сисадмины шутят
Суть такова: в офисе у меня стоит роутер Mikrotik и на нем я поднял pptp-сервер, чтобы удобно и безболезненно можно было лазить в уютненькую локалочку из всяческих ебеней например. Ну не суть. Суть в том, что интерфейсом pptp-provider оно смотрит в локалку провайдера. И тут начинается..
Открыл консоль с логами роутера и немного ошалел. Непрекращающимся потоком валились попытки авторизации от роутеров клиентов моего провайдера - это было видно по формату логинов, которые фиксирует мой роутер. Можно было конечно собрать до кучи все пароли, но я чту уголовный кодекс. Дело в том, что клиентские роутеры почему-то ВНЕЗАПНО стали предпочитать авторизовываться не на провайдерском VPN-сервре, а на моем, а это чревато ональной карой от провайдера. Моему конечно на все насрать, но больше озабочен я почему-то. Ведь моем КЛИЕНТСКОЕ устройство генерирует проблемы в локальном сегменте провайдера. Начал рыть тему.
Итак.
Когда-то давно я слышал о том, что умное сетевое оборудование умеет дружить. Высовывает свое ебало в сетку и грит ЗДРАСЬТИ НАХУЙ! ДОВАЙТЕ ДРУЖИТЬ! СО МНОЙ ПИЖЖЭ, ЧЕМ БЕЗ МЕНЯ! МЫТИЩИ! ХАРДКОР!
В терминологии CISCO это называется CDP (Cisco Discovery Protocol) - роутеры маршрутизаторы видят друг дргуа. Согласно спекам:
"Устройство посылает мультикаст-анонс (advertisement) на MAC-адрес 01-00-0c-cc-cc-cc. В конфигурации по умолчанию анонсы рассылаются каждые 60 секунд на порты Ethernet, Frame Relay и ATM. Протокол CDP обеспечивает получение информации о каждом соседнем устройстве путём передачи информации в формате TLV (Type Length Value - запись тип - длина - значение). Записи TLV - это блоки информации, внедрённые в CDP анонсы. Значения TLV конкретного устройства включают в себя такую информацию:
Идентификатор устройства;
Номер и тип локального интерфейса;
Время удержания информации (время, по истечению которого записи из CDP-таблицы удаляются);
Тип устройства (маршрутизатор, коммутатор, сетевой мост и т.д.);
Физическую платформу устройства (модель подключенного устройства, например, Сisco 2961);
Номер и тип удаленного интерфейса;
Доменное имя VTP (только в случае использования протокола CDPv2);
Номер собственной сети VLAN (только в случае использования протокола CDPv2);
Информацию о дуплексности соединения (только в случае использования протокола CDPv2)."
В терминоголии Mikrotik это называется MikroTik Neighbor Discovery protocol (MNDP) и оно allows to "find" other devices compatible with MNDP or CDP (Cisco Discovery Protocol) in Layer2 broadcast domain.
Собственно это и было включено на интерфейсе pptp-wan.
Достаточно было ввести команду:
/ip neighbor discovery set pptp-wan discover=no
чтобы все стало шоколадненько, джаз и нос в табаке.
Ну и итог:
/ip neighbor> discovery print detail
Flags: X - disabled
0 X name=ether1-gateway discover=no
1 name=ether2-master-local discover=yes
2 name=ether3-slave-local discover=yes
3 name=ether4-slave-local discover=yes
4 name=ether5-slave-local discover=yes
5 name=wlan1 discover=yes
6 name=bridge-local discover=yes
7 X name=pptp-wan discover=no
Теперь вывод: наркоманы, называющие себя архитекторами сети, должны понимать, какую брешь они оставили. Ведь если мне предоставлены попытки авторизации их клиентов - я могу без зазрения совести собрать ВСЕ доступные мне в моем сегменте пары login/password и по-совести это даже не атака, а так, детские игрульки.
Ну и раз уж сегодня день микротика - заставил его по наводке кореша играть супермарио консольными командами =))
втыкаем, тащемсо, торчим. щколоте не понять, олдфаги пруцца11
Открыл консоль с логами роутера и немного ошалел. Непрекращающимся потоком валились попытки авторизации от роутеров клиентов моего провайдера - это было видно по формату логинов, которые фиксирует мой роутер. Можно было конечно собрать до кучи все пароли, но я чту уголовный кодекс. Дело в том, что клиентские роутеры почему-то ВНЕЗАПНО стали предпочитать авторизовываться не на провайдерском VPN-сервре, а на моем, а это чревато ональной карой от провайдера. Моему конечно на все насрать, но больше озабочен я почему-то. Ведь моем КЛИЕНТСКОЕ устройство генерирует проблемы в локальном сегменте провайдера. Начал рыть тему.
Итак.
Когда-то давно я слышал о том, что умное сетевое оборудование умеет дружить. Высовывает свое ебало в сетку и грит ЗДРАСЬТИ НАХУЙ! ДОВАЙТЕ ДРУЖИТЬ! СО МНОЙ ПИЖЖЭ, ЧЕМ БЕЗ МЕНЯ! МЫТИЩИ! ХАРДКОР!
В терминологии CISCO это называется CDP (Cisco Discovery Protocol) - роутеры маршрутизаторы видят друг дргуа. Согласно спекам:
"Устройство посылает мультикаст-анонс (advertisement) на MAC-адрес 01-00-0c-cc-cc-cc. В конфигурации по умолчанию анонсы рассылаются каждые 60 секунд на порты Ethernet, Frame Relay и ATM. Протокол CDP обеспечивает получение информации о каждом соседнем устройстве путём передачи информации в формате TLV (Type Length Value - запись тип - длина - значение). Записи TLV - это блоки информации, внедрённые в CDP анонсы. Значения TLV конкретного устройства включают в себя такую информацию:
Идентификатор устройства;
Номер и тип локального интерфейса;
Время удержания информации (время, по истечению которого записи из CDP-таблицы удаляются);
Тип устройства (маршрутизатор, коммутатор, сетевой мост и т.д.);
Физическую платформу устройства (модель подключенного устройства, например, Сisco 2961);
Номер и тип удаленного интерфейса;
Доменное имя VTP (только в случае использования протокола CDPv2);
Номер собственной сети VLAN (только в случае использования протокола CDPv2);
Информацию о дуплексности соединения (только в случае использования протокола CDPv2)."
В терминоголии Mikrotik это называется MikroTik Neighbor Discovery protocol (MNDP) и оно allows to "find" other devices compatible with MNDP or CDP (Cisco Discovery Protocol) in Layer2 broadcast domain.
Собственно это и было включено на интерфейсе pptp-wan.
Достаточно было ввести команду:
/ip neighbor discovery set pptp-wan discover=no
чтобы все стало шоколадненько, джаз и нос в табаке.
Ну и итог:
/ip neighbor> discovery print detail
Flags: X - disabled
0 X name=ether1-gateway discover=no
1 name=ether2-master-local discover=yes
2 name=ether3-slave-local discover=yes
3 name=ether4-slave-local discover=yes
4 name=ether5-slave-local discover=yes
5 name=wlan1 discover=yes
6 name=bridge-local discover=yes
7 X name=pptp-wan discover=no
Теперь вывод: наркоманы, называющие себя архитекторами сети, должны понимать, какую брешь они оставили. Ведь если мне предоставлены попытки авторизации их клиентов - я могу без зазрения совести собрать ВСЕ доступные мне в моем сегменте пары login/password и по-совести это даже не атака, а так, детские игрульки.
Ну и раз уж сегодня день микротика - заставил его по наводке кореша играть супермарио консольными командами =))
втыкаем, тащемсо, торчим. щколоте не понять, олдфаги пруцца11
Click to view