z hlavní brány odchází někam velké množtví dat

[Pintero]

Okoun: muzes sem jeste hodit screen kolik tam mas paketu a zatez procaku ?

[Majklik]

kdo si má v pětatřiceti stupních pod palmou a sudem Ouza v sobě na mobilu všimnout, že to byl výpis někoho jiného...
Pokud to fakt v torch nevidíš, tak vem ten packet sniffer v dané době a tam by to už mělo být, pokud to produkuje ROS.

[okoun]

hehe to se máš, hezkou dovolenou!
nicméně je opravdu možné že torch prostě něco nevidí? nebo to mám blbě naklikané, jak říkají kolegové?

díky

[okoun]

tak asi jsem přišel na to co to bylo, někdo mi útočil na ipmi, tedy v ros to nemohlo být zachyceno, nakonec se mu to povedlo rozlousknout a vypnul mi pc a ipmi dal de defaultu a tedy enzbývalo nic jiného než výjezd ipmi jsem už více bloknul a zatím to vypadá dobře.
někdo mi samozřejmě řekne, že je používání ipmi na wanu na hodinovou výpověď ale bohužel tady to jinač nejde....

[Majklik]

Aha, supermicro server? A navíc model, kde IPMI je na bázi čipu WPCM450? Pak pokud mu to trvalo tak dlouho, tka je to amatér, tam se helso získává prostým vhodně formátovaným GET požadavkem. Pokud is nechceš dát padáka a zmizet někam na ostrovy, kde proudí Metaxa/Ouzo/Tsipouri prodem (a nejlépe bez vlastní manželky a dětí), tak si blokni tcp 49152, aspoň na switchi před téím serverem na wanu.

[Dalibor Toman]

Aha, supermicro server? A navíc model, kde IPMI je na bázi čipu WPCM450? Pak pokud mu to trvalo tak dlouho, tka je to amatér, tam se helso získává prostým vhodně formátovaným GET požadavkem. Pokud is nechceš dát padáka a zmizet někam na ostrovy, kde proudí Metaxa/Ouzo/Tsipouri prodem (a nejlépe bez vlastní manželky a dětí), tak si blokni tcp 49152, aspoň na switchi před téím serverem na wanu.

a jeste bych na http://supermicro.com/support/bios/firmware0.aspx nasel posledni firmware a nahral ho. A pak v ACL nastavit povolene rozsahy IP (kdyby nahodou ten firewall nekdy prestal delat co ma).
Btw starsi IPMI od SupermIcra po upgradu umozni nastavit IPMI port jako dedikovany, takze po vypadku napajeni nabehne i kdyz pripojeny switch (link na switchi) startuje dele

[okoun]

ano fw tam nebyl a už jsem ho nastavil takže snad pokoj, nicméně před tím bohužel žádný FW není no...

[Majklik]

To máš přímo kabel z ethernet portu jdoucí do krabice Dialu? Možnost je vrazit si mezi to i switch, který umí L3 filtrování a oříznout to na něm. nejsme si totiž jist, zda ten vestavěný filtr funguje i proti tomu vytažneí toho hesla tím GETem. Ale i když se ho dozví, tak se pak aspoň nepřipojí, pokud nebude na správné síti. A ten filtrující switch se i hodí pro dropování případně některých utečených dat, do neumí korektně dropnout ROS (utečený NAT a podobné). V podstatě by to asi zvládlo i "blbé" RB250/260, jenom ta spolehlivost/propustnost.

[Dalibor Toman]

To máš přímo kabel z ethernet portu jdoucí do krabice Dialu? Možnost je vrazit si mezi to i switch, který umí L3 filtrování a oříznout to na něm. nejsme si totiž jist, zda ten vestavěný filtr funguje i proti tomu vytažneí toho hesla tím GETem. Ale i když se ho dozví, tak se pak aspoň nepřipojí, pokud nebude na správné síti. A ten filtrující switch se i hodí pro dropování případně některých utečených dat, do neumí korektně dropnout ROS (utečený NAT a podobné). V podstatě by to asi zvládlo i "blbé" RB250/260, jenom ta spolehlivost/propustnost.

PS: Zkousel jsem a GET /PSBlock po upgrade firmware sice umozni stahnout soubor ale ten ma (pokud si pamatuju) vzdy jen 12 bytu (dokonce je jedno jake jmeno se uvede, vzdy to stahne to same) a hesla v nem nejsou. Po nastaveni ACL tak, ze dropuje cizaky skutecne nejde ani konekt na IPMI rozhrani.

Nepustit cizaky k IPMI je i po upgradu stale akutni - vzhledem k tomu, ze snad IPMI 2.0 specifikace predepisuje odeslani hashe hesla klientske strane. Takze ta si ten has pak muze v klidu neomezenou dobu bruteforcem/slovnimem louskat

[okoun]

stejně nechápu proč to ipmi je tak děravé, není to náhodou spíše účel?

[Majklik]

On ten IPMI kód je dneska asi v v tom supermicro slepenec posbíraných různých kusů GPL kódů o kterým možná ani SM neví, co přesně dělá... Takže v tom chyby budou nejen v logice co požaduje IPMI specifikace, ale tuna dalších. A pokud tě uklidní, ostantí systémy na tom nejsou lépe a občas se v ncih díry objeví. Už jsem byl vyškolem na HPéčkovém iLO a tom krámu od IBM. Takže raději před všechy tyto věci strkám aspoň malé RBčko ať leze se do toho přes VPNku a přímo port není dostupný z veřejné sítě.

Jinks jak ses ptal na ten Torch, jo ten je zrádný v tom,že ukazuje to, co mu řekneš, že chceš vidět,když si to lbě naklikáš, tak něco neuvidíš.