О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

ESR-1000 тестирование, вопросы безопасности, адекв. задачам

MES, ESR
eustrop
Сообщения: 8
Зарегистрирован: 31 май 2015 06:35
Reputation: 0
Откуда: GlavSV.ru
Контактная информация:

ESR-1000 тестирование, вопросы безопасности, адекв. задачам

Сообщение eustrop » 14 июн 2015 01:25

[содержит описание уязвимости]
Взяли ESR-1000 на тестирование, с задачей использования его в качестве пограничного и корневого на сети небольшого оператора связи. Задачи типовые - BGP с пирами-транзитами, подключение к IX-ам, внутренняя статическая и динамическая маршрутизация.

По адекватности моим задачам меня несколько озадачила и напугала мнение производителя о его неполном (пока) соответствии, но обнадеживает "пока" ;)
поскольку "пока" с моими задачами справляются бу сервера под freebsd от 3 до 10 т руб (с НДС), очень надеюсь что оборудование сопоставимой аппаратной
конфигурации ( за 200 с лишним т.р.) на базе linux с этим тоже справится :)
В принципе хотелось-бы получить разъяснение разработчиков насколько развитие этого продукта учитывает наши типовые потребности, поскольку настройки по-умолчанию соответствуют задачам решаемым бытовым роутером в пластиковом корпусе за 1000 руб

Теперь о грустном, настроил в соответствии с короткой 14-страничной инструкцией "Руководство по установке и быстрому запуску Версия ПО 1.0.4"
не нашел в ней пароля по умолчанию, потерял время на перечитывание 2-раза, сходил в "Руководство по эксплуатации, версия ПО 1.0.4" - нашел
поменял пароли - вроде все в порядке, можно ставить в сеть и заниматься удаленной сетевой настройкой

При входе ругается
2000 May 16 13:11:00 esr-1000 lastlog_openseek: Couldn't stat /var/log/lastlog: No such file or directory
Не критично, но нашел в документации как выскочить в linux shell, чтобы посмотреть что там

Теперь о совсем грустном - на следующий день нашел в системе неописанного в документации пользователя, попробовал словарный пароль - подошел ;((
захожу под ним по ssh - бинго! у меня bash, su - не проходит, sudo su - бинго! у меня root! смотрю в /etc/passwd /etc/shadow и понимаю что у root тот-же словарный пароль... правда по ssh не пускает, но это может где-то в другом месть "сыграть"

В документации ни слова, с учетом постоянного аврала мог такую железку настроить, установить и забыть про нее на неопределенное время.
Интересно, сколько таких устройств уже стоит, поставленных как описано выше?
Полагаю на такое можно вообще инцидент в CERT открывать.

Ну надо хотя-бы документации по быстрой настройке привести в адекватное состояние:
1) указать пароль по умолчанию
2) указать всех системных пользователей которым надо менять пароли
3) сказать как выскочить в bash, чтобы посмотреть что еще надо заткнуть.

Еще желательно указать там-же как быстро отключить и/или перенастроить dhcp и как настроить простейшую AS на одну /24 и поднять BGP с двумя peer-ами, полагаю это не займет больше 2-х страниц.

P.S. я конечно не всю документацию прочитал, мог что-то упустить, но в QuickStart это должно быть обязательно
---
Евстропов А.В. (aka Eustrop)
CTO GlavSV.ru

vanr
Сообщения: 10
Зарегистрирован: 10 апр 2015 11:43
Reputation: 0
Откуда: Элтекс

Re: ESR-1000 тестирование, вопросы безопасности, адекв. зада

Сообщение vanr » 16 июн 2015 11:25

Добрый день!

eustrop писал(а):Взяли ESR-1000 на тестирование, с задачей использования его в качестве пограничного и корневого на сети небольшого оператора связи. Задачи типовые - BGP с пирами-транзитами, подключение к IX-ам, внутренняя статическая и динамическая маршрутизация.

По адекватности моим задачам меня несколько озадачила и напугала мнение производителя о его неполном (пока) соответствии, но обнадеживает "пока" ;)
поскольку "пока" с моими задачами справляются бу сервера под freebsd от 3 до 10 т руб (с НДС), очень надеюсь что оборудование сопоставимой аппаратной
конфигурации ( за 200 с лишним т.р.) на базе linux с этим тоже справится :)
В принципе хотелось-бы получить разъяснение разработчиков насколько развитие этого продукта учитывает наши типовые потребности, поскольку настройки по-умолчанию соответствуют задачам решаемым бытовым роутером в пластиковом корпусе за 1000 руб


Программное обеспечение устройств ESR-1000 на данный момент находится в стадии активной разработки и добавления функционала. Стабильный релиз 1.0.4 имеет базовые возможности по работе в указанном Вами целевом сегменте; значительно более полный функционал динамической маршрутизации будет доступен в релизе 1.0.5, рекомендуем под Ваши задачи протестировать именно его после выхода.

Заводская конфигурация маршрутизаторов построена в прицеле на быстрое развертывание в корпоративной (офисной) сети, ESR-1000 является мультисервисным устройством. Провайдер для использования в своей сети может эту конфигурацию либо доработать под свои нужды, либо удалить её и построить заново, с использованием только необходимых блоков.

eustrop писал(а):Теперь о грустном, настроил в соответствии с короткой 14-страничной инструкцией "Руководство по установке и быстрому запуску Версия ПО 1.0.4"
не нашел в ней пароля по умолчанию, потерял время на перечитывание 2-раза, сходил в "Руководство по эксплуатации, версия ПО 1.0.4" - нашел
поменял пароли - вроде все в порядке, можно ставить в сеть и заниматься удаленной сетевой настройкой

При входе ругается
2000 May 16 13:11:00 esr-1000 lastlog_openseek: Couldn't stat /var/log/lastlog: No such file or directory
Не критично, но нашел в документации как выскочить в linux shell, чтобы посмотреть что там

Теперь о совсем грустном - на следующий день нашел в системе неописанного в документации пользователя, попробовал словарный пароль - подошел ;((
захожу под ним по ssh - бинго! у меня bash, su - не проходит, sudo su - бинго! у меня root! смотрю в /etc/passwd /etc/shadow и понимаю что у root тот-же словарный пароль... правда по ssh не пускает, но это может где-то в другом месть "сыграть"

В документации ни слова, с учетом постоянного аврала мог такую железку настроить, установить и забыть про нее на неопределенное время.
Интересно, сколько таких устройств уже стоит, поставленных как описано выше?
Полагаю на такое можно вообще инцидент в CERT открывать.


Linux-шелл в системе действительно есть (ведь не удивляет его наличие и возможность включения в том же IOS XE?), и указанные возможности входа использовались в ранних версиях ПО маршрутизатора. Использовались они для осуществления технической поддержки и расширенной диагностики устройств на этих ранних этапах развития линейки. В нынешних версиях ПО необходимость наличия данных точек входа уже снизилась до значительного минимума; и в ближайшее время они будут отключены полностью.

Что касается опасности этих точек, то она несколько преувеличена – стоит хотя бы снова вспомнить ту заводскую конфигурацию, которая установлена в устройствах. Данная конфигурация обеспечивает достаточный сетевой уровень защиты для корпоративного применения, а для операторов наилучшей практикой является максимальная изоляция “сети управления” от пользовательского трафика (в том числе от сети Интернет) – в частности, при помощи списков доступа и зон безопасности. Вряд ли можно “спать спокойно”, если устройства сети открыты своими двадцать вторым и двадцать третьим портом во весь мир, какими бы сильными ни были пароли пользователей. Думаю, тут Вы со мной согласитесь.

eustrop писал(а):Ну надо хотя-бы документации по быстрой настройке привести в адекватное состояние:
1) указать пароль по умолчанию
2) указать всех системных пользователей которым надо менять пароли
3) сказать как выскочить в bash, чтобы посмотреть что еще надо заткнуть.


Пароль по умолчанию уже внесен в Руководство по установке и быстрому запуску для версии 1.0.5. Что касается второго и третьего пункта – то здесь мы, как я уже упоминал, движемся скорее в сторону отключения возможностей доступа к нижним уровням программного обеспечения устройств, за ненадобностью. Ведь наш продукт – это не Linux в 19”-корпусе, а комплексное и гибкое сетевое устройство с соответствующим командным интерфейсом.

eustrop писал(а):Еще желательно указать там-же как быстро отключить и/или перенастроить dhcp и как настроить простейшую AS на одну /24 и поднять BGP с двумя peer-ами, полагаю это не займет больше 2-х страниц.

P.S. я конечно не всю документацию прочитал, мог что-то упустить, но в QuickStart это должно быть обязательно


Вопросы, затрагивающие конфигурирование BGP и DHCP-серверов, уже не вполне относятся к тематике Quick Start; примеры такой настройки приведены в более расширенном документе - “Руководстве пользователя”.
Иван Макаренко / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru

eustrop
Сообщения: 8
Зарегистрирован: 31 май 2015 06:35
Reputation: 0
Откуда: GlavSV.ru
Контактная информация:

Re: ESR-1000 тестирование, вопросы безопасности, адекв. зада

Сообщение eustrop » 22 июн 2015 03:09

Пожалуй в документацию следует добавить раздел или лучше отдельный документ troubleshooting
а) нужно описать процедуру переключения между образами прошивок image-1 и image-2 из uboot
б) описать процедуру работу загрузчиков, что и как можно сделать из xloader, что и как из u-boot

и для документации не хватает html версии, с pdf на 400 страниц работать неудобно,
а печатать его смысла нет - он меняется часто. Это кстати всех продуктов касается.

пункт "а" мне сейчас очень актуален для дальнейшего тестирования (как откатиться на старую прошивку ESR-1000)
---
Евстропов А.В. (aka Eustrop)
CTO GlavSV.ru

ArcticFox
Сообщения: 45
Зарегистрирован: 15 окт 2015 03:50
Reputation: 0

Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам

Сообщение ArcticFox » 06 ноя 2015 03:13

Наличие шелла является безусловным плюсом.
Конфигурация демонов и среды немного сомнительны. Хотя в целом связка класическая, и чего наверное не хватает - это некоторого выпрямления CLI и вычищения среды.

kriostar
Сообщения: 1
Зарегистрирован: 19 мар 2016 04:44
Reputation: 0

Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам

Сообщение kriostar » 19 мар 2016 04:48

Да только цену увидел, перекрестился!!! Лучше Juniper и цена ниже. Да и у старого-доброго микротика рулей поболе.
Господа опомнитесь!!! Будьте людьми!!!
P/S функционал ниже чем у микротика за 40 тыр. рублей. И ВАМ не стыдно?

Никита717
Сообщения: 29
Зарегистрирован: 30 ноя 2015 14:01
Reputation: 0

Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам

Сообщение Никита717 » 22 мар 2016 09:45

kriostar писал(а):Да только цену увидел, перекрестился!!! Лучше Juniper и цена ниже. Да и у старого-доброго микротика рулей поболе.
Господа опомнитесь!!! Будьте людьми!!!
P/S функционал ниже чем у микротика за 40 тыр. рублей. И ВАМ не стыдно?


Скажите на какой маршрутизатор вы получили цену? Можете обратиться в коммерческий отдел Элтекс, для получения актуальных цен.

lumen
Сообщения: 16
Зарегистрирован: 26 мар 2015 10:14
Reputation: 0

Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам

Сообщение lumen » 06 май 2016 10:48

Добрый день! Подскажите 1.0.6.47 на esr-1000 это последняя прошивка или есть что-то новее?

leonid_zarkov
Сообщения: 179
Зарегистрирован: 25 янв 2016 14:10
Reputation: 0
Откуда: Элтекс

Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам

Сообщение leonid_zarkov » 06 май 2016 13:40

lumen писал(а):Добрый день! Подскажите 1.0.6.47 на esr-1000 это последняя прошивка или есть что-то новее?

Здравствуйте!
Предрелизная версия ПО 1.0.7 доступна на нашем FTP сервере.
Если есть необходимость обновиться до версии 1.0.7, обращайтесь в личку для получения доступа к FTP.
Леонид Зарков / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru

lumen
Сообщения: 16
Зарегистрирован: 26 мар 2015 10:14
Reputation: 0

Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам

Сообщение lumen » 06 май 2016 19:57

Кстати возник еще вопрос , пока только изучаю докумнетацию, но возможно использование без секьюрити зон, просто настроить как бордер , прописать нужные ип алерса на интерфейсах и маршруты?
И сколько в него full-view влезит?

leonid_zarkov
Сообщения: 179
Зарегистрирован: 25 янв 2016 14:10
Reputation: 0
Откуда: Элтекс

Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам

Сообщение leonid_zarkov » 10 май 2016 09:29

lumen писал(а):Кстати возник еще вопрос , пока только изучаю докумнетацию, но возможно использование без секьюрити зон, просто настроить как бордер , прописать нужные ип алерса на интерфейсах и маршруты?

Добрый день.
Необходимо отключить Firewall на интерфейсах:

Код: Выделить всё

 (config-if-gi)# ip firewall disable

lumen писал(а):И сколько в него full-view влезит?

Для ESR-1000 RIB BGP ограничена 2600000 маршрутами, для четырех full-view этого должно хватить.
Леонид Зарков / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru

lumen
Сообщения: 16
Зарегистрирован: 26 мар 2015 10:14
Reputation: 0

Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам

Сообщение lumen » 10 май 2016 10:38

Спасибо
Кстати не могу добавить object-group-n для создания route map

Код: Выделить всё

esr-1000(config-object-group-network)# ip prefix 0.0.0.0/0
Syntax error: Illegal parameter

Код: Выделить всё

sho ver
SW version:
  1.0.6 build 47[aeeef3d] (date 22/09/2015 time 17:52:17)
HW version:
  1v7

И на tftp конфиг почему не выгружает

Код: Выделить всё

esr-1000# copy fs://running-config tftp://10.80.0.204/esr1000.cfg
TFTP URL syntax: 'tftp://HOST[%interface(for ipv6 link-local only)][PORT*]:/FILE'
* You can specify a port through the '#' or ':'(HOST for ipv6 address must be enclosed in '[]')


конфиг получилось сохранить, вот так

Код: Выделить всё

copy fs://running-config tftp://10.80.0.204:/esr1000.cfg

leonid_zarkov
Сообщения: 179
Зарегистрирован: 25 янв 2016 14:10
Reputation: 0
Откуда: Элтекс

Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам

Сообщение leonid_zarkov » 10 май 2016 14:34

lumen писал(а):Спасибо
Кстати не могу добавить object-group-n для создания route map

Код: Выделить всё

esr-1000(config-object-group-network)# ip prefix 0.0.0.0/0
Syntax error: Illegal parameter



Возможно вам нужно это:

Код: Выделить всё

 
(config)# ip prefix-list <name>
(config-pl)# permit default-route
(config-pl)# exit


Первый раз при копировании забыли " : "
'tftp://HOST[%interface(for ipv6 link-local only)][PORT*]:/FILE'
Леонид Зарков / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru

lumen
Сообщения: 16
Зарегистрирован: 26 мар 2015 10:14
Reputation: 0

Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам

Сообщение lumen » 11 май 2016 11:22

А как применить prefix-list в роуте мап?

Код: Выделить всё

esr-1000(config-route-map-rule)# match ip
  access-group  Match criteria in the rule from the access list
  address       Match subnet of route
  next-hop      Match next-hop address of route
  route-source  Match advertising source address of route


Или просто сразу на нейбора

Код: Выделить всё

esr-1000(config-bgp-neighbor)# prefix-list default
  DIRECTION  Select direction:
                in      routes coming from the neighbor
                out     routes outgoing to the neighbor

esr-1000(config-bgp-neighbor)# prefix-list default in

leonid_zarkov
Сообщения: 179
Зарегистрирован: 25 янв 2016 14:10
Reputation: 0
Откуда: Элтекс

Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам

Сообщение leonid_zarkov » 11 май 2016 13:46

lumen писал(а):Или просто сразу на нейбора

Код: Выделить всё

esr-1000(config-bgp-neighbor)# prefix-list default
  DIRECTION  Select direction:
                in      routes coming from the neighbor
                out     routes outgoing to the neighbor

esr-1000(config-bgp-neighbor)# prefix-list default in

Prefix-list применяем к соседу.
Леонид Зарков / Элтекс / Сервисный центр ШПД / techsupp@eltex.nsk.ru

lumen
Сообщения: 16
Зарегистрирован: 26 мар 2015 10:14
Reputation: 0

Re: ESR-1000 тестирование, вопросы безопасности, адекв. задачам

Сообщение lumen » 11 май 2016 16:42

Спасибо.
А вот что-то подобное не подскажите как сделать?

Код: Выделить всё

 ip prefix-list all-net
  seq 10 permit any


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 20 гостей