| |
| |
| |
| 4.58, x3who (?), 16:24, 28/03/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> такой productive and effective.
Ну да, именно. Вы просто не понимаете, что эффективное производство стремится снижать затраты на производство продукта, у каждого менеджера есть KPI согласно которому он должен поднять эффективность бизнеса на Х процентов. А основные издержки приходятся на что? Деталь из устройства не выкинешь, зато можно снизить издержки на разработчиков и поддержку продукта - выгнать пару наиболее оплачиваемых технарей-дармоедов на мороз, и эффективность бизнеса тут же возрастает на размер их оплаты с налогами.
| | |
| |
| 5.65, Аноним (-), 21:34, 28/03/2019 [^] [^^] [^^^] [ответить]
| +5 +/– |
И с каждой последующей итерацией высе^W продукт штурмует очередное днище. Но дефективным менеджерам пофиг, ло^W клиент же не мамонт.
>Деталь из устройства не выкинешь
Внезапно, совершенно спокойно выкидываются снабберные цепи, синфазные дроссели, "лишние" стабилизаторы, желательно с парой "наиболее оплачиваемых" инженеров-"дармоедов". Не важно, что недостаточная стабилизация питания и отсутствие фильтрации помех вызывают целый спектр спецэффектов типа повышенного тепловыделения, фризов и зависаний, зато быстрее за новым продуктом прибегут.
Это не эффективное производство, а копроэкономика, если называть вещи своими именами, потому
> такой productive and effective.
> такой reductive and defective.
пофиксил, ибо слишком тонкая ирония.
| | |
|
|
|
|
| |
| |
| |
| 4.9, Аноним (9), 08:50, 28/03/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Просто вырубил winbox в IP->services, и всё остальное кроме www.
| | |
|
| 3.13, ryoken (ok), 09:30, 28/03/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Тоже хрень, да и тут вещают, под ДДоСом валятся на ура мокротыки.
| | |
| |
| 4.20, пох (?), 09:57, 28/03/2019 [^] [^^] [^^^] [ответить]
| –3 +/– | |
ну если три-четыре околонулевой нагруженности ipsec-туннеля для них ddos - то моя древняя ржавая asa и парочка ее краденых виртуальных сестренок должны были уже не то что лечь, а взорваться и улететь в форточку. Однако ж, работают, а мокротыки коллеги сделавшие себе на них защищенную сеть - перезагружают просто вот по три раза на дню, а чо, затодешево! (не так чтоб и особо)
| | |
| |
| 5.27, Андрей (??), 10:33, 28/03/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Наверно они при покупке на смотрели на схемы железок, которые они покупать собираются. На сайте Микротика все выложено.
Там нарисовано как трафик ходит и где затыки могут быть. Например на надо покупать одноядерный микротик, если надо шифровать IP-Sec и гонять большой трафик в режиме роутера. Соответственно нормально выбранная железка и у Микротика, стоит не мало. Но ведь кто ж читает... Кроилово, оно всегда переходит в попадалово. Да.
Ну а ASA - это по сути комп. Простой как три копейки. При высокой нагрузке лагает, как и все. При зоопарке VPN-клиентов поглючивает и подкашливает. Так что никаких чудес.
Был у меня на работе старый компа с OpenVPN. Выкинули комп когда CA-сертификат протух (был на 10 лет сделан при инсталяции). А пока не протух CA, работал себе вполне и всем очень нравился.
| | |
| |
| 6.33, пох (?), 10:58, 28/03/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Например на надо покупать одноядерный микротик, если надо шифровать IP-Sec
стесняюсь спросить - они до сих пор не умеют его оффлоадить на отдельное шифроустройство?
> Ну а ASA - это по сути комп. Простой как три копейки.
угу - в 5510 - _селерон_ (p3, без всяких там aes'ов и sssse8910). При этом, как ни удивительно, с ipsec на крупный branch-office c десятками туннелей к каким-нибудь удаленным складам у нее все в порядке (с поправками на неумение элементарных вещей) - шифрует отдельный чип, тормозит тоже отдельно от всего.
Непростой там софт - попробуй-ка на коленке на компе (все равно из каких деталей) собрать failover cluster с автомагическим переключением - включая и те же криптотоннели. У асы - работает.
> При высокой нагрузке лагает, как и все.
какие такие все? Вот любимый некротик при невысокой виснет, перезагрузка ресетом. Зато дешево.
У stonesoft за шесть вагонов денег - при нагрузке, не превышающей штатной - разваливается кластер, активная нода виснет намертво, вторая умудряется этого не заметить и не переключиться, при банальном апдейте банальных правил - начинает все глючить и виснуть до отката на старые конфиги. Техподдержка разводит лапками - "шеф, я вас вижу! - Аналогично!"
А у тебя - всего лишь лагает ,и то потому что вышел за допустимые параметры.
(ну да, есть еще checkpoint и paloalto, но там и деньги несопоставимые с асой без доп-примочек, и смысл этих коробок немного в другом, и своих специальных глюков и проблем на ровном месте у них навалом. А в дверку тихонько скребется очень-плохая-дорога, со словами "а мы тут, кстати, сертификат ФСТЭК прикупили")
| | |
| |
| 7.39, Аноним (39), 11:13, 28/03/2019 [^] [^^] [^^^] [ответить]
| –8 +/– |
Из этого всего потока сознания можно сделать вывод что перед нами теоретик-флудер.
| | |
| |
| 8.49, . (?), 13:58, 28/03/2019 [^] [^^] [^^^] [ответить] | +4 +/– | судя по тому что это для вас поток сознания - вы даже не теоретик, а так - о... текст свёрнут, показать | | |
|
| 7.40, PnDx (ok), 11:20, 28/03/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Непростой там софт - попробуй-ка на коленке на компе (все равно из каких деталей) собрать failover cluster с автомагическим переключением - включая и те же криптотоннели. У асы - работает.
Тут не удержусь от ехидного комментария. Глядя на злоключения коллег из сетевого отдела — *не* работает. В 9 прошивках из 10 есть какой-то очередной нюанс, препятствующий переключению или сваливающий в "панику". И при этом зафиксировать рабочее — тоже не вариант, т.к. регламенты.
Не знаю как там у можжевеловых, но Cisco+ASA = вот это вот.
| | |
| |
| 8.48, нах (?), 13:39, 28/03/2019 [^] [^^] [^^^] [ответить] | –1 +/– | признаюсь честно, именно ipsec site2site failover я делал на 7-8 0 то есть до п... текст свёрнут, показать | | |
|
| 7.44, ыы (?), 12:23, 28/03/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>стесняюсь спросить - они до сих пор не умеют его оффлоадить на отдельное шифроустройство?
есть модели с специальным шифроустрйоством и есть без. Какие имеют его - написано на сайте (включая недорогие роутеры сохо-сегмента). Но кто-ж читает что там на сайте написано...
| | |
| 7.60, Андрей (??), 16:56, 28/03/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Надо не стесняться. Надо сходить на сайт, выбрать пункт "IPsec hardware acceleration" и посмотреть на то, что выдалось. Там же можно поизучать схемы каждого девайса, чтобы понять есть тут "переподписка" или нет.
failover cluster достаточно легко собирается на тех же Линуксах и если у вас это не получилось однажды, вовсе не значит, что этого нет в природе. Кому надо тот делает. Инструментарий для этого есть.
Ваши истошные посты убитого жизнью админа понятны. Отдыхать надо. Всех дел не переделаешь.
Удачи.
| | |
| |
| 8.61, пох (?), 20:06, 28/03/2019 [^] [^^] [^^^] [ответить] | +/– | дружище, я на другие сайты хожу с лошадками, например В то время как цисячьи... большой текст свёрнут, показать | | |
|
|
|
| 5.38, Аноним (39), 11:11, 28/03/2019 [^] [^^] [^^^] [ответить]
| –4 +/– |
я смотрю пох/нах у нас специалисты во всех сферах, сам-то хоть видел его вживую хоть раз? и сколько раз он у тебя вис?
p.s. имею в доступности с два десятка микротиков: за почти два года ни единого зависания (нагрузка у них постоянная от 10 до 75%).
| | |
| |
| 6.50, пох (?), 14:07, 28/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
> я смотрю пох/нах у нас специалисты во всех сферах, сам-то хоть видел
> его вживую хоть раз?
стыдно сказать, нет ;-)
Я ни разу не был на площадках, где оно работает.
> и сколько раз он у тебя вис?
не считал, но это у той конторы обыденнейшая ситуация "опять повисло, перезагрузите" - раз-другой за неделю мелькало в чятике. Коробок с десяток, какой-либо зависимости от нагрузки/расположения/настроек я не заметил. Да и настроек там кот наплакал, внешний траффик через те коробки не ходил, только туннели для внутренних нужд.
> p.s. имею в доступности с два десятка микротиков: за почти два года
> ни единого зависания (нагрузка у них постоянная от 10 до 75%).
дружище, нагрузку в сети в bps/pps меряют ;-)
хотя вообще-то если у тебя 75 это cpu load - ничего не хочу больше знать о тех некротиках.
| | |
|
|
|
|
| 2.18, пох (?), 09:52, 28/03/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
ну вообще-то цискам, которые на самом деле линксиси, а это именно оно, доверять никогда было нельзя.
Там вся команда индусская-преиндусская, во главе охренеть-раджа, даром что ни ухом, ни рылом в предмете не разбирается...
но сейчас вполне может статься, что такой становится и вся циска целиком - https://finance.yahoo.com/news/former-cisco-employee-arrested-charged-00053485
- ну ведь нельзя же джентльмену с прекрасным именем Бхикка не верить на слово? Вот ему карта-то и поперла...
бечь - понятно куда, в оченьплохуюдорогу, там ни одного индуса нет.
| | |
| |
| 3.55, ryoken (ok), 15:15, 28/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
Там ещё хуже - там ваще КИТАЙЦЫ. А этому племени у меня доверия нет и вряд ли появится...
| | |
| |
| 4.63, пох (?), 20:14, 28/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
дык, потому индусов и нет ;-)
они их палочками едят.
доверять им может и нельзя (правда, товарищ майор велели им как раз - доверять, циске - не доверять! это для защищенных полувоенных применений, на минуточку), но вот к их железу у меня вопросы если и были, то такие, из серии "денег никому не заплатить".
Оно такое, странненькое, но именно странненькое, а не уродливое, как у некротиков. Иногда даже радуют красивыми ходами, которых у той же циски либо нет, либо криво, либо появилось на десять лет позже (тот же display this - у цисок есть аналог только в XR и неудобный страшно. Или онлайн апдейты в дешевых, копеечных s2300 - причем работающие, ни разу не повисло)
| | |
|
|
| 2.26, Аноним (26), 10:21, 28/03/2019 [^] [^^] [^^^] [ответить]
| +5 +/– | |
>Уже и цискам нельзя доверять?
А можно было? Имеется ввиду безопасность, а не навороченность железа.
| | |
| |
| 3.66, Аноним (66), 21:43, 28/03/2019 [^] [^^] [^^^] [ответить]
| –3 +/– |
Сейчас с нами поделятся историей успеха что ставили, что ставят и что будут ставить в цодах.
| | |
| |
| 4.71, Michael Shigorin (ok), 13:19, 29/03/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Смотря на каком континенте спрашивать будете. Не специалист, но могу спросить того же gremlin@, только тогда приготовьтесь к оглумлению.
| | |
|
|
| 2.70, Michael Shigorin (ok), 13:18, 29/03/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Уже и цискам нельзя доверять?
А когда было можно? (я тех времён, когда они под стол пешком ходили, не застал по специальности)
| | |
|
| |
| 2.6, Аноним (1), 08:32, 28/03/2019 [^] [^^] [^^^] [ответить]
| +7 +/– | |
И заметье, на подготовку такого патча им потребовалось полгода:
2018-09-19 Original vulnerability identified
2019-01-22 Firmware 1.4.2.20 released by vendor
| | |
| |
| 3.10, IdeaFix (ok), 09:14, 28/03/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Ну, если отбросить арифметику, для для гротеска можно сказать что они шесть лет готовили этот недопатч (по факту - три месяца).
| | |
|
|
| 1.8, Tifereth (?), 08:49, 28/03/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Абсолютно феерично. Мог ожидать такого от Microsoft, но чтобы от Cisco, которая кичится своим трепетным отношением к безопасности...
| | |
| |
| 2.12, sstj3n (?), 09:24, 28/03/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
...And sometimes Cisco explains its behavior with a simple phrase: "Monopoly means that we just can afford it"
| | |
| |
| 3.53, InuYasha (?), 14:38, 28/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
Интересные ссылки, благодарю. По отдельности всё не так страшно, но когда соберёшь всё рядом... /(o_o)\
| | |
|
| 2.21, KonstantinB (ok), 09:57, 28/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
 Да какое еще отношение к безопасности? Это по старой памяти 15-летней давности только если. Сейчас там индус на индусе. Любая китайская поделка будет примерно на том же уровне.
| | |
| |
| 3.30, Sw00p aka Jerom (?), 10:44, 28/03/2019 [^] [^^] [^^^] [ответить]
| +3 +/– | |
>Это по старой памяти 15-летней давности только если.
Слайды Сноудена припомните, циска изначально такой и была
| | |
| 3.34, Аноним (34), 10:59, 28/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
Тогда зачем платить больше. Купи длинков пучок и пере загружай их весь день.
| | |
|
|
| 1.16, Аноним (16), 09:47, 28/03/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Это же мыльница какаято - купили кавота, налепили наклейку - cisco епт:)
| | |
| |
| 2.19, пох (?), 09:54, 28/03/2019 [^] [^^] [^^^] [ответить]
| –2 +/– | |
да, но выкинуть на мороз индуса и нанять нормального хотя бы менеджера среднего звена - вполне можно было и после покупки. Но зачем - пипл же и так схавает, других-то нет (точнее, других-то в избытке, но они еще хуже).
| | |
| |
| 3.54, пох (?), 15:10, 28/03/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
https://www.amazon.com/gp/offer-listing/B00DGH08OC/
если бы это не была линксися перекрашенная - не вижу ничего конского, дешевенькая soho-железка так и должна стоить.
вот тебе примерно такой же длинк еще дороже и хуже:
https://www.amazon.com/gp/offer-listing/B004Z9XRQG/
а вот, для сравнения, сколько стоит настоящая циска с весьма приблизительно похожим функционалом (свитч еще за столько же купишь): https://www.ebay.com/itm/Brand-New-CISCO1921-K9-CISCO-1900-Integrated-Services (хотя какой лох будет это на ебее покупать - не знаю)
ну или так, только там гигабит ненастоящий, а для soho нафиг не надо, это для branch office кого-то очень большого предназначено:
https://www.ebay.com/itm/Cisco-CISCO892-K9-10-100-Mbps-GigE-Security-Router-Po
их, разумеется, тоже никто на ебее покупать не будет.
| | |
|
|
| 1.22, Аноним (16), 09:57, 28/03/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Сдаеца мне именно так и сделали - индуса ваявшего прошивку на мороз, вместо него эффективный менеджмент справица:)
| | |
| 1.23, Аноним (23), 09:59, 28/03/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Я, конечно, понимаю, что такое "латание" уязвимостей это скорее попытка блокировать PoC-скрипты кулхацкеров... Но блокирование по user-agent это верх "тяп-ляп и в продакшн", даже слов нет.
| | |
| |
| 2.31, тщт (?), 10:46, 28/03/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
не надо так "тяп-ляп" опускать, костыли, пусть и кривые, будут есть и будут, а это откровенное "пох..й, лохи, и так сожрут"
| | |
|
| |
| 2.43, Аноним (-), 12:15, 28/03/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
Проще приобрести мощный одноплатник под OpenWRT за треть цены сабжа. А то, что вы предлагаете, скорее из области трансректальной гландоэктомии.
| | |
|
| |
| 2.35, freehck (ok), 11:02, 28/03/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Да как обычно небось: наняли джуна на испытательный, код-ревью не делали... Ну вот и результат. )
| | |
| |
| 3.75, пох (?), 23:07, 29/03/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
джуны такое себе не позволяют - им не нужно увольнение с первой в жизни должности и волчий билет в итоге, они делают криво, но стараются.
это senior сделал, уверенный что ему за это ничего не будет - потому что в Бангалоре, где он живет, все равно особо далеко падать некуда - ну уволят, не станет денег снимать квартиру - пойдет жить на улицу. Потом может быть с голоду помрет - так переродится же ж.
Таск закрыт в установленный срок. Ок, что у нас там следующее? "запилить новую фичу для IoT"? Окей, гугль, как это делают-то и что такое IoT, заодно?
| | |
|
|
| 1.56, ryoken (ok), 15:19, 28/03/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А как там у Джуниперов дела? Они подобного уровня добро вообще делают?
Давно на опеннете им на голову ушатов помоев не было что-то :D
| | |
| |
| 2.59, пох (?), 16:48, 28/03/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> А как там у Джуниперов дела? Они подобного уровня добро вообще делают?
нет, там все заподорого и не через розничные магазины - мелкоохфесам не светит.
ну то есть ты можешь, конечно, на ебее купить какой-нибудь сравнительно дешевый srx, и он всем лучше этой линксиси, но это будет 100% неофициальный продаван, ни прошивок, ни техподдержки ты там не получишь - в смысле, вообще нет никакого легального пути их получения.
| | |
| |
| 3.72, ryoken (ok), 13:57, 29/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
> ну то есть ты можешь, конечно, на ебее купить какой-нибудь сравнительно дешевый
> srx, и он всем лучше этой линксиси, но это будет 100%
> неофициальный продаван, ни прошивок, ни техподдержки ты там не получишь -
> в смысле, вообще нет никакого легального пути их получения.
Кто там ещё остался... AlliedTelesyn(s)? Давно что-то вообще про них не слышал, да и есть ли у них подобного уровня девайсы..?
| | |
|
|
| 1.57, Анонимс (?), 15:54, 28/03/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
> после установки обновления прошивки 1.4.2.20 с заявленным "устранением" проблем, устройства Cisco RV32x как и раньше остаются уязвимыми
> обновление прошивки с корректным исправлением пока не выпущено и ожидается в середине апреля
> компания Cisco была уведомлена о проблеме в начале февраля, а информация об изначальной уязвимости была направлена ещё в сентябре прошлого года
> для атаки достаточно сменить значение User-Agent
Циска и безопасность - это слова синонимы и об этом знают все.
| | |
| 1.69, Онаним (?), 23:37, 28/03/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
- без аутентификации обратиться к скриптам config.exp или export_debug_msg.exp с флагом "submitbkconfig" и получить содержимое файла конфигурации устройства
- конфигурация отдаётся в зашифрованном виде, но для шифрования использован фиксированный пароль, присутствующий в прошивке ('NKDebug12#$%')
- выполнить любую команду в системном окружении устройства через манипуляции с параметрами в форме генерации сертификатов (например, вместо имени можно указать "'a\$(ping -c 4 192.168.1.2)'b")
Нельзя таки подпускать школьников и хипстеров к разработке системного ПО. А школьников-хипстеров - тем более.
| | |
| 1.74, Аноним (74), 17:43, 29/03/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
На самом деле у рассматриваемого есть прекрасная непробиваемая защита. А именно - 2 раза пытались внедрить оборудование данного бренда. И оба раза оно не проработало более 1 недели ввиду перегорания блока питания. Т.о. до уязвимостей сабжа дело не дошло и сеть была надежно защищена оборудованием другого бренда.
| | |
| |
| 2.76, пох (?), 23:16, 29/03/2019 [^] [^^] [^^^] [ответить]
| +/– | |
ну да, что у тебя в сети вместо 220 гуляет 380, и банальных фильтров купить даже уже после сгоревшего устройства вы пожабились - это циска ж виновата.
И, разумеется, когда у тебя горит оборудование, которое у других работает годами, надо искать "другого бренда",а не вые..ть электриков.
P.S. блок питания какой-нибудь ASR9000 стоит около $2k. Лучше не думать, сколько стоит в ней остальное. Если два сгорит по милости электрика - что же, на то ему и даны целых две почки.
| | |
|
|
