О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
ESR-1000 тестирование, вопросы безопасности, адекв. задачам
-
- Сообщения: 8
- Зарегистрирован: 31 май 2015 06:35
- Reputation: 0
- Откуда: GlavSV.ru
- Контактная информация:
ESR-1000 тестирование, вопросы безопасности, адекв. задачам
[содержит описание уязвимости]
Взяли ESR-1000 на тестирование, с задачей использования его в качестве пограничного и корневого на сети небольшого оператора связи. Задачи типовые - BGP с пирами-транзитами, подключение к IX-ам, внутренняя статическая и динамическая маршрутизация.
По адекватности моим задачам меня несколько озадачила и напугала мнение производителя о его неполном (пока) соответствии, но обнадеживает "пока"
поскольку "пока" с моими задачами справляются бу сервера под freebsd от 3 до 10 т руб (с НДС), очень надеюсь что оборудование сопоставимой аппаратной
конфигурации ( за 200 с лишним т.р.) на базе linux с этим тоже справится
В принципе хотелось-бы получить разъяснение разработчиков насколько развитие этого продукта учитывает наши типовые потребности, поскольку настройки по-умолчанию соответствуют задачам решаемым бытовым роутером в пластиковом корпусе за 1000 руб
Теперь о грустном, настроил в соответствии с короткой 14-страничной инструкцией "Руководство по установке и быстрому запуску Версия ПО 1.0.4"
не нашел в ней пароля по умолчанию, потерял время на перечитывание 2-раза, сходил в "Руководство по эксплуатации, версия ПО 1.0.4" - нашел
поменял пароли - вроде все в порядке, можно ставить в сеть и заниматься удаленной сетевой настройкой
При входе ругается
2000 May 16 13:11:00 esr-1000 lastlog_openseek: Couldn't stat /var/log/lastlog: No such file or directory
Не критично, но нашел в документации как выскочить в linux shell, чтобы посмотреть что там
Теперь о совсем грустном - на следующий день нашел в системе неописанного в документации пользователя, попробовал словарный пароль - подошел ;((
захожу под ним по ssh - бинго! у меня bash, su - не проходит, sudo su - бинго! у меня root! смотрю в /etc/passwd /etc/shadow и понимаю что у root тот-же словарный пароль... правда по ssh не пускает, но это может где-то в другом месть "сыграть"
В документации ни слова, с учетом постоянного аврала мог такую железку настроить, установить и забыть про нее на неопределенное время.
Интересно, сколько таких устройств уже стоит, поставленных как описано выше?
Полагаю на такое можно вообще инцидент в CERT открывать.
Ну надо хотя-бы документации по быстрой настройке привести в адекватное состояние:
1) указать пароль по умолчанию
2) указать всех системных пользователей которым надо менять пароли
3) сказать как выскочить в bash, чтобы посмотреть что еще надо заткнуть.
Еще желательно указать там-же как быстро отключить и/или перенастроить dhcp и как настроить простейшую AS на одну /24 и поднять BGP с двумя peer-ами, полагаю это не займет больше 2-х страниц.
P.S. я конечно не всю документацию прочитал, мог что-то упустить, но в QuickStart это должно быть обязательно
Взяли ESR-1000 на тестирование, с задачей использования его в качестве пограничного и корневого на сети небольшого оператора связи. Задачи типовые - BGP с пирами-транзитами, подключение к IX-ам, внутренняя статическая и динамическая маршрутизация.
По адекватности моим задачам меня несколько озадачила и напугала мнение производителя о его неполном (пока) соответствии, но обнадеживает "пока"
поскольку "пока" с моими задачами справляются бу сервера под freebsd от 3 до 10 т руб (с НДС), очень надеюсь что оборудование сопоставимой аппаратной
конфигурации ( за 200 с лишним т.р.) на базе linux с этим тоже справится
В принципе хотелось-бы получить разъяснение разработчиков насколько развитие этого продукта учитывает наши типовые потребности, поскольку настройки по-умолчанию соответствуют задачам решаемым бытовым роутером в пластиковом корпусе за 1000 руб
Теперь о грустном, настроил в соответствии с короткой 14-страничной инструкцией "Руководство по установке и быстрому запуску Версия ПО 1.0.4"
не нашел в ней пароля по умолчанию, потерял время на перечитывание 2-раза, сходил в "Руководство по эксплуатации, версия ПО 1.0.4" - нашел
поменял пароли - вроде все в порядке, можно ставить в сеть и заниматься удаленной сетевой настройкой
При входе ругается
2000 May 16 13:11:00 esr-1000 lastlog_openseek: Couldn't stat /var/log/lastlog: No such file or directory
Не критично, но нашел в документации как выскочить в linux shell, чтобы посмотреть что там
Теперь о совсем грустном - на следующий день нашел в системе неописанного в документации пользователя, попробовал словарный пароль - подошел ;((
захожу под ним по ssh - бинго! у меня bash, su - не проходит, sudo su - бинго! у меня root! смотрю в /etc/passwd /etc/shadow и понимаю что у root тот-же словарный пароль... правда по ssh не пускает, но это может где-то в другом месть "сыграть"
В документации ни слова, с учетом постоянного аврала мог такую железку настроить, установить и забыть про нее на неопределенное время.
Интересно, сколько таких устройств уже стоит, поставленных как описано выше?
Полагаю на такое можно вообще инцидент в CERT открывать.
Ну надо хотя-бы документации по быстрой настройке привести в адекватное состояние:
1) указать пароль по умолчанию
2) указать всех системных пользователей которым надо менять пароли
3) сказать как выскочить в bash, чтобы посмотреть что еще надо заткнуть.
Еще желательно указать там-же как быстро отключить и/или перенастроить dhcp и как настроить простейшую AS на одну /24 и поднять BGP с двумя peer-ами, полагаю это не займет больше 2-х страниц.
P.S. я конечно не всю документацию прочитал, мог что-то упустить, но в QuickStart это должно быть обязательно
---
Евстропов А.В. (aka Eustrop)
CTO GlavSV.ru
Евстропов А.В. (aka Eustrop)
CTO GlavSV.ru
Re: ESR-1000 тестирование, вопросы безопасности, адекв. зада
Добрый день!
Программное обеспечение устройств ESR-1000 на данный момент находится в стадии активной разработки и добавления функционала. Стабильный релиз 1.0.4 имеет базовые возможности по работе в указанном Вами целевом сегменте; значительно более полный функционал динамической маршрутизации будет доступен в релизе 1.0.5, рекомендуем под Ваши задачи протестировать именно его после выхода.
Заводская конфигурация маршрутизаторов построена в прицеле на быстрое развертывание в корпоративной (офисной) сети, ESR-1000 является мультисервисным устройством. Провайдер для использования в своей сети может эту конфигурацию либо доработать под свои нужды, либо удалить её и построить заново, с использованием только необходимых блоков.
Linux-шелл в системе действительно есть (ведь не удивляет его наличие и возможность включения в том же IOS XE?), и указанные возможности входа использовались в ранних версиях ПО маршрутизатора. Использовались они для осуществления технической поддержки и расширенной диагностики устройств на этих ранних этапах развития линейки. В нынешних версиях ПО необходимость наличия данных точек входа уже снизилась до значительного минимума; и в ближайшее время они будут отключены полностью.
Что касается опасности этих точек, то она несколько преувеличена – стоит хотя бы снова вспомнить ту заводскую конфигурацию, которая установлена в устройствах. Данная конфигурация обеспечивает достаточный сетевой уровень защиты для корпоративного применения, а для операторов наилучшей практикой является максимальная изоляция “сети управления” от пользовательского трафика (в том числе от сети Интернет) – в частности, при помощи списков доступа и зон безопасности. Вряд ли можно “спать спокойно”, если устройства сети открыты своими двадцать вторым и двадцать третьим портом во весь мир, какими бы сильными ни были пароли пользователей. Думаю, тут Вы со мной согласитесь.
Пароль по умолчанию уже внесен в Руководство по установке и быстрому запуску для версии 1.0.5. Что касается второго и третьего пункта – то здесь мы, как я уже упоминал, движемся скорее в сторону отключения возможностей доступа к нижним уровням программного обеспечения устройств, за ненадобностью. Ведь наш продукт – это не Linux в 19”-корпусе, а комплексное и гибкое сетевое устройство с соответствующим командным интерфейсом.
Вопросы, затрагивающие конфигурирование BGP и DHCP-серверов, уже не вполне относятся к тематике Quick Start; примеры такой настройки приведены в более расширенном документе - “Руководстве пользователя”.
eustrop писал(а):Взяли ESR-1000 на тестирование, с задачей использования его в качестве пограничного и корневого на сети небольшого оператора связи. Задачи типовые - BGP с пирами-транзитами, подключение к IX-ам, внутренняя статическая и динамическая маршрутизация.
По адекватности моим задачам меня несколько озадачила и напугала мнение производителя о его неполном (пока) соответствии, но обнадеживает "пока"
поскольку "пока" с моими задачами справляются бу сервера под freebsd от 3 до 10 т руб (с НДС), очень надеюсь что оборудование сопоставимой аппаратной
конфигурации ( за 200 с лишним т.р.) на базе linux с этим тоже справится
В принципе хотелось-бы получить разъяснение разработчиков насколько развитие этого продукта учитывает наши типовые потребности, поскольку настройки по-умолчанию соответствуют задачам решаемым бытовым роутером в пластиковом корпусе за 1000 руб
Программное обеспечение устройств ESR-1000 на данный момент находится в стадии активной разработки и добавления функционала. Стабильный релиз 1.0.4 имеет базовые возможности по работе в указанном Вами целевом сегменте; значительно более полный функционал динамической маршрутизации будет доступен в релизе 1.0.5, рекомендуем под Ваши задачи протестировать именно его после выхода.
Заводская конфигурация маршрутизаторов построена в прицеле на быстрое развертывание в корпоративной (офисной) сети, ESR-1000 является мультисервисным устройством. Провайдер для использования в своей сети может эту конфигурацию либо доработать под свои нужды, либо удалить её и построить заново, с использованием только необходимых блоков.
eustrop писал(а):Теперь о грустном, настроил в соответствии с короткой 14-страничной инструкцией "Руководство по установке и быстрому запуску Версия ПО 1.0.4"
не нашел в ней пароля по умолчанию, потерял время на перечитывание 2-раза, сходил в "Руководство по эксплуатации, версия ПО 1.0.4" - нашел
поменял пароли - вроде все в порядке, можно ставить в сеть и заниматься удаленной сетевой настройкой
При входе ругается
2000 May 16 13:11:00 esr-1000 lastlog_openseek: Couldn't stat /var/log/lastlog: No such file or directory
Не критично, но нашел в документации как выскочить в linux shell, чтобы посмотреть что там
Теперь о совсем грустном - на следующий день нашел в системе неописанного в документации пользователя, попробовал словарный пароль - подошел ;((
захожу под ним по ssh - бинго! у меня bash, su - не проходит, sudo su - бинго! у меня root! смотрю в /etc/passwd /etc/shadow и понимаю что у root тот-же словарный пароль... правда по ssh не пускает, но это может где-то в другом месть "сыграть"
В документации ни слова, с учетом постоянного аврала мог такую железку настроить, установить и забыть про нее на неопределенное время.
Интересно, сколько таких устройств уже стоит, поставленных как описано выше?
Полагаю на такое можно вообще инцидент в CERT открывать.
Linux-шелл в системе действительно есть (ведь не удивляет его наличие и возможность включения в том же IOS XE?), и указанные возможности входа использовались в ранних версиях ПО маршрутизатора. Использовались они для осуществления технической поддержки и расширенной диагностики устройств на этих ранних этапах развития линейки. В нынешних версиях ПО необходимость наличия данных точек входа уже снизилась до значительного минимума; и в ближайшее время они будут отключены полностью.
Что касается опасности этих точек, то она несколько преувеличена – стоит хотя бы снова вспомнить ту заводскую конфигурацию, которая установлена в устройствах. Данная конфигурация обеспечивает достаточный сетевой уровень защиты для корпоративного применения, а для операторов наилучшей практикой является максимальная изоляция “сети управления” от пользовательского трафика (в том числе от сети Интернет) – в частности, при помощи списков доступа и зон безопасности. Вряд ли можно “спать спокойно”, если устройства сети открыты своими двадцать вторым и двадцать третьим портом во весь мир, какими бы сильными ни были пароли пользователей. Думаю, тут Вы со мной согласитесь.
eustrop писал(а):Ну надо хотя-бы документации по быстрой настройке привести в адекватное состояние:
1) указать пароль по умолчанию
2) указать всех системных пользователей которым надо менять пароли
3) сказать как выскочить в bash, чтобы посмотреть что еще надо заткнуть.
Пароль по умолчанию уже внесен в Руководство по установке и быстрому запуску для версии 1.0.5. Что касается второго и третьего пункта – то здесь мы, как я уже упоминал, движемся скорее в сторону отключения возможностей доступа к нижним уровням программного обеспечения устройств, за ненадобностью. Ведь наш продукт – это не Linux в 19”-корпусе, а комплексное и гибкое сетевое устройство с соответствующим командным интерфейсом.
eustrop писал(а):Еще желательно указать там-же как быстро отключить и/или перенастроить dhcp и как настроить простейшую AS на одну /24 и поднять BGP с двумя peer-ами, полагаю это не займет больше 2-х страниц.
P.S. я конечно не всю документацию прочитал, мог что-то упустить, но в QuickStart это должно быть обязательно
Вопросы, затрагивающие конфигурирование BGP и DHCP-серверов, уже не вполне относятся к тематике Quick Start; примеры такой настройки приведены в более расширенном документе - “Руководстве пользователя”.
Иван Макаренко / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru
-
- Сообщения: 8
- Зарегистрирован: 31 май 2015 06:35
- Reputation: 0
- Откуда: GlavSV.ru
- Контактная информация:
Re: ESR-1000 тестирование, вопросы безопасности, адекв. зада
Пожалуй в документацию следует добавить раздел или лучше отдельный документ troubleshooting
а) нужно описать процедуру переключения между образами прошивок image-1 и image-2 из uboot
б) описать процедуру работу загрузчиков, что и как можно сделать из xloader, что и как из u-boot
и для документации не хватает html версии, с pdf на 400 страниц работать неудобно,
а печатать его смысла нет - он меняется часто. Это кстати всех продуктов касается.
пункт "а" мне сейчас очень актуален для дальнейшего тестирования (как откатиться на старую прошивку ESR-1000)
а) нужно описать процедуру переключения между образами прошивок image-1 и image-2 из uboot
б) описать процедуру работу загрузчиков, что и как можно сделать из xloader, что и как из u-boot
и для документации не хватает html версии, с pdf на 400 страниц работать неудобно,
а печатать его смысла нет - он меняется часто. Это кстати всех продуктов касается.
пункт "а" мне сейчас очень актуален для дальнейшего тестирования (как откатиться на старую прошивку ESR-1000)
---
Евстропов А.В. (aka Eustrop)
CTO GlavSV.ru
Евстропов А.В. (aka Eustrop)
CTO GlavSV.ru
Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам
Наличие шелла является безусловным плюсом.
Конфигурация демонов и среды немного сомнительны. Хотя в целом связка класическая, и чего наверное не хватает - это некоторого выпрямления CLI и вычищения среды.
Конфигурация демонов и среды немного сомнительны. Хотя в целом связка класическая, и чего наверное не хватает - это некоторого выпрямления CLI и вычищения среды.
Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам
Да только цену увидел, перекрестился!!! Лучше Juniper и цена ниже. Да и у старого-доброго микротика рулей поболе.
Господа опомнитесь!!! Будьте людьми!!!
P/S функционал ниже чем у микротика за 40 тыр. рублей. И ВАМ не стыдно?
Господа опомнитесь!!! Будьте людьми!!!
P/S функционал ниже чем у микротика за 40 тыр. рублей. И ВАМ не стыдно?
Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам
kriostar писал(а):Да только цену увидел, перекрестился!!! Лучше Juniper и цена ниже. Да и у старого-доброго микротика рулей поболе.
Господа опомнитесь!!! Будьте людьми!!!
P/S функционал ниже чем у микротика за 40 тыр. рублей. И ВАМ не стыдно?
Скажите на какой маршрутизатор вы получили цену? Можете обратиться в коммерческий отдел Элтекс, для получения актуальных цен.
Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам
Добрый день! Подскажите 1.0.6.47 на esr-1000 это последняя прошивка или есть что-то новее?
-
- Сообщения: 179
- Зарегистрирован: 25 янв 2016 14:10
- Reputation: 0
- Откуда: Элтекс
Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам
lumen писал(а):Добрый день! Подскажите 1.0.6.47 на esr-1000 это последняя прошивка или есть что-то новее?
Здравствуйте!
Предрелизная версия ПО 1.0.7 доступна на нашем FTP сервере.
Если есть необходимость обновиться до версии 1.0.7, обращайтесь в личку для получения доступа к FTP.
Леонид Зарков / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru
Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам
Кстати возник еще вопрос , пока только изучаю докумнетацию, но возможно использование без секьюрити зон, просто настроить как бордер , прописать нужные ип алерса на интерфейсах и маршруты?
И сколько в него full-view влезит?
И сколько в него full-view влезит?
-
- Сообщения: 179
- Зарегистрирован: 25 янв 2016 14:10
- Reputation: 0
- Откуда: Элтекс
Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам
lumen писал(а):Кстати возник еще вопрос , пока только изучаю докумнетацию, но возможно использование без секьюрити зон, просто настроить как бордер , прописать нужные ип алерса на интерфейсах и маршруты?
Добрый день.
Необходимо отключить Firewall на интерфейсах:
Код: Выделить всё
(config-if-gi)# ip firewall disable
lumen писал(а):И сколько в него full-view влезит?
Для ESR-1000 RIB BGP ограничена 2600000 маршрутами, для четырех full-view этого должно хватить.
Леонид Зарков / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru
Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам
Спасибо
Кстати не могу добавить object-group-n для создания route map
И на tftp конфиг почему не выгружает
конфиг получилось сохранить, вот так
Кстати не могу добавить object-group-n для создания route map
Код: Выделить всё
esr-1000(config-object-group-network)# ip prefix 0.0.0.0/0
Syntax error: Illegal parameter
Код: Выделить всё
sho ver
SW version:
1.0.6 build 47[aeeef3d] (date 22/09/2015 time 17:52:17)
HW version:
1v7
И на tftp конфиг почему не выгружает
Код: Выделить всё
esr-1000# copy fs://running-config tftp://10.80.0.204/esr1000.cfg
TFTP URL syntax: 'tftp://HOST[%interface(for ipv6 link-local only)][PORT*]:/FILE'
* You can specify a port through the '#' or ':'(HOST for ipv6 address must be enclosed in '[]')
конфиг получилось сохранить, вот так
Код: Выделить всё
copy fs://running-config tftp://10.80.0.204:/esr1000.cfg
-
- Сообщения: 179
- Зарегистрирован: 25 янв 2016 14:10
- Reputation: 0
- Откуда: Элтекс
Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам
lumen писал(а):Спасибо
Кстати не могу добавить object-group-n для создания route mapКод: Выделить всё
esr-1000(config-object-group-network)# ip prefix 0.0.0.0/0
Syntax error: Illegal parameter
Возможно вам нужно это:
Код: Выделить всё
(config)# ip prefix-list <name>
(config-pl)# permit default-route
(config-pl)# exit
Первый раз при копировании забыли " : "
'tftp://HOST[%interface(for ipv6 link-local only)][PORT*]:/FILE'
Леонид Зарков / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru
Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам
А как применить prefix-list в роуте мап?
Или просто сразу на нейбора
Код: Выделить всё
esr-1000(config-route-map-rule)# match ip
access-group Match criteria in the rule from the access list
address Match subnet of route
next-hop Match next-hop address of route
route-source Match advertising source address of route
Или просто сразу на нейбора
Код: Выделить всё
esr-1000(config-bgp-neighbor)# prefix-list default
DIRECTION Select direction:
in routes coming from the neighbor
out routes outgoing to the neighbor
esr-1000(config-bgp-neighbor)# prefix-list default in
-
- Сообщения: 179
- Зарегистрирован: 25 янв 2016 14:10
- Reputation: 0
- Откуда: Элтекс
Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам
lumen писал(а):Или просто сразу на нейбораКод: Выделить всё
esr-1000(config-bgp-neighbor)# prefix-list default
DIRECTION Select direction:
in routes coming from the neighbor
out routes outgoing to the neighbor
esr-1000(config-bgp-neighbor)# prefix-list default in
Prefix-list применяем к соседу.
Леонид Зарков / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru
Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам
Спасибо.
А вот что-то подобное не подскажите как сделать?
А вот что-то подобное не подскажите как сделать?
Код: Выделить всё
ip prefix-list all-net
seq 10 permit any
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 20 гостей