Příspěvky

31

Server / Re:Dell iDRAC mgmt - attack vector ze systému přes iDRAC do sítě?

« kdy: 21. 11. 2021, 23:39:08 »

Jak jsem uváděl v dotazu - zajímají mě jenom možnosti útoku:

  síť -> OS -> iDRAC -> mgmt. -> vnitřní síť organizace

že je děravý samotný iDRAC je bez pochyb, protože je to naprogramováno mám pocit čím dál tím dementnějším způsobem, ale to je v tuhle chvíli vedlejší...

To že lze v rámci VLANy izolovat jednotlivé porty je prý na Cisco switchích možné. Je na to potřeba nějaké speciální nastavení a pak se zařízení v dané VLANě mezi sebou nevidí. Nicméně to asi na bezpečností experty neudělá dojem. Firewall je sice dtto, protože je to krabice s rozhraními strčenými do různých bezpečnostních perimetrů, ale asi má v jejich očích nějaký jiný statut. Ačkoliv při použití zdravého selského rozumu... :-)

32

Server / Re:Dell iDRAC mgmt - attack vector ze systému přes iDRAC do sítě?

« kdy: 21. 11. 2021, 12:52:04 »

Tak nikdo nic?  Zatím se asi takový útok nepodařil. Možná ani není možný, ale pravidla kolem těch bezp. perimetrů jsou holt daná. Budeme se chovat k mgmt. rozhraní jakoby z něj mohl být veden útok do sítě...

33

Server / Dell iDRAC mgmt - attack vector ze systému přes iDRAC do sítě?

« kdy: 19. 11. 2021, 16:01:32 »

Zdravím, narazil jsem na asi už dost paranoidní obavu z možného útoku z operačního systému běžícího na Dell serveru skrz management board do sítě přes management rozhraní iDRACu.  Bezpečnostní experti v mém okolí se totiž drží pravidla, že každý box má být připojen všemi rozhraními v odpovídajícím bezpečnostním perimetru. Dívají se odmítavě na možnost, že server vystrčený do Internetu bez předřazeného firewallu svými systémovými rozhraními by měl být management rozhraním připojen do administračního segmentu, kam jsou zapojené všechny ostatní management rozhraní z dalších serverů. Snad to píši srozumitelně.

Samozřejmě se nedoporučuje strkat management rozhraní do nezabezpečeného segment, protože to je closed blackbox o jehož bezpečnosti toho ví nejvíce Dell. Tam je to riziko samozřejmé a jasné. A díry v něm již byly a jsou.

Na druhou stranu, pokud to v Dellu blbě navrhli, tak je teoretická možnost prorazit ze systému tím managementem do interní sítě.

Slyšel, četl o tom již někdo někde, že by se něco takového podařilo? Jen ze zvědavosti. Já se budu držet pravidla o tom bezp. perimetru a zapojíme to jak nám nařídí do jiného extra segmentu. :-)

34

Software / Re:Dohledový systém

« kdy: 06. 01. 2021, 19:45:37 »

Hodil bych oko i na https://checkmk.com/. Má to RAW edition, která je OpenSource a používáme to. Výhoda je, že to je značně přímočaré. Samo si to zinventorizuje co najde a sleduje. V té RAW verzi běží uvnitř starý Nagios, ale na vrchu je dosti vymakaný frontend. Teď začátkem roku má vyjít verze 2, která už bude přepsaná do Pythonu 3...

35

Bazar / Re:Prodám 2 ks DVB-T2 tuneru MyGica T230

« kdy: 10. 04. 2020, 21:16:07 »

Já bych prosím bral. Detaily na vaclav.ovsik@gmail.com. Díky

36

Hardware / Re:Astrometa DVB-T2 ladí jen DVB-T

« kdy: 19. 01. 2020, 20:20:47 »

Nainstaluj si z backportů poslední jádro. Tam to jede rovnou, jenom zbývá poslední zádrhej při rebootu, kdy se tam nějak časově blbě inicializují tuner a dekodér, což jsem pořešil přes systemd servicu a modul reloadnul a od té doby je to OK. Nechtělo se mi kompilovat modul pro aktuální jádro... Já tedy jedu pod televizí testing...

Kód: [Vybrat]

vdr:/etc/systemd/system# cat reload-dvb-t-dongle.service 
[Unit]
Description=Reloading of kernel module rtl28xx (module bug workaround)

[Service]
Type=oneshot
ExecStart=-modprobe -r rtl2832_sdr
ExecStart=-modprobe -r dvb_usb_rtl28xxu 
ExecStart=sleep 0.5
ExecStart=modprobe dvb_usb_rtl28xxu

[Install]
WantedBy=multi-user.target