Комментарии 16
Но все мы любим хуявей не только за это…
НЛО прилетело и опубликовало эту надпись здесь
На уровне поделки пары ПТУшников. Отовсюду торчат настлько примитивные баги, которые в при нормальном подходе просто не могут появиться.
PIX примерно с 2008 года не выпускается. А то что он кривой и косой написано на каждом углу. Зачем такое покупать?
PIX примерно с 2008 года не выпускается. А то что он кривой и косой написано на каждом углу. Зачем такое покупать?
Не могли бы более подробно про баги?
В snmp, например, если все закрыть через acl, в лог все равно пишется кто и откуда пытался зайти. А так как это делают постоянно, то ничего кроме этого в логах нет. Ну или надо держать размер буфера нереально большим.
info-center filter-id bymodule-alias SNMP SNMP_FAIL не помогает?
Угу, и я никогда не увижу что кто-то с правильных адресов не попадает в комюнити.
Вообще acl то должен быть хардварным. А тут явно такого нет и все все равно летит в ЦП, который от такого может немного и офигеть. И тогда бай-бай igp-шечка и здравствуй дропы.
Ну а copp там вроде как есть, но как он работает никто не знает.
Вообще acl то должен быть хардварным. А тут явно такого нет и все все равно летит в ЦП, который от такого может немного и офигеть. И тогда бай-бай igp-шечка и здравствуй дропы.
Ну а copp там вроде как есть, но как он работает никто не знает.
Не очень понял что вы имеете ввиду. Может быть фильтрацию сделать хардварной? Для этого есть обычные фильтры, как раз в случае фильтрации snmp по acl вполне может быть нужно видеть, что с неудобных адресов приходят запросы. То что нет фильтра конкретно под этот reason ну скорее неудобство, чем баг все-таки.
Фильтрация должна быть _только_ _хардварной_. И никак иначе.
Зачем мне видеть запросы с неудобных адресов? Я их закрыл и забыл. Если надо есть параметр log в правилах acl.
Это «неудобство» — следствие кривой архитектуры железки.
Зачем мне видеть запросы с неудобных адресов? Я их закрыл и забыл. Если надо есть параметр log в правилах acl.
Это «неудобство» — следствие кривой архитектуры железки.
Это особенность работы snmp. Не вижу никаких проблем учитывать это. Также совершенно не считаю это «кривостью» или тем более багом. В данном случае считаю плохим решением фильтрацию трафика на уровне snmp модуля. Не для этого он предназначен.
Какая такая особенность? Пунктик из RFC может процитируете? Кто такой SNMP модуль? Почему у всех остальных вендоров все сделано по человечески?
Ну раз это Вы багом не считаете, то вот вам еще. На некоторых коробках полисинг происходит после обработки тега. И когда этот тег отрезается, коробка ничего полисить не может. То есть отдаем влан на порт с тегом — все работает. Отдаем акцессом — все плохо. Потянет на баг?
Ну раз это Вы багом не считаете, то вот вам еще. На некоторых коробках полисинг происходит после обработки тега. И когда этот тег отрезается, коробка ничего полисить не может. То есть отдаем влан на порт с тегом — все работает. Отдаем акцессом — все плохо. Потянет на баг?
А в чем не соответствие с RFC? SNMP разве как-то некорректно работает? Мне сложно оценивать человечность реализации у других вендоров. Вы уверены, что разница не только лишь в том, что другие вендоры могут игнорировать запись в логе при ACL фильтрации snmp?
Если имеет место быть. А что означает «на некоторых коробках»? На одной и той же прошивке работает по-разному? У вас есть подробности этой ситуации?
Я не то чтобы защищаю их оборудование, я сам нашел как минимум 2 серьезные уязвимости. Но мне бы хотелось знать о известных проблемах с ними.
Если имеет место быть. А что означает «на некоторых коробках»? На одной и той же прошивке работает по-разному? У вас есть подробности этой ситуации?
Я не то чтобы защищаю их оборудование, я сам нашел как минимум 2 серьезные уязвимости. Но мне бы хотелось знать о известных проблемах с ними.
Это вы мне расскажите в чем несоответствие. И кто такой «модуль snmp». В чем я уверен я уже написал. У других код пишут не ПТУшники.
На некоторых — значит не на всех. У них там знаете ли есть брасы, фаерволы, свитчи, роутеры и еще много чего. От прошивки это не зависит, это кривой дизайн пакет флоу. Не лечится. От слова никак.
На некоторых — значит не на всех. У них там знаете ли есть брасы, фаерволы, свитчи, роутеры и еще много чего. От прошивки это не зависит, это кривой дизайн пакет флоу. Не лечится. От слова никак.
SNMP = Security is Not My Problem.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Прокачай SNMP на устройствах Huawei и H3C