https://www.opennet.ru/openforum/vsluhforumID3/106709.html В межсетевых экранах Cisco ASA выявлена (https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160210-asa-ike) критическая уязвимость (CVE-2016-1287), позволяющая неаутентифицированному внешнему злоумышленнику инициировать перезагрузку устройства или выполнить свой код в системе. Проблема вызвана переполнением буфера в реализации протоколов IKE (Internet Key Exchangeversion), которое может быть эксплуатировано отправкой специально оформленного UDP-пакета. В результате атаки злоумышленник может получить полный контроль над устройством.<br><br><br>Уязвимость присутствует в сериях Cisco ASA 5500, Cisco ASA 5500-X, <br> Cisco ASA Services Module для Cisco Catalyst 6500/7600, Cisco ASA 1000V, Cisco ASAv, Cisco Firepower 9300 ASA и Cisco ISA 3000. Проблема проявляется только если в устройствах включена обработка VPN-соединений с использованием протоколов IKEv1 или IKEv2, например, поднят LAN-to-LAN IPsec VPN, L2TP-over-IPsec, настроено подключение клиентов через IPsec VPN или используется IKEv2 https://www.opennet.ru/openforum/vsluhforumID3/106709.html#22 Thu, 18 Feb 2016 00:16:04 GMT &gt; В треде эксперт-ниасилятор. Назови проблемы с защитой трафика? А так же по <br>&gt; пунктам, что там именно большое и сложное?<br><br>Сложный обмен ключами, который ничего особого не достигает в плане криптографии. Множество опций и сочетаний, многие из них небезопасные. Легко обнаруживается и режется да и просто застревает на ближайшем файрволе/nat. Зато настройка довольно утомительная в любой ОС. Ты конечно можешь гордиться тем что смог скушать эти кошачьи экскременты, но вкуснее от этого не станет.<br> https://www.opennet.ru/openforum/vsluhforumID3/106709.html#21 Wed, 17 Feb 2016 07:20:24 GMT надо ввести в оборот "нарцискизм"<br> https://www.opennet.ru/openforum/vsluhforumID3/106709.html#20 Mon, 15 Feb 2016 17:04:57 GMT &gt; Тем кто пользуется ipsec - так и надо. Он большой и слодный <br>&gt; и потому обреченн быть бажным и дырявым при плохой защите траффика. <br><br>В треде эксперт-ниасилятор. Назови проблемы с защитой трафика? А так же по пунктам, что там именно большое и сложное?<br> https://www.opennet.ru/openforum/vsluhforumID3/106709.html#19 Sun, 14 Feb 2016 18:44:09 GMT Тем кто пользуется ipsec - так и надо. Он большой и слодный и потому обреченн быть бажным и дырявым при плохой защите траффика.<br> https://www.opennet.ru/openforum/vsluhforumID3/106709.html#18 Sun, 14 Feb 2016 15:50:52 GMT В циске программистов почти не осталось. Они не могли это найти сами.<br> https://www.opennet.ru/openforum/vsluhforumID3/106709.html#17 Sun, 14 Feb 2016 13:08:19 GMT Зачем? Зачем использовать telnet при наличии ssh?<br> https://www.opennet.ru/openforum/vsluhforumID3/106709.html#16 Sun, 14 Feb 2016 08:37:28 GMT Спасибо,<br>Будем иметь в виду.<br> https://www.opennet.ru/openforum/vsluhforumID3/106709.html#15 Sun, 14 Feb 2016 05:41:24 GMT Кажись уже началось создание ботнетов. :)<br><br>В логах моего домашнего роутера с OpenWrt, на котором настроен ipsec-tools для связи с офисным маршрутизатором, сегодня целый день плодятся записи о попытках соединения на 500-ый порт с разных IP-адресов. Типа таких - racoon: ERROR: Invalid exchange type 243 from 85.99.68.73[500].<br><br>Кстати, в мае прошлого года, для ipsec-tools публиковали информацию о схожей уязвимости ( https://www.altsci.com/ipsec/ipsec-tools-sa.html ). Тогда мне пришлось руками пересобирать ipsec-tools для OpenWrt с патчем ( http://seclists.org/fulldisclosure/2015/May/83 ), так как создатели OpenWrt практически не следят за проблемами безопасности в своих репозиториях с пакетами.<br> https://www.opennet.ru/openforum/vsluhforumID3/106709.html#14 Sat, 13 Feb 2016 20:22:13 GMT забинди на ctrl-H<br>