure related to Ethernet switches. Further, this book shows you how to configure a switch to prevent or to mitigate attacks based on those vulnerabilities. This book also includes a section on how to use an Ethernet switch to increase the security of a network and prevent future attacks.
Divided into four parts, LAN Switch Security provides you with steps you can take to ensure the integrity of both voice and data traffic traveling over Layer 2 devices. Part I covers vulnerabilities in Layer 2 protocols and how to configure switches to prevent attacks against those vulnerabilities. Part II addresses denial-of-service (DoS) attacks on an Ethernet switch and shows how those attacks can be mitigated. Part III shows how a switch can actually augment the security of a network through the utilization of wirespeed access control list (ACL) processing and IEEE 802.1x for user authentication and authorization. Part IV examines future developments from the LinkSec working group at the IEEE. For all parts, most of the content is vendor independent and is useful for all network architects deploying Ethernet switches.
After reading this book, you will have an in-depth understanding of LAN security and be prepared to plug the security holes that exist in a great number of campus networks.
Use port security to protect against CAM attacks
Prevent spanning-tree attacks
Isolate VLANs with proper configuration techniques
Protect against rogue DHCP servers
Block ARP snooping
Prevent IPv6 neighbor discovery and router solicitation exploitation
Identify Power over Ethernet vulnerabilities
Mitigate risks from HSRP and VRPP
Stop information leaks with CDP, PaGP, VTP, CGMP and other Cisco ancillary protocols
Understand and prevent DoS attacks against switches
Enforce simple wirespeed security policies with ACLs
Implement user authentication on a port base with IEEE 802.1x
Use new IEEE protocols to encrypt all Ethernet frames at wirespeed.
This security book is part of the Cisco Press® Networking Technology Series. Security titles from Cisco Press help networking professionals secure critical data and resources, prevent and mitigate network attacks, and build end-to-end self-defending networks.
i.imgur.com
сраный cisco anyconnect убивает вайфай. дико бесячее говно.
Проапгрейдил JFF 515e. Поставил туда 512Mb RAM (с 1Gb не запустилась, удивительно даже, что с 512 запустилась), с ибея приехал за копеечку P-III 850 MHz (стоковый P-II Celeron 433 MHz)
Всё летает :))
D-Link-и и TP-LINK-и вовсю импортозащемляются
продукцией TG-NET Botone Technology Co.,Ltd.
Район Наньшань, Шэньчжэнь, провинция Гуандун
tg-net.net
Грубо говоря, были Alcatel и Cisco, а стали Huawei и ZTE
zdnet.com
>Cisco said that there are "no workarounds" to address the vulnerability, but it said that disabling Telnet would "eliminate" some risks.
Это те самые пидорасы, у которых в стоковых прошивках нет ssh в железках за несколько штук $?
У меня неспешно открывается вакансия сетевого инженера.
Задачи — архитектура, обеспечение функционирования ядра сети и третий уровень поддержки, в дальнейшем возможен рост до руководителя отдела.
Оборудование — Cisco или cisco-like, некоторое количество линуксов вокруг.
Уровень знаний — CCNP, наличие сертификата приветствуется, но не обязательно.
Деньги обсуждаемы, зависят от знаний и опыта, для Томска норм.
Пишите :)
This is the final reminder that the Cisco Jabber Video service served by ciscojabbervideo.com will be shutting down on May 27, 2016. On this date, all users with video address that end with @jabber.com will no longer be able to make or receive video calls.
Коллеги, подскажите, пожалуйста, а как правильно собирать netflow с BRAS на Cisco ASR?
Раньше на ISR в конфиге интерфейса virtual-template были строчки ip flow ingress / ip flow egress, теперь на virtual-template нельзя повесить ip flow monitor COLLECTOR input:
% Flow Monitor: Flow Monitor 'COLLECTOR' Virtual Interface Unsupported
А мне бы собирать netflow до NAT. Как это правильно теперь делается?
Нифига себе. kommersant.ru
Российский менеджмент Cisco Systems предупредил своих партнеров о скором изменении модели бизнеса. Корпорация перейдет на самостоятельные поставки продукции в РФ через дочернее предприятие, которое будет проводить таможенное оформление техники и продавать ее за рубли.
В четвертом квартале 2015 финансового года долларовая выручка компании в РФ снизилась на 38%, заявил глава Cisco Джон Чемберс на конференц-колле 12 августа. В рублях финансовые показатели Cisco в РФ, напротив, растут. Неудовлетворительные показатели связаны с макроэкономической ситуацией, а также с политическими проблемами, в частности санкциями США в отношении РФ, пояснял господин Чемберс. "По правилам Cisco на каждый заказ конечный покупатель должен подписать форму, гарантирующую, что оборудование будет у него, а не уйдет в ФСБ или на шельф. Такую бумагу должно подписывать первое лицо компании-покупателя"
Следующим шагом корпорации может стать самостоятельное обслуживание самых крупных заказчиков, среди которых сотовые операторы "большой тройки", ЦБ, Сбербанк, "Газпром", считает один из сотрудников дистрибутора Cisco в РФ. "Интеграторы уже готовятся к этому и начинают проводить Cisco-замещение,— рассказывает один из партнеров корпорации.— Будем предлагать клиентам альтернативных производителей, например Huawei или Juniper".
Коммерсантъ
Казахская циска запустила Cisco Connect онлайн в вебексе, но, похоже, не рассчитала количество желающих и доступные каналы связи. Звук медленно подыхал первые 5 минут трансляции и сейчас сдох совсем.
Фуфуфу :)
Свежая дыра в Cisco ISR. techrepublic.com
Это же надо было так умудриться: thenextweb.com
ecotelecom.ru
накуя нужно было тратить бабки на сраную ASRку? жопаболь, бетон, прополка волос на голове и жопе!!!
Давненько не заглядывал в область эмуляции сетевых топологий, а там, оказывается, весьма неплохое развитие. Продукт Unified Networking Lab.
unetlab.com
habrahabr.ru
Что особенно приятно — реализован как виртуальная машина (.ova), запускаемая в ESXi в том числе. Т.е. больше не надо гонять GNS локально, на домашнем сервере развернул и пользуешься.
Для подготовки к экзаменам — прекрасно.
Ого. Джон Чемберс уходит с поста CEO Cisco. Вместо него с 26 июля 2015 года CEO станет бывший вице-президент по глобальной деятельности Чак Роббинс (Chuck Robbins).
Прямо эпоха заканчивается, 20 лет, как-никак. Посмотрим, что будет с Cisco дальше.
Начался Cisco Virtual Partner Summit 2015. Если что-то зарегистрировался и забыл — самое время вспомнить и посмотреть :)
"Чем заменить Microsoft TMG" youtu.be
Раскрутил наменди PIX, а там... НОСТАЛЬЖ-Ы-Ы-Ы-Ы, Intel 440BX (мечта любого школьника конца 90-х), Celeron Mendoccino, который порезанный Pentium II 300 мегагерц. А у тогдашних железок и данного чипсета о-го-го какой оверклокерский потенциал: гналось оно до 450 мегагерц почти всегда, или до 400 мегагерц — всегда. Причём гналось оно по FSB, с заметным увеличением реальной (а не синтетической) производительности... Эх, были времена... Короче, если бы цискари не поленились бы развести AGP и присобачить физику AC97, ну или развести PCI коннектор (как на 515e), то на рутере можно было бы невозбранно ебошить в квейк... (Интересно, а PCI видеокарту к 515e кто-нибудь подключал?) Кстати, подозрительная незанятая «гребёнка» в районе южного моста наводит на определенные мысли.
Самый обычный Socket 370, самые обычные полноразмерные DIMM. Дешевый алюминиевый радиатор, китайский кулер, незанятый разъем питания под второй кулер... Короче, полноценный писюк конца 90-х.
Две сетевухи Intel 82559 припаяны прямо на плату и подключены к PCI. Какой fastpath? Всё что идёт на соседний интерфейс, идет через процессор, никаких акселераторов в т.ч. и ВПН. Хотя поскольку PIX изначально — NAT, то похрен.
На отдельной флешке самый обычный BIOS широко известной в узких кругах General Software (понятно дело, весь вывод int 10 перенаправлен в RS232). Картину портит только намертво присобаченная к материнке рабочая флешка на 8 метров. Этот фатальный недостаток поправили в ASA. Странно, почему цискари не догадались сделать возможность загрузки по BOOTP через сетевуху... Но пёс с ними, пиксовый загрузчик (ака режим monitor) позволяет невозбранно грузить в память любую прогу по TFTP.
В аппаратном дизайне больше всех, наверное, поражают две вещи: цепи питания (дикое количество громадных ёмкостей и индуктивностей, и это учитывая что блок питания 506e выдаёт +12, +5, еще раз +5, и -12) и совершенно запредельное количество TP и JP на плате (да, плату можно было ремонтировать, что по нынешним меркам кажется несусветной глупостью).
Прежде чем хаять, учтите: это дизайн 2000-го года. А в те времена ничего другого просто и не было... Единственная претензия к цискарям, какого хуя они продавали это вплоть до 2008 года.
Из нестандартного только операционная система... Но и этот недостаток поправили в ASA.
Смешно, но почему-то в интернете нет проектов по загрузке линукса/Free-/Net/OpenBSD на пиксы. Делов-то, похачить загрузчик 7-й версии PIX OS (который является образом для загрузчика 6-й версии PIX OS, который сидит рядом с БИОСом), а дальше либо оживить USB (если оно работает), либо грузить всё по той же сети, благо RAM невозбранно расширяется. А уж операционки-то без проблем заведутся, 440BX — настолько эпичный чипсет, что эмулируется QEmu/VMWare/VirtualPC. Хрен, даже винду, наверное, можно поставить, благо в составе QEmu идет соответствующий БИОС.
Такая вот история, а мораль — придумайте сами. Скажу только, что такие вот юзкейсы весьма полезно оценивать с технической, этической и организационной точек зрения.
Наконец-то — после долгого ожидания cisco выпустила замену для младшей ASA — теперь она называется ASA5506-X. Четырехъядерный Inter Rangeley 1.7GHz, 4 гига штатно (до 16 расширяется), SSD 64G, 8GE, выделенный менеджмент порт. И все навороты от FirePOWER. Должно быть вкусненько, хотя, как обычно, всё зависит от ценника.
В понедельник, 26.01.2015, и среду, 28.01.2015, сдал внеочередные экзамены Cisco, потому что у вендора внезапно зачесалось изменить структуру сертификации по датацентрам. Новый статус называется Cisco Data Center Unified Fabric Support Specialist, для сравнения — предыдущий назывался Cisco Data Center UF Support Specialist (и да, UF — сокращенное Unified Fabric). Изменений в содержании экзаменов приблизительно столько же, сколько и в названии, поэтому на втором экзамене даже до конца не проснулся :) Теперь у меня 12 активных статусов по Cisco (и 4 заэкспайренных по независящим от меня причинам).
BTW, у VUE в последнее время волшебная засада (наблюдается три раза из трех за последние пару месяцев). В момент оплаты экзамена они сначала блокируют сумму, а через пару секунд списывают ее же — но уже другой транзакцией. В результате первая сумма повисает в блокировке на месяц. Так что планирующие сдавать — имейте в виду, что на карте надо держать в два раза больше, чем стоят экзамены.
Хочу собрать лабораторию для DVB-S захвата. Нужна пара серверов, головная станция да роутер. Но вот роутер то — не циску же брать. Микротик наверное?
Слушайте а ни у кого не завалялось бандла драйверов+утилит для Cisco Airnet 350 PCMCIA Wireless LAN Adapter ?
Интересно, Cisco выбрала фильм для показа на закрытии Connect'а потому, что в нем во время секса по телефону девушка герою говорит "Придуши меня дохлым котом!"? :)
Серьезно, фильм Her imdb.com весьма неплохой и, хотя и не особо глубокий, но ухватил Оскара за сценарий, да и вообще просмотра достоин. Но напоить толпу сетевых инженеров пивом, а потом показывать им серьезный фильм о любви и отношениях? Как-то не подумали они о выборе. Показали бы какой-нибудь экшн, тех же Guardians of the Galaxy, все бы были рады :)
Сдал CCIE Security Written. Снова :)
Есть CUCM 6.0.1.2000-4. Зависает при загрузке. При этом, видно, что ядро загрузилось, корень диска проверился. Активирует свап. Дальше — затык. Кто что подскажет?
Смотрю на их управляемые комутаторы до 10к и понимаю что различаются они только ценой
что-то я тупой видать совсем. есть кошка с настройкой порта
interface GigabitEthernet1/0/43
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,100,300,1000,2000
switchport mode trunk
есть линух в нее воткнутый.
1,300 вланы поднимаются, 2000 нет.
[root@localhost seeker]# cat /proc/net/vlan/prom
prom VID: 2000 REORDER_HDR: 1 dev->priv_flags: 1
total frames received 0
total bytes received 0
Broadcast/Multicast Rcvd 0
total frames transmitted 143
total bytes transmitted 9864
Device: p20p1
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings:
[root@localhost seeker]# cat /proc/net/vlan/wifi
wifi VID: 300 REORDER_HDR: 1 dev->priv_flags: 1
total frames received 281
total bytes received 30442
Broadcast/Multicast Rcvd 29
total frames transmitted 186
total bytes transmitted 34190
Device: p20p1
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings:
А здесь есть кто-нибудь, кто понимает что такое ip pim sparse-dense-mode? Я готов заплатить за консультацию
Вопрос на засыпку для говноцискаря: как передаются vlan-ы по ethernet-у. Годный ответ — обычный ethernet упаковывается в обертку, которая несет в себе другой тип пакета и номер vlan-а. На выходе получается валидный ethernet, но с вложением. Можно услышать про разные варианты инкапсуляции.
Ответ, который я услышал от человека: нуу там эта, номер влана передается между ethernet и проводом. Вот именно так: обмазывается вазелином и влезает между.
У того же человека бьются по сети HTTP пакеты, поэтому надо к ним чексумму передавать (дословная цитата).
Спецы, нужен совет. Имеется Linksys SRW208G (который еще не циска) со свободным SFP-слотом, имеется SFP-модуль от циски GLC-LH-SM (1000BaseLX single mode). Есть шанс подружить это дело между собой без последствий? Нужно на Linksys`е поднять два гигабитных интерфейса, а в наличии только 100BaseLX модули + 1 от циски.
народ, как узнать, кто логинился на циску за последние сутки и с каких IP адресов?
Народ, тут наверняка есть всякие CCNA. Стоит циска, в неё воткнуто куча головных станций. Головные станции вещают мультикастом.
Каждый кодер (их 20 штук) получает только тот мультикаст, который просил.
Потом мы что-то делаем и на кодеры с одной головной станции сваливается вообще весь мультикаст, который превратился в броадкаст.
Вопрос: что это могло быть? Как проверить, что циска фильтрует мультикаст в VLAN-е и не шлет его броадкастом?
исправляются на глазах — даже ванильное андроид приложение с основными настройками.
У D-Link есть устаревший, но полезный документ по расшифровке обозначений их оборудования: dlink.ru , кто знает аналог у cisco?
тупой вопрос — а существует алгоритм кодирования паролей для циски?
username cisco password encrypted 69e****8 privilege 15
типа чтоб мне дали не plaintext, а у каждого сотрудника был пароль уникальный и я его не знал