ESR-1000 тестирование, вопросы безопасности, адекв. задачам
Добавлено: 14 июн 2015 01:25
[содержит описание уязвимости]
Взяли ESR-1000 на тестирование, с задачей использования его в качестве пограничного и корневого на сети небольшого оператора связи. Задачи типовые - BGP с пирами-транзитами, подключение к IX-ам, внутренняя статическая и динамическая маршрутизация.
По адекватности моим задачам меня несколько озадачила и напугала мнение производителя о его неполном (пока) соответствии, но обнадеживает "пока"
поскольку "пока" с моими задачами справляются бу сервера под freebsd от 3 до 10 т руб (с НДС), очень надеюсь что оборудование сопоставимой аппаратной
конфигурации ( за 200 с лишним т.р.) на базе linux с этим тоже справится
В принципе хотелось-бы получить разъяснение разработчиков насколько развитие этого продукта учитывает наши типовые потребности, поскольку настройки по-умолчанию соответствуют задачам решаемым бытовым роутером в пластиковом корпусе за 1000 руб
Теперь о грустном, настроил в соответствии с короткой 14-страничной инструкцией "Руководство по установке и быстрому запуску Версия ПО 1.0.4"
не нашел в ней пароля по умолчанию, потерял время на перечитывание 2-раза, сходил в "Руководство по эксплуатации, версия ПО 1.0.4" - нашел
поменял пароли - вроде все в порядке, можно ставить в сеть и заниматься удаленной сетевой настройкой
При входе ругается
2000 May 16 13:11:00 esr-1000 lastlog_openseek: Couldn't stat /var/log/lastlog: No such file or directory
Не критично, но нашел в документации как выскочить в linux shell, чтобы посмотреть что там
Теперь о совсем грустном - на следующий день нашел в системе неописанного в документации пользователя, попробовал словарный пароль - подошел ;((
захожу под ним по ssh - бинго! у меня bash, su - не проходит, sudo su - бинго! у меня root! смотрю в /etc/passwd /etc/shadow и понимаю что у root тот-же словарный пароль... правда по ssh не пускает, но это может где-то в другом месть "сыграть"
В документации ни слова, с учетом постоянного аврала мог такую железку настроить, установить и забыть про нее на неопределенное время.
Интересно, сколько таких устройств уже стоит, поставленных как описано выше?
Полагаю на такое можно вообще инцидент в CERT открывать.
Ну надо хотя-бы документации по быстрой настройке привести в адекватное состояние:
1) указать пароль по умолчанию
2) указать всех системных пользователей которым надо менять пароли
3) сказать как выскочить в bash, чтобы посмотреть что еще надо заткнуть.
Еще желательно указать там-же как быстро отключить и/или перенастроить dhcp и как настроить простейшую AS на одну /24 и поднять BGP с двумя peer-ами, полагаю это не займет больше 2-х страниц.
P.S. я конечно не всю документацию прочитал, мог что-то упустить, но в QuickStart это должно быть обязательно
Взяли ESR-1000 на тестирование, с задачей использования его в качестве пограничного и корневого на сети небольшого оператора связи. Задачи типовые - BGP с пирами-транзитами, подключение к IX-ам, внутренняя статическая и динамическая маршрутизация.
По адекватности моим задачам меня несколько озадачила и напугала мнение производителя о его неполном (пока) соответствии, но обнадеживает "пока"
поскольку "пока" с моими задачами справляются бу сервера под freebsd от 3 до 10 т руб (с НДС), очень надеюсь что оборудование сопоставимой аппаратной
конфигурации ( за 200 с лишним т.р.) на базе linux с этим тоже справится
В принципе хотелось-бы получить разъяснение разработчиков насколько развитие этого продукта учитывает наши типовые потребности, поскольку настройки по-умолчанию соответствуют задачам решаемым бытовым роутером в пластиковом корпусе за 1000 руб
Теперь о грустном, настроил в соответствии с короткой 14-страничной инструкцией "Руководство по установке и быстрому запуску Версия ПО 1.0.4"
не нашел в ней пароля по умолчанию, потерял время на перечитывание 2-раза, сходил в "Руководство по эксплуатации, версия ПО 1.0.4" - нашел
поменял пароли - вроде все в порядке, можно ставить в сеть и заниматься удаленной сетевой настройкой
При входе ругается
2000 May 16 13:11:00 esr-1000 lastlog_openseek: Couldn't stat /var/log/lastlog: No such file or directory
Не критично, но нашел в документации как выскочить в linux shell, чтобы посмотреть что там
Теперь о совсем грустном - на следующий день нашел в системе неописанного в документации пользователя, попробовал словарный пароль - подошел ;((
захожу под ним по ssh - бинго! у меня bash, su - не проходит, sudo su - бинго! у меня root! смотрю в /etc/passwd /etc/shadow и понимаю что у root тот-же словарный пароль... правда по ssh не пускает, но это может где-то в другом месть "сыграть"
В документации ни слова, с учетом постоянного аврала мог такую железку настроить, установить и забыть про нее на неопределенное время.
Интересно, сколько таких устройств уже стоит, поставленных как описано выше?
Полагаю на такое можно вообще инцидент в CERT открывать.
Ну надо хотя-бы документации по быстрой настройке привести в адекватное состояние:
1) указать пароль по умолчанию
2) указать всех системных пользователей которым надо менять пароли
3) сказать как выскочить в bash, чтобы посмотреть что еще надо заткнуть.
Еще желательно указать там-же как быстро отключить и/или перенастроить dhcp и как настроить простейшую AS на одну /24 и поднять BGP с двумя peer-ами, полагаю это не займет больше 2-х страниц.
P.S. я конечно не всю документацию прочитал, мог что-то упустить, но в QuickStart это должно быть обязательно