Upozornění na botneta napadajícího ROS <6.38.4

[Myghael]

My měli minulý týden 7 hodinový výpadek od UPC, fakt nádhera.

kvůli čemu?

Chcípl jim switch na POPu

To bylo na Hodonínsku, že? Taky nás to nás*šlo.

[hapi]

:D
mikrotik Nv2 nikdy neopravil ani neopravi a ziadne nove ROS tomu nepomozu. Odjakziva co existuje nv2 tu mame bug zo zamrznutim wlan kedy pomoze len vyhodit klientov, ti sa nalinkuju spat a uz to ide. Nejake zazracne zlepsienie nv2 ani neriesim. Uz v davnych dobach som si x krat overil, ze treba pouzivat len overenu verziu. Napr. spravili sme spoj na MK. v6.20 a nedalo to ani 20Mbit, nahral sa spatne 6,12 a islo to 35Mbit ALE TREBA UPGRADE na novu nova je predsa najlepsia. bullshit. Clovek musi dlho testovat ros aby to nahral bez obav, ze sa nieco posere. Ubnt pri novych fw taktiez. Nahras a skape ti zariadenie Nie dik...radsej pockam par mesiacov nech si to motorkovia na ubnt vyskusaju a potom si to nahram ja

o tomhle se s tebou nehodlám bavit. Pokud neumíš ovládat mikrotika, nepoužívej ho. Pokud nehodláš přiznat vinu rozbitýho hw (ano, všechno se někdy rozbije) nebo špatný kabeláže, napájení atd.. není ti rady ani pomoci. Neházej sem firmware starý 4 roky (6.12) a už vůbec sem neházej jednu tvojí zkušenost. Nehodlám přestat používat nějaký věci jenom kvůli tomu že kdysi jedna z nich nejela podle představ.

Pokud ti mikrotik vadí, nepoužívej ho.

[hapi]

omplouvám se za offtopic

2 hapi plně souhlasím se stavem vývoje sw v mikrotiku a nechápu srovnání s enterprise řešeními. Co se týče MK tak na to fórum přispívám co zvládám. Teď jsem řešil s MK jeden bug u use-ip-firewall-for-pppoe a světe div se, na fóru nic, ale přes email mi to zabralo týden a cca 10 emailů, ale úspěch dokonán. MK replikoval chybu a řekl že se to pokusí časem opravit. Tak jsem poděkoval a šel dál. Jinak nechápu proč tohle vlákno je tak dlouhý, vše důležité bylo řečeno před týdnem a už když se to stalo, tak jsem nechápal co se děje za paniku. Když jsem zjistil, že jde o rok starou chybu tak jsem se uklidnil. Všechny důležité otázky byly zodpovězený v průběhu prvních 48 hodin a MK si zaslouží uznání za jeho formu komunikace, protože normis a jiní odpovídali aktivně v neděli ráno na MK fóru. Pokud máte tu síť vhodně navrženou, tak Vás MK problém ani motherfucker stejně nezaskočil, i když máte staré verze.

2 gemb jo tenhle bug s odpojením klientů je otravný a netýká se jen nv2, dělá to i 802.11, ale u ubnt zařízení jsem zjistil, že pokud je staré M5 XM verze s uptime mnoho dní, tak před aktualizací je vhodno ji restartovat (to platilo u 5.x, u 6.x problémy nepociťuji)

a to Gemb zapomněl dodat, že zasekávání klientů je i u ubnt. Ten pro koho bokem dělám to jistě potvrdí protože jsme na to opakovaný zasekávání čuměly jako vrány. No to jenom tak mimochodem. Ale to je ubnt, tam je to všem jedno.

[hapi]

My měli minulý týden 7 hodinový výpadek od UPC, fakt nádhera.

kvůli čemu?

Chcípl jim switch na POPu

a co to má společnýho s napadením firmwaru?

[pgb]

a to Gemb zapomněl dodat, že zasekávání klientů je i u ubnt. Ten pro koho bokem dělám to jistě potvrdí protože jsme na to opakovaný zasekávání čuměly jako vrány. No to jenom tak mimochodem. Ale to je ubnt, tam je to všem jedno.

Jo svět je různý, někteří lidi mají problémy s dfs, někteří s tím a s tím a je jedno jestli to je ubnt nebo mk. Většinu problému vyřeší, když člověk čte a hle ... ono řešení existuje. Country code 511, superchannel, někteří neznají scan list, nemají fw, jiní doporučejí zakázat na mk úplně vše, těch věcí co je vhodné znát je hodně a třeba na levné propoje bez rušení pro pár zákazníků upřednostňuji ubnt ac iso před mk, přestože síť mám v většiny na MK. Prostě zvolím co se mi zdá že funguje nejlépe pro danou situaci.

Zajímavost: okoun mi prozradil, že se mu dobře ujala služba prodávání propojovacích okruhů (co jsem pochopil, tak má mpls plně implementované) a je to hračka na které vydělá něco. Pak mám známého, který se mi svěřil se dvěma perličkami
- je motherfucker mu sejmul hromadu zařízení
- přečíslovával síť a zjistil, že si mu zákaznící vytvořili sami okruh mezi sebou (sakra to je chyba v návrhu topologie jak itálie - prostě velká noha )

[basty]

Počítám že hlavně firmám. Kolik?

[pgb]

tak asi dle podmínek, jak dlouhý, jaký objem dat ...... to jsou otázky na cenotvorbu naprosto abstraktní

[thomas_more]

Taky u většiny osazenstva pokud mají výpadek na řekněme deset sekund, možná někdo zabrblá, že se mu seklo yůůtube, ale jinak se stane h*vno. U enterprise/carrier sítí znamená desetisekundový výpadek značné škody. První smluvní pokuta už kohokoliv naučí, co je to to "Corporate IT". Pak se testování verzí a všemu ostatnímu divit přestane.

Vidim to dost podobne. Problem je v tom, ze vyse zminovani maji takovou nejakou svoji pravdu a nechteji prijmout fakt, ze to muze nekdo delat jinak a to at z toho duvodu ze chce a nebo protoze proste treba musi. Hlavne ze si muzou prisadit a udelat z nekoho, kdo pozada o polopatickou radu (protoze to treba jen uplne nechape) idiota. Nejako mi to prijde proti smyslu tohohle fora. Ale budiz, kazdej to mame nastaveny jinak. A kdyz jsi nacal ty smluvni pokuty .... jednou se mi povedlo shodit asi na 12 minut BSC T-Mobilu v Karlovych Varech. Fakticky se mi povedlo vyhodit na par vterin oba power feedy u jedny rady racku a nez to cely najelo, trvalo prave asi tech 12 minut. Nastesti to ve finale nebyla tak uplne moje vina, coz jsem docela kvitoval, protoze skoda vycislena operatorem za ten 12 minutovej vypadek byla presne 244 tisic. Toliko k tem carrier sitim. Vis jak ... nekdo to tady ma v podpisu. Vysoce odbornych omylu se dopousteji pouze specialiste.

jasně, a proto "dělat jinak" znamená nechat na enterprise sítích bezpečnostní díru která může odstavit celej router když někdo bude chtít. Super. Sorry ale idiota ze sebe děláš ty těmi to nelogickými protichůdnými závěry.

Jo a ještě bych se rád zeptal... co dělá v enterprise řešení mikrotik? mikrotik je enterprise věci? O čem se to tu bavíme? Zdá se že vo hovně. Já ti to připomenu. Bavíme se o bezpečnostní díře v systému RouterOS a o lidech kteří RouterOS využívají především na wireless ISP a o zařízeních kolem 1 tisíce korun. Jestli někdo nemá pár tisíc na testování nových verzí v kanceláři na stole než to dá do ostrýho provozu tak jak se to běžně dělá v enterprise věcech tak sorry ale to neni moje věc. Navíc na to všichni zde měly 1 ROK.

Dost mě sere tenhle dvojí metr. Když se bug oběvil u UBNT, nikdo ani nepípnul a prostě pougpradoval zařízení. Když tohle teď potkalo mikrotika, tak nikdo nehnul ani prstem a všichni se na to doslova vysraly.

Inu ... potrefena husa, ze? Ocividne jsi nepochopil smysl toho, co jsem prapuvodne napsal. Ale to se tak nejak dalo cekat. Nikdo tady nedehonestuje Mikrotik. Tim min ja, kdyz ho sam v ne uplne maly mire pouzivam v mistech, ktery pro me nejsou klicovy. Pater je komplet MPLS Hua/Cisco, ale i Mikrotik u nas ma svoje misto. Nicmene presne sedis do ty primery o svoji pravde. Konstruktivni diskuse se vede jinak. Ne tak, ze se navazis do jinych jen proto, ze neco vidi jinak a nebo maji na vec jinej nazor. To je vse, o cem tady byla rec Hapi. Nic vic, nic min ...

[Robotvor]

kvůli čemu?

Chcípl jim switch na POPu

To bylo na Hodonínsku, že? Taky nás to nás*šlo.

Ano

[Gemb]

hapi: prestan sa tu rozkrikovat....to, ze ty si len zastanca MK a ine riesenie nez MK s novym FW nepoznas neni moj problem. Mikrotikov som namontoval tisicky a ubnt pomaly tiez tak mi tu prestan tlacit svoje rozumy. V kazdej diskusii to tak je, pride hapi a MK si da zlatu korunku na hlavu :d Ja to hovorim, ze pri oboch je treba si odstriehnut pouzitelny FW a pouzivat ten. Neni sa treba za kazdu cenu hnat za novym FW. To, ze sa pri MK zasekne wlan je fakt ktory sa tiahne roky, bug so single chain a TX v G rezime je tu tiez roky. Ubnt a slavna gps sync je tu tiez roky az teraz cosik kdesik sa o to zaujimaju. UBNT virus ktory tu bol tak 2 roky dozadu tiez nebolo nic moc. Niekomu sa zosypala cela siet, niekomu nic... Su to len hracky, tak to tak neprezivaj

[sub_zero]

Tvl to je spam zase

Hele, ja napisu nasi zkusenost:
V notasu mam par scriptu, kteryma nastavim klientskej MK jednim kliknutim /a to vc. IP->Services->Aviable from/. Jednim klikem! Nemusis se zdrzovat zadnym jinym nastavenim. Vybalim zarizeni z krabice, pripojim, nastavim SSID, IP, Identity Name a spustim script. Hotovo, odjizdim.

A co se tyka corporate/enterprise.
Myslim, ze lidi /ajtaci/, co si prosli nejakym corporatem maji trosku jinak postaveny chapani security obecne. IPspik nedela audity, nenecha si delat na siti 4x rocne penetracni testy, nemusi vyplnovat troubleshooting reporty a nesahnou mu na prachy, kdyz neco posere apod. A za me to zpetne vnimam tak, ze corporat mi dal v tomhle trosku kritictejsi pristup ve vnimani security obecne a v jiste mire jsem rad, ze se mi ji podarilo protlacit (stalo to nejaky kacky a hlavne minimalne 5let zivota) do naseho ISP businessu. Znate to, 10let se nic nestane a pak najednou..
Dle me se kazdej z nas snazi najit rovnovahu mezi simle/hardcore cfg vs. funkcnost/bezpecnost. To, ze je neco nakonfigurovany zrovna takhle prece automaticky neznamena, ze je to spatne. Je tam x promenych, ktery se musi zohlednit. A narovinu rikam, ze na spoustu corporate reseni obcas pouzijeme MK.
A zlatý pravidlo nakonec: Kdyz to funguje, nesaham na to..


sry za OT

Jo a Hapi, psal se Ti na Skype, tak az vychladnes, prosim o odpoved

[CrazyApe]

:D
mikrotik Nv2 nikdy neopravil ani neopravi a ziadne nove ROS tomu nepomozu. Odjakziva co existuje nv2 tu mame bug zo zamrznutim wlan kedy pomoze len vyhodit klientov, ti sa nalinkuju spat a uz to ide. Nejake zazracne zlepsienie nv2 ani neriesim. Uz v davnych dobach som si x krat overil, ze treba pouzivat len overenu verziu. Napr. spravili sme spoj na MK. v6.20 a nedalo to ani 20Mbit, nahral sa spatne 6,12 a islo to 35Mbit ALE TREBA UPGRADE na novu nova je predsa najlepsia. bullshit. Clovek musi dlho testovat ros aby to nahral bez obav, ze sa nieco posere. Ubnt pri novych fw taktiez. Nahras a skape ti zariadenie Nie dik...radsej pockam par mesiacov nech si to motorkovia na ubnt vyskusaju a potom si to nahram ja

Nevim o cem se to tady bavime nicmene mame celou sit NV2 N a nekde AC a NIKDE se mi to nestalo a to 90% sajtů je na baterkach a sektory maji uptime od update fw do update fw. Taky nevim co je spatneho na NV2 krom toho ze v 802.11 mi daji spoje cca o 15% vic na TCP spojeni. Hledal bych spis problem nekde jinde. (Vadne zarizeni, typ provozu, spatne napajeni, kombinace zarizeni vs sektor, ruzne fw atp. ) Vim ze se to tady lidem deje a deje se to i znamym co maji mnohem mensi sit nez my. U nas tento problem NIKDY nenastal ... zajimave.

[Gemb]

Nevim o cem se to tady bavime nicmene mame celou sit NV2 N a nekde AC a NIKDE se mi to nestalo a to 90% sajtů je na baterkach a sektory maji uptime od update fw do update fw. Taky nevim co je spatneho na NV2 krom toho ze v 802.11 mi daji spoje cca o 15% vic na TCP spojeni. Hledal bych spis problem nekde jinde. (Vadne zarizeni, typ provozu, spatne napajeni, kombinace zarizeni vs sektor, ruzne fw atp. ) Vim ze se to tady lidem deje a deje se to i znamym co maji mnohem mensi sit nez my. U nas tento problem NIKDY nenastal ... zajimave.

Problem so zaseknutim nv2 sme riesili na nahodnych miestach. Problem napajania, sektoru atd hned vylucujem nakolko to boli rozne kombinacie ale stalo sa to na vsetkych. Zaseklo sa to jak v meste s velkym rusenim, tak na dedine kde bol volny kanal atd. Na baterkach defacto vsetko, ziadne kolisanie siete atd by to nespravilo. Uptime 400+ dni. Ludia taktiez pisu, ze sa im to zaseklo aj na 802.11 co sa nam nikdy nestalo a to existovali rozne kombinacie klientov ( jeden sektor a ubnt +mk dokopy) Pri UBNT sa mi nastalo, ze by zaseklo wlan na AP ale stalo sa, ze odkopavalo zariadenia XM napr. Pomohla az vymena sektoru. Zaver je stale rovnaky, su to vsetko len hracky MK aj UBNT ktore nejako funguju Stejne v mnohych pripadoch neexistuje ine riesenie. Ak existuje tak vacsinou drahe ci zlozite. Kazdy ponadavame na tieto hracky ale stejne ich budeme este roky pouzivat

[hapi]

hapi: prestan sa tu rozkrikovat....to, ze ty si len zastanca MK a ine riesenie nez MK s novym FW nepoznas neni moj problem. Mikrotikov som namontoval tisicky a ubnt pomaly tiez tak mi tu prestan tlacit svoje rozumy. V kazdej diskusii to tak je, pride hapi a MK si da zlatu korunku na hlavu :d Ja to hovorim, ze pri oboch je treba si odstriehnut pouzitelny FW a pouzivat ten. Neni sa treba za kazdu cenu hnat za novym FW. To, ze sa pri MK zasekne wlan je fakt ktory sa tiahne roky, bug so single chain a TX v G rezime je tu tiez roky. Ubnt a slavna gps sync je tu tiez roky az teraz cosik kdesik sa o to zaujimaju. UBNT virus ktory tu bol tak 2 roky dozadu tiez nebolo nic moc. Niekomu sa zosypala cela siet, niekomu nic... Su to len hracky, tak to tak neprezivaj

jooo? asi si nečet moje kritický posty o mikrotiku že? já nikomu nenadržuju, jenom interpretuju fakta. Samozřejmě s tvým přístupem se budou bezdráty na mikrotiku sekat pořád když sis vyhlídnul "ideální" firmware. Mě se to třeba minimálně přes rok nestalo, asi to bude těmi novými verzemi které to opravujou Ale víš jak, když ty okamžitě vyloučíš problém v napájení, problém v kabelu nebo problém v konkrétním kuse boardu, tak s takovym ignorantem se nedá dělat nic. Tady se nabízí čistá otázka jakto že tobě se to stalo všude a mě jenom na jednom sektoru. hmmm tady něco smrdí a bude to na tvojí židli. A opět, u ubnt si vyměnil sektor, u mikrotiku ne. Tohle asi nikdy nepochopíš.

[Pintero]

Hapi a jeho pravda