» »

Odkrita zlonamerna koda v usmerjevalnikih

Odkrita zlonamerna koda v usmerjevalnikih

Slo-Tech - Že dlje je znano, da se lahko virusi in druga zlonamerna koda skrivajo ne le na diskih računalnikov, temveč tudi v strojni opremi, ki ima firmware - celo v kablih. Mrežni usmerjevalniki so posebej pripravni za ta namen, saj neposredno komunicirajo z internetom in računalniki v lokalnem omrežju. O obstoju virusov zanje smo že dlje časa špekulirali, Mandiant pa je sedaj odkril enega, ki se že uporablja. Okužen usmerjevalnik je veliko varnostno tveganje za celotno omrežje, ki ga povezuje, saj lahko na primer računalnikom pri brskanju po spletu podtika okužene spletne strani, ne da bi ti to sploh vedeli.

SYNful Knock so za zdaj odkrili v štirih državah (Ukrajina, Filipini, Mehika in Indija) v usmerjevalnikih Cisco 1841, 2811 in 3825. Gre za usmerjevalnike, ki so namenjeni velikim uporabnikom, operaterjem in ponudnikom dostopa do interneta. Cisco jih sicer že nekaj časa ne prodaja več, a analiza kaže, da bi lahko vsled podobnosti firmware okuževal tudi nekatere druge usmerjevalnike. Izkazalo se je, da gre za dodelan kos programske opreme.

Neznani napadalci - Mandiant predvideva, da gre za napad, ki ga je naročila kakšna država - so zlonamerno programsko opremo vgradili v usmerjevalnikovo programsko opremo (operacijski sistem IOS) tako, da se skupna velikost sploh ne poveča, zato ga je izredno težko odkriti. Usmerjevalnik s popravljenim firmwarom deluje povsem normalno, le da napadalcem omogoča dostop do omrežja. Pri tem velja poudariti, da niso izkoriščali nobene znane ranljivosti v Ciscovih usmerjevalnikih, temveč so zgolj zlorabili dejstvo, da številni uporabniki gesel ne spremenijo s privzetih tovarniških.

Ko je usmerjevalnik enkrat okužen, ga niti ponovni zagon ne očisti. Treba ga je ponovno zapisati (reflash) s čisto sliko operacijskega sistema. Okuženi usmerjevalnik odpre dostop do omrežja prek Telneta in konzole z napadalcu znanim geslom. Ker je virus modularen, ga je mogoče sproti nadgrajevati in mu dodajati nove funkcionalnosti.

Cisco je že pred mesecem dni uporabnike svojih izdelkov opozoril, da je uporaba tovarniških gesel nevarna, ker lahko nepridipravi na naprave namestijo zlonamerno programsko opremo. Tudi na SYNful Knock so v Ciscu včeraj še posebej opozorili, saj so sodelovali pri pripravi poročila. Ponovili so, da napad ne izkorišča nobene luknje v Ciscovi opremi, temveč šibka gesla.

67 komentarjev

«
1
2

RatedR ::

Zanimivo, v kablih..

Han ::

... kot je npr. Thunderbolt, so že nekaj časa čipi, mini procesorji.

user-pass ::

Itak, geslo je cisco :D

Glugy ::

V kablih?! proizvajalci so čist obsedeni z vohunjenjem!

cvick ::

A ni blo pred kratkim, da NSA prestreza CISCO-tove izdelke namenjene v tujino in vgrajuje vohunsko opremo.

r1k1 ::

uff TELNET... sila varen protokol

SeMiNeSanja ::

Ni toliko zastrašujoče, da 'kaj takega obstaja'. Te reči se že od nekdaj dogajajo na raznoraznih routerjih, bodisi zaradi default passwordov, kot tudi zaradi napak v firmware-u.

Kar meni osebno bolj strah vzbuja, je vprašanje, koliko lastnikov raznoraznih routerjev sploh ve, da je njihov morda kompromitiran in to tudi zna preveriti.

Še bolj pa zbuja strah dejstvo, da je večina routerjev nevzdrževanih in zastarelih, tako da uporabnik sploh nima dostopa do 'čistega' firmware-a, ki bi ga lahko naložil.

Default geslo na routerju je čisto navadna malomarnost. Kako pa bi imenoval ne-vzdrževanje in posledično ne-posodabljanje, pa ne vem.
Pri poslovnih uporabnikih gredo stvari v dve skrajnosti - od metanja denarja skozi okno - ko se kupuje 'znamko', ne glede na to, koliko stane, pa do skrajnega škrtarjenja, ko je še 100€ prevelika investicija za nekaj, kar 'počne isto, kot oni router doma za 30€'.

Prav rad bi slišal, kdaj ste zadnjič posodobili firmware na svojih routerjih oz. požarnih pregradah. Glede na to, da se nekateri znajo pohvaliti z uptime, ki se meri v letih, se bojim, da so stvari vse kaj drugega, kot 'vestno vzdrževane'.

čuhalev ::

Ni kaj
fasi:~# uptime
 00:07:18 up 450 days, 10:05,  1 user,  load average: 0.08, 0.03, 0.05

ampak kaj mi to koristi, če ima ponudnikov CPE Kernel 2.6.8, česar pa ne morem nadgraditi, saj ni v moji domeni. ;((

Glugy ::

Jz bi z veseljem naložu nov firmware ampak ga za moj ruter enostavno ni nobenega novega že ene 2 leti ne.

bbbbbb2015 ::

SeMiNeSanja je izjavil:

Kar meni osebno bolj strah vzbuja, je vprašanje, koliko lastnikov raznoraznih routerjev sploh ve, da je njihov morda kompromitiran in to tudi zna preveriti.

Še bolj pa zbuja strah dejstvo, da je večina routerjev nevzdrževanih in zastarelih, tako da uporabnik sploh nima dostopa do 'čistega' firmware-a, ki bi ga lahko naložil.
Prav rad bi slišal, kdaj ste zadnjič posodobili firmware na svojih routerjih oz. požarnih pregradah. Glede na to, da se nekateri znajo pohvaliti z uptime, ki se meri v letih, se bojim, da so stvari vse kaj drugega, kot 'vestno vzdrževane'.


Glej, to je posledica politike, ki jo je imel Cisco - in jo ima še danes.

Ko si kupil ruter, si imel garancijo, večinoma eno koledarsko leto od dneva,ko so ti opremo pripeljali v hišo.

Po enem letu si, če si želel, moral podpisati vzdrževalno pogodbo, ki je bila med 12 do 16% cene nakupa.

Če si imel teh ruterjev več, kar sem jaz poznal primer, so jih imeli čez 100 - to zna nanesti kar denarja.

Ko se je neka verzija 'izpela' - end of life, si lahko - zopet - plačal, da si imel novo verzijo. Pa ista pesem, eno leto garancije.

Lahko nisi hotel nič plačevati, pa če si imel problem, si preprosto kupil verzijo, ki je imela problem rešen.

V grobem, v življenski dobi ruterja (7-8 let), če si bil priden in vse to nadgrajeval, so iz tebe potegnili v povprečju še 1,5 nabavne cene ruterja.

Zdaj veš, to je znalo znesti kar nekaj denarja, zato so se marsikje odločili, da preprosto to ne plačujejo.

V firmi, ki jo jaz poznam, so naredili zelo zvito. Kupovali so po en kos novejšega ruterja, ter firmver lepo skopirali na ostale. To so bili še eni zelo stari ruterji, 2500tke.

V grobem, CISCO je imel zelo razdelan plan, kako iz tebe še kaj potegniti. Drugače je to vedno šlo za zanesljivo opremo in dejansko so nekateri plačevali 2-3 leta, incidenta nobenega, pa se človek vpraša, čemu?

Tako da... Koliko metati v nadgradnje ruterjev, je veliko vprašanje.

Eni ravnajo tako, da pustijo stare firmvere,ampak zgradijo pa tako trdnjavo ACL list, da v glavnem sami sebe zapirajo ven.

Han ::

Zato je že v štartu dobro vedet, če lahko na router (za domačo rabo) naložiš enega od WRT firmwarov, ki so brezplačni in ažurirani večkrat letno, nekateri celo mesečno...

SaXsIm ::

Ah ja. Tudi DD-WRT ni tako zelo updejtan. WRT54GL, ki je še vedno eden izmed bolj uporabljanih wifi routerjev, ima zadnjo verzijo dd-wrtja iz leta 2010.
SaXsIm

Spc ::

bbbbbb2015 je izjavil:

Ko si kupil ruter, si imel garancijo, večinoma eno koledarsko leto od dneva,ko so ti opremo pripeljali v hišo.

Po enem letu si, če si želel, moral podpisati vzdrževalno pogodbo, ki je bila med 12 do 16% cene nakupa.

Če si imel teh ruterjev več, kar sem jaz poznal primer, so jih imeli čez 100 - to zna nanesti kar denarja.

Zakaj pa ne bi uporabil linux za router platformo in si izdelal svoj router iz x64 in uporabil PCIe ter intelove 10GbE/40GbE mrežne kartice ?
Ali je takšna platforma prepočasna za route-anje velikih količin podatkov?
 

zee ::

Ali je takšna platforma prepočasna za route-anje velikih količin podatkov?


Tako je. Namenska strojna oprema v kombinaciji zoptimizirano programsko opremo je bistveno bolj ucinkovita (in pogosto tudi drazja).
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

Zgodovina sprememb…

  • spremenilo: zee ()

Spc ::

zee je izjavil:

Ali je takšna platforma prepočasna za route-anje velikih količin podatkov?


Tako je. Namenska strojna oprema v kombinaciji zoptimizirano programsko opremo je bistveno bolj ucinkovita (in pogosto tudi drazja).

Torej če daš noter 32 Xeon-ov, 512GB rama in intelove mrežne kartice je to prepočasno ?

Intel® Xeon® Processor E7-8893 v3:
http://ark.intel.com/products/84688/Int...

Intel® Ethernet Converged Network Adapter XL710 10/40 GbE:
http://www.intel.com/content/dam/www/pu...
 

zee ::

Ta kombinacija je bistveno predraga. Poglej ceno procesorja Xeon, ki si ga linkal. Dodaj k temu se maticno plosco, napajanje, ...
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

Zgodovina sprememb…

  • spremenilo: zee ()

Spc ::

zee je izjavil:

Ta kombinacija je bistveno predraga. Poglej ceno procesorja Xeon, ki si ga linkal. Dodaj k temu se maticno plosco, napajanje, ...

Mogoče je cena danes ogromna, čez par let pa bo cena padla. Kar je tudi dobro je to, da takšen router lahko uporablja novejše OS-e in je tudi future OS proof, kar pomeni, da bo imel OS update-e dosegljive dosti bolj dolgo kot pa nek cisco router, ki je delan samo za cisco firmware, ki poteče čez "1 leto".
Torej tak router lahko deluje 30 let in dobiva vse posodobitve in novejše OS-e, Unix, Linux, Windows Server ...
 

McMallar ::

Verjetno ti tudi vodila postanejo ozka grla.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

jukoz ::

Iz teorije v prakso o uporabi PCa za gateway:
https://calomel.org/network_performance...

Spc ::

McMallar je izjavil:

Verjetno ti tudi vodila postanejo ozka grla.

http://ark.intel.com/products/84685/Int...

Ta Xeon ima 32 PCIe 3.0 x16 lane-ov in podpira 102GB/s (816Gbit/s) Memory z 45MB cache-a, 9.6 GT/s
Ima 18 jeder in 36 thread-ov.
8-)
 

Poldi112 ::

Iz muhe delate slona.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

AndrejO ::

Spc je izjavil:

McMallar je izjavil:

Verjetno ti tudi vodila postanejo ozka grla.

http://ark.intel.com/products/84685/Int...

Ta Xeon ima 32 PCIe 3.0 x16 lane-ov in podpira 102GB/s (816Gbit/s) Memory z 45MB cache-a, 9.6 GT/s
Ima 18 jeder in 36 thread-ov.
8-)

Navedeni podatki so drugotnega pomena, težave se skrivajo drugje. Če se želiš poglobiti kaj dejansko potrebuješ in kako lahko že danes uporabiš "off the shelf" komponente za osnovo za lastne usmerjevalnik, si poglej Intel DPDK.

Boš potem ugotovil kateri so izzivi, kje so bistvene omejitve in zakaj generičen OS nekaterih stvari pač ne more izvesti, temveč potrebuje še nekaj čisto specifične pomoči.

sgdjkdlsugi4 ::

Spc je izjavil:

zee je izjavil:

Ali je takšna platforma prepočasna za route-anje velikih količin podatkov?


Tako je. Namenska strojna oprema v kombinaciji zoptimizirano programsko opremo je bistveno bolj ucinkovita (in pogosto tudi drazja).

Torej če daš noter 32 Xeon-ov, 512GB rama in intelove mrežne kartice je to prepočasno ?

Intel® Xeon® Processor E7-8893 v3:
http://ark.intel.com/products/84688/Int...

Intel® Ethernet Converged Network Adapter XL710 10/40 GbE:
http://www.intel.com/content/dam/www/pu...


Kandidat za najbolj neumen post leta.

Ti bi bil odlicen IT advisor. /s

Spc ::

Se pravi iz xeon-ov se ne da ustvarit routerja, ki deluje na Unix/Linux OS-u ?
 

AndrejO ::

Spc je izjavil:

Se pravi iz xeon-ov se ne da ustvarit routerja, ki deluje na Unix/Linux OS-u ?

Da se da, ampak bistveno je, da moraš za ustvariti uporaben router uporabiti specifičen mrežni HW in v čim večji meri zaobiti jedro OS-a.

Linux ali BSD jedra so ti za takšne namene bolj v napoto, kot ne.

Isotropic ::

Spc je izjavil:

zee je izjavil:

Ta kombinacija je bistveno predraga. Poglej ceno procesorja Xeon, ki si ga linkal. Dodaj k temu se maticno plosco, napajanje, ...

Mogoče je cena danes ogromna, čez par let pa bo cena padla. Kar je tudi dobro je to, da takšen router lahko uporablja novejše OS-e in je tudi future OS proof, kar pomeni, da bo imel OS update-e dosegljive dosti bolj dolgo kot pa nek cisco router, ki je delan samo za cisco firmware, ki poteče čez "1 leto".
Torej tak router lahko deluje 30 let in dobiva vse posodobitve in novejše OS-e, Unix, Linux, Windows Server ...

ne, ne bo.
poleg tega porabi tak workstation 50x več štroma kot en bogi router, ki mu lahko tudi nadgradiš firmver konec koncev.
30 let pa ne bo delal, ker ne bo plata zdržala toliko časa nonstop uporabe. za začetek.

Zgodovina sprememb…

MrStein ::

zee je izjavil:

Ali je takšna platforma prepočasna za route-anje velikih količin podatkov?


Tako je. Namenska strojna oprema v kombinaciji zoptimizirano programsko opremo je bistveno bolj ucinkovita (in pogosto tudi drazja).

Cenejša je. Drugače nima smisla.
Economics 1-0-1 ;)

jukoz je izjavil:

Iz teorije v prakso o uporabi PCa za gateway:
https://calomel.org/network_performance...


Uh, "malo" pretirava gospod:
A gigabit network controller built on board using the CPU will slow the entire system down. More than likely the system will not even be able to sustain 100MB speeds while also pegging the CPU at 100%.


Imam nekaj let staro (čipšit) robo in onboard gigabit LAN brez težav dosega polno hitrost.
CPU load zdaj ne vem na pamet, ampak gre za AMD Turion (nivo atoma nekje).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

HPME ::

Če smo pošteni Cisco je že naložil spyware na svoje izdelke in potem jokal pred publiko češ da jim NSA ni dala izbire. Bojkotirajte Cisco.

jukoz ::

MrStein> Cenejša je. Drugače nima smisla.
MrStein> Imam nekaj let staro (čipšit) robo in onboard gigabit LAN brez težav dosega polno hitrost.

Sam sebe negiraš.
Namen linkanega prispevka je bolj v tem, da izračunaš kako hitrost bus-a vpliva na pretočnost. Hitro ugotoviš zakaj tisti stari P1 233MMX ni sfolgal več vsega prometa, P3 pa tudi ne, katerakoli bedna kišta na PCIe pa čudežno lahko.

Kakorkoli, če rabiš za par ljudi (recimo 10 ki pogosto delajo od doma) bolj kompleksen gateway/firewall/router, potem boljši routerji hitro pridejo par 100EUR, po nekaj letih je nov firmware znanstvena fantastika (+ da ne pozabimo na uporabo zastarele tehnologije - PPTP anyone?). Nek moderen AMD/Celeron je sicer ob nakupu lahko dražji, dolgoročno je pa boljša izbira. Vseeno je bolje plačat nekomu da ti enkrat na leto porihta firewall in naloži popravke nanjga, kot furat zastarel router in računat na to da si par let nazaj plačal velike dnarje zanjga in mora biti zato res dober. Bolj je to tako kot s telefoni - že mogoče da sem plačal n za superduper flagship LGja leto in pol nazaj, ampak bugi in backdoori bodo ostali neodpravljeni ker ... ni dnarja v odpravljanju napak v že prodanem produktu.

Ker vem da se bo kdo vsajal zaradi večje porabe elektrike PCja - ste se pozimi kdaj pogreli s kaloriferjem, ker je bilo res mraz? Navijali klimo na 19°C ko je blo zunaj 40? No, pa je šel prihranek pri elektriki skozi okno. Današnje mašine žrejo okoli 60W. To je toliko kot ena žarnica.

MrStein ::

jukoz je izjavil:

MrStein> Cenejša je. Drugače nima smisla.
MrStein> Imam nekaj let staro (čipšit) robo in onboard gigabit LAN brez težav dosega polno hitrost.

Sam sebe negiraš.

Ne. Izjavi nista povezani, ne vsebinsko, ne drugače.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Poldi112 ::

HPME je izjavil:

Če smo pošteni Cisco je že naložil spyware na svoje izdelke in potem jokal pred publiko češ da jim NSA ni dala izbire. Bojkotirajte Cisco.


Aja? A lahko daš kakšen relevanten link?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

SeMiNeSanja ::

bbbbbb2015 je izjavil:



Glej, to je posledica politike, ki jo je imel Cisco - in jo ima še danes.

Ko si kupil ruter, si imel garancijo, večinoma eno koledarsko leto od dneva,ko so ti opremo pripeljali v hišo.

Po enem letu si, če si želel, moral podpisati vzdrževalno pogodbo, ki je bila med 12 do 16% cene nakupa.


Vedno je vprašanje, kaj tisto 'vzdrževanje' vključuje. Ali je zgolj govora o firmware update-ih, ali vključuje tudi nadgradnje kakšnih upravljalskih aplikacij, tehnično podporo, ali celo podaljšuje garancijo na strojni opremi.

Potem je treba tudi znati prodajati takšna vzdrževanja.

Konkretno pri Ciscu, se mi zdi, da večina prodajalcev zna prodajati zgolj škatlo, nima pa pojma o vseh ostalih stvareh, ki so še na voljo.

Gledaš ASA požarne pregrade, ki jih prodajalci ponujajo na vsakem vogalu - brez vseh varnostnih storitev. Niti IPS ne ponujajo poleg.
Nevedni kupec se pusti prepričati, da bo zadel terno, če bo vzel Cisco ASA, seže v žep, nabavi tisto škatlo, ne zaveda pa se, da je dobil zgolj 'karoserijo', ne pa 'varnostno rešitev'.

Za to 'škatlo' prodajalci objavijo ceno X v ceniku, potem pa ti ponujajo tudi 40% popusta na to ceno, samo da odneseš škatlo. Ne vem če še kdo drug ponuja končnim kupcem 40% popusta. Kupec misli, da je v sedmih nebesih, ker je dobil škatlo 'napol zastonj'.

Tak pristop je laufal leta in leta. Prodajajmo škatle, ostalo pa če glih kdo eksplicitno zahteva. Rinili mu ne bomo (- koneckoncev tudi ne znamo?). Dejstvo je, če vsak klošar prodaja Cisco, da ne moreš pričakovati, da res vedo, kaj to sploh prodajajo. Izjeme so le večji integratorji, ki pa se večinoma sploh nočejo ubadati z 'malimi ribami'.

Potem pa pride ven ASA with FirePower. Cool. Ampak kdo bo to znal prodajat? Klošarji zagotovo ne. In ker ista škatla obstaja tudi brez 'ognjene moči' klošarji še naprej rinejo tiste gole škatle svojim kupcem.
Žal ti kupci ne vedo, da ta škatla brez 'ognjene moči' danes nima praktično nobene 'moči' in se že teško kosa s kakšnim dobro poštimanim Mikrotikom.

Če primerjam to politiko z našimi kupci UTM požarnih pregrad, je zadeva postavljena ravno na glavo - 'gole' škatle sploh ne morejo kupiti (razen kakšno staro na Ebay). Že v osnovi se ponuja polni paket z UTM storitvami, nadgradnjami, tehn. podporo in podaljšano garancijo. Praviloma se že v štartu odločijo za pakete, ki vključujejo 3-letno 'vzdrževanje'. Na voljo imajo tudi paket škatle in vsega naštetega brez UTM storitev, vendar se za te pakete le izjemoma odločajo (npr. kadar se ves promet preusmerja preko neke druge, primarne požarne pregrade, ki že ima vse te storitve).
Cenovno gledano, sam HW niti nima neke cene. Dejansko se plačuje storitveni del. Ker pa je obseg storitev kar precejšen, kupci nimajo občutka, da jih nekdo skuša 'nategovati' - saj za svoj denar dejansko nekaj dobijo.

Morda smo z našim principalom nekoliko unikatni v industriji, saj mu celo Gartner priznava, da ima v branži najvišji odstotek uporabnikov, ki dejansko tudi uporabljajo vse kupljene UTM storitve.

Tud EndOfLife politika je bolj 'milostna', saj je obstoječim strankam na voljo 'TradeUp' opcija, tako da se dejansko deloma subvencionira prehod na novejši ali zmogljivejši model.

Zato pa na 40% popusta lahko kar pozabiš. Kar piše v ceniku, je praviloma tudi tvoja cena. Izjema so le Edu/Gov/NonProfit kupci, ki so upravičeni do 20% popusta na redne cene.

Je pa res, da odpade možnost mutivodarjenja - čeprav je firmware možno prenesti s strani proizvajalca celo brez prijave, ga ne moreš namestiti na svojo napravo, če ni vzdrževana. Ampak glede na to, da imajo stranke naprave, ki so v produkciji praktično brez izjeme tudi vzdrževane, to ne predstavlja nekega problema. Razen morda za tiste, ki kupujejo rabljeno robo s potečenim vzdrževanjem na Ebay. Ampak ti se pa potem pogosto odločijo, da na škatlo naložijo pfSense (ali pa kupijo vzdrževanje naknadno).

V današnjem svetu, ko misliš, da vsi plonkajo eni od drugega, po svoje kar malo preseneča, da lahko obstajajo tolikšne razlike v pristopu.

Spc ::

AndrejO je izjavil:

Linux ali BSD jedra so ti za takšne namene bolj v napoto, kot ne.

Res čudno, da je dd-wrt, openwrt itd itd... baziran na linux jedru, če linux ni namenjen za routerje.
In tudi zelo dosti industrijskih routerjev uporablja linux/unix.
 

čuhalev ::

Meni poslovni modeli z naročnino oziroma podporo, ki se izteče in ne deluje več, ne dišijo. Če je zadeva dobra, mora delati sedaj, jutri in čez 10 let.

jukoz ::

SeMiNeSanja> Žal ti kupci ne vedo, da ta škatla brez 'ognjene moči' danes nima praktično nobene 'moči' in se že teško kosa s kakšnim dobro poštimanim Mikrotikom.

Ti kupci imajo vsi svetovalce za informatiko. In ti svetovalci hodijo na izobraževanja v bolj in manj daljne kraje (tako kot farmacevti pošiljajo zdravnike na konference v daljne kraje). In potem vejo da je CISCO najboljša stvar na svetu. Seveda ti svetovalci samo svetujejo, konfiguracija in ostalo je v rokah tehnikov.

Mimogrede, kolk je pa end of life pri vaših zadevah? Oz bolj na splošno - pri mrežnih zadevah? Dokler ne crkne?


Spc> Res čudno, da je dd-wrt, openwrt itd itd... baziran na linux jedru, če linux ni namenjen za routerje.
In tudi zelo dosti industrijskih routerjev uporablja linux/unix.

Sej je en prej gor napisal da je linux najnevarnejši sistem za uporabljat. Če si nepreviden te še ugrizne.

jaakaa> Meni poslovni modeli z naročnino oziroma podporo, ki se izteče in ne deluje več, ne dišijo. Če je zadeva dobra, mora delati sedaj, jutri in čez 10 let.

Sej delajo, proizvajalec ti zagotavlja delovanje v obsegu in na način kot ob prodaji. Če se vmes spremeni okolje kjer deluje... si pa sam kriv.
Za primer vzemi avtomobile - sej dosega vse standarde, dokler se seveda MB župan ne določi da avti starejši od n let ne morejo več v mesto. Ali pa kdorkoli drug.

SeMiNeSanja ::

Mimogrede, kolk je pa end of life pri vaših zadevah? Oz bolj na splošno - pri mrežnih zadevah? Dokler ne crkne?


Od 'EndOfSales' dneva (zadnje možno naročilo distributerja pri proizvajalcu) prične teči 5-letno obdobje do EndOfLife datuma.

Vse do EndOfLife je možno proizvode pokrivati s podporo in storitvami.
Pri tem proizvajalec ne jamči, da bodo vsi novi feature-i delovali na stari opremi, saj je to že iz tehničnega vidika marsikdaj neizvedljivo. So pa v tem obdobju na voljo varnostni popravki in posodobitve upravljalskih orodij - seveda, če si vzdrževan. Tudi v tem obdobju vzdrževanje vsebuje podaljšano garancijo na HW (ki pa ponavadi noče crkniti, pa če si to še tako želiš, da bi pri šefu lažje izpogajal hitrejši prehod na nov model).

V idealnem primeru, če kupiš napravo na dan, ko pride na trg, ti tako celotna življenjska doba lahko znaša tudi 10 let.
Glede na to, da gre tehnologija v tem času že toliko naprej, da le redko kdo dejansko 'sedi' na stari škatli, dokler ne dočaka EndOfLife.

Ko je 'škatla' enkrat prekoračila EndOfLife datum, še vedno deluje v omejenem obsegu. UTM storitve (ki so stvar vzdrževanja) sicer ne delujejo več, še vedno pa zadeva deluje kot DPI firewall z vsemi ALG-ji. Ne boš jo uporabljal kot primarni firewall, ampak za kakšno začasno rezervo je pa še vedno dovolj dobra, če se kdaj zgodi kaj nepredvidenega.
Seveda pa jo lahko tudi odneseš domov in uporabiš za varovanje domačega omrežja ali pa doniraš kakemu 'gasilskemu društvu', ki si kaj takega sicer nikoli nebi privoščil.

Tako politiko ima naš principal. Kako drugi urejajo te stvari pa naj še kdo drug pove.

Zgodovina sprememb…

pegasus ::

jukoz je izjavil:

Spc> Res čudno, da je dd-wrt, openwrt itd itd... baziran na linux jedru, če linux ni namenjen za routerje.
In tudi zelo dosti industrijskih routerjev uporablja linux/unix.
Mhm, za upravljat tistih par kg asicov, ki so v kišti in dejansko hendlajo paketke. Linux je na cmd strani samo zato, da lahko gor namečejo razne config toole ala puppet (in cel ruby stack), da lahko njihovi marketingarji okrog razglašajo, da so SDN capable ;)

SeMiNeSanja ::

....pri tem, da nihče prav zares ne zna povedati, kaj naj bi SDN bil, oz. si vsak pod tem pojmom predstavlja nekaj drugega. Ampak ja...za marketing je pa cool.

En malo se ponavlja zgodovina. Ni še tako dolgo nazaj, ko je na celem svetu samo eden proizvajalec ponujal 'Next Generation' požarne pregrade. Zdaj se pa tepejo, kdo bo tisti, ki bo res edini ponujal tisti 'pravi SDN'.....(nekako se mi zdi, da jim ne gre od rok?).

Sploh pa mi ni jasno, kako bodo mene prepričali, da tudi jaz potrebujem SDN.....

Zgodovina sprememb…

AndrejO ::

Spc je izjavil:

AndrejO je izjavil:

Linux ali BSD jedra so ti za takšne namene bolj v napoto, kot ne.

Res čudno, da je dd-wrt, openwrt itd itd... baziran na linux jedru, če linux ni namenjen za routerje.
In tudi zelo dosti industrijskih routerjev uporablja linux/unix.

Igračke naj ostanejo doma, kamor spadajo.

Kar se tiče "industrijskih routerjev", pa si najprej poglej njihove arhitekture, da boš sploh razumel kaj sem napisal in kakšno vlogo notri igra tebi domač OS.

AndrejO ::

SeMiNeSanja je izjavil:

....pri tem, da nihče prav zares ne zna povedati, kaj naj bi SDN bil, oz. si vsak pod tem pojmom predstavlja nekaj drugega. Ampak ja...za marketing je pa cool.

Če si na pravi strani "korita", potem je SDN najboljša stvar, ki se je zgodila od Web 2.0 naprej. Denarci morajo teči.

SeMiNeSanja je izjavil:

En malo se ponavlja zgodovina.

En malo? 8-)

SeMiNeSanja je izjavil:

Ni še tako dolgo nazaj, ko je na celem svetu samo eden proizvajalec ponujal 'Next Generation' požarne pregrade. Zdaj se pa tepejo, kdo bo tisti, ki bo res edini ponujal tisti 'pravi SDN'.....(nekako se mi zdi, da jim ne gre od rok?).

Nekje vmes pa je tisti "eden" dobil žnj konkurentov, "NG" funkcije pa so postale "zlati standard".

SeMiNeSanja je izjavil:

Sploh pa mi ni jasno, kako bodo mene prepričali, da tudi jaz potrebujem SDN.....

Tako, da boš nekega dne prišel do težave, kjer bo "standardna rešitev" predvidevala uporabo SDN pristopa. Z nekaj pameti in sreče, pa se boš seveda lahko izognil vsem, ki ti bo prodali "SDN" kot najboljšo stvar od rezanega kruha naprej.

Ampak, kot si že sam opazil, to ni nič novega. Tehnologije imajo svojo zelo očitno krivuljo start-hype-bust-commoditise.

čuhalev ::

Mimogrede, če koga zanima, obstaja Sophos UTM Home Edition, zastonj za 3 leta.

SeMiNeSanja ::

To obstaja že lep čas. V bistvu se pod 'pokrovom' skriva nekdanji Astaro.

Poleg 'Home Edition' obstaja tudi 'Essential Firewall Edition' za poslovne uporabnike - ravno tako brezplačno. Ta varianta je sicer oskubljena, brez UTM storitev. Če želiš še te, moraš globooooko poseči v žep.

Za domačo rabo o.k., za poslovno pa nebi šenkavali nekaj, če nebi vedeli, da bodo uporabniki prej ali slej ugotovili, da potrebujejo 'nekaj več'. Seveda računajo na lenobo uporabnikov, ki se jim ne bo ljubilo priučiti drugega proizvoda in prenašati konfiguracije... Sam kriv, če si len. Potem pa plačaj.... (Pro varianta je vse kaj drugega, kot brezplačna).

noraguta ::

Sam na slotechu te posiljo z linuxom ker je admin na ios pustil privzeto geslo.
Pust' ot pobyedy k pobyedye vyedyot!

SeMiNeSanja ::

noraguta je izjavil:

Sam na slotechu te posiljo z linuxom ker je admin na ios pustil privzeto geslo.

Kot sem že nekje pri začetku rekel, problematika ni nova, ni samo Cisco problematičen ampak so se tekom let pokazali problemi pri celi vrsti, predvsem home grade routerjev. Težave, ki so dejansko lahko velik problem, ker le malo kateri domači uporabnik redno posodablja firmware svojega routerja, tudi če so posodobitve na voljo.

Pri uporabi default gesla pa je problematičen katerikoli router. Cisco tu ni čisto nobena izjema. Razen morda v toliko, da bi pričakoval, da nekdo, ki si lasti Cisco router, tega ne bo pustil na default geslu. A kaj, ko izjeme vedno znova potrjujejo pravilo.

noraguta ::

Če si prebral novico, ne da tudi cisco ni problematičen, cisco sploh ni problematičen v tem primeru. Admin je. Za te pa ni patcha.
Pust' ot pobyedy k pobyedye vyedyot!

Zgodovina sprememb…

  • spremenilo: noraguta ()

SeMiNeSanja ::

noraguta je izjavil:

Če si prebral novico, ne da tudi cisco ni problematičen, cisco sploh ni problematičen v tem primeru. Admin je. Za te pa ni patcha.

Nisem se omejeval striktno na ta primer. CVE baza ima lep spisek manj in bolj resnih 'problemčkov' za vse vrste routerjev, tudi Cisco-ve. Ampak bistvo problema ni v tem, da ima določena (običajno stara) verzija firmware-a znano varnostno luknjo. Problem je ve tem, da ljudje firmware ne posodabljajo in še kar gonijo luknjičave verzije.

Default password patch pa je lahko edino odpoved delovnega razmerja zaradi grobe malomarnosti na delovnem mestu.

noraguta ::

A bejžno bejž. Tmle gor ste pa že xenone tlačl v ruterje. Aste malo nori.
Pust' ot pobyedy k pobyedye vyedyot!

SeMiNeSanja ::

noraguta je izjavil:

A bejžno bejž. Tmle gor ste pa že xenone tlačl v ruterje. Aste malo nori.

Tisto je bil offtopic spodrsljaj nekega posameznika...

bbbbbb2015 ::

čuhalev je izjavil:

Meni poslovni modeli z naročnino oziroma podporo, ki se izteče in ne deluje več, ne dišijo. Če je zadeva dobra, mora delati sedaj, jutri in čez 10 let.


Glej, nočem te učiti core informatike, ampak stvar je taka...

Da si boš lažje zapomnil, si zapomni, da je informatika ko vino. To je živa stvar, ki jo je treba rihtati, meriti, probati, negovati, skrbeti-za.

To je tako že od samih začetkov informatike.

Kar informatika ves čas dela je, da modelira en abstraktni model, ki poskuša posnemati recimo poslovni model.

Ker se vse spreminja, je potrebno spreminjati tudi abstraktni model, kar je fino ime za aplikacije, mrežo, serverje, požarne zidove, itd itd.

Point je v tem, da stranka mora imeti nek biznis (kopanje premnoga, bankirstvo itd. itd.) ki mu prinaša denar (malo, dosti).

V tem biznisu potem obstajajo poslovni procesi, ki tečejo hitreje, bolje, močneje, optimalneje,blah blah blah, če so podprti z informatiko. In če stranka zasluži (hipotetično) 100 € z informatiziranim procesom, potem lahko meni plača za informatizacijo 20 €. In smo vsi srečni.

Torej je to storitveni model. Kako pa ti to spakiraš za stranko, vzdrževanje, enkraten nakup ipd ipd. - e, to pa je tvoj problem.

Če pa kdo čaka, da kupi nekaj, da bo delalo - ajd 30 let, to je pomota, napaka. Morda recimo ajd da razvijemo nek vesoljski modul, ter ga nažokamo v vesolje, kjer ni popravkov. To bi jaz z veseljem zaračunal par desetin ali stotin miljonov, ker dejansko tu bi se kulminiralo pa res vse znanje informatike.

Navadne stvari, take zemeljske, pa rabijo čisto navadno sprotno zemeljsko flikanje.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Cisco odkril ranljivosti v svoji opremi na podlagi Vault 7

Oddelek: Novice / Varnost
124921 (3426) brodul
»

Hekerski napad od interneta odrezal skoraj milijon strank Deutsche Telekoma

Oddelek: Novice / Varnost
95835 (3848) ales85
»

Vdor v NSA razkril luknje v Ciscovi in drugi omrežni opremi

Oddelek: Novice / Varnost
269157 (5913) Spura
»

Kako je britanski GCHQ vdrl v belgijski Belgacom

Oddelek: Novice / Varnost
3824547 (21285) matijadmin
»

APT (Advanced Persistent Threats) napadi iz Kitajske

Oddelek: Novice / Varnost
125700 (4544) poweroff

Več podobnih tem