מחשב חזק לפיתוח עם לינוקס (עדיף UBUNTU)

פורום רשתות, IT ומחשוב כללי - רשתות, ראוטרים, מחשבים ניידים, אביזרים וכו'.
arotman
סמל אישי של משתמש
חבר במועדון HT
חבר במועדון HT
הודעות: 3573
הצטרף: ינואר 2005
שם מלא: אריה רוטמן
מיקום: כפר חב"ד
נתן תודות: 412 פעמים
קיבל תודות: 359 פעמים
יצירת קשר:

נושא שלא נקרא #16 

@sys_admin
·
אני לא יודע במקרה זה, המשווק של Cisco ביקש את חוות הדעת שלי אני רק קיבלתי צילום מסך של לוג מהעלייה או יותר נכון מאי העליה של המתג עם השגיאה... ציינתי שניתן לנסות לבצע מחיקה של האחסון ולנסות העלאה של הקושחה המתאימה מאפס אבל אם המתג הגיע אכן כך DOA ולא עבד לפני, המלצתי להחזיר ליצרן.
יוצא לי לתצר מתגים של דילינק, נטגיר, HP, ארובה ולצערי גם קצת מסדרת ה SG של Cisco רחמנא ליצלן "כאילו Cisco",כפי שציינתי מאוד נדיר בכלל היום לקבל מתג של כל יצרן ש Out Of The Box יגיע תקול, די מוזר, זה מה שאני קיבלתי.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #17 

למרות שמדובר על סדרה של מתגי כניסה הזולים של CISCO, שמחירם הוא בין 1300 ל 4000 דולר, לפי כמות הפורטים, אבל עדיין זה די נדיר שמכשיר מגיע תקול מהיצרן.
בדרך כלל הנוהל הרגיל של CISCO , הוא לעדכן את ה IOS לגרסה אחרונה, אם באמת מדובר על סדרה של 9300 ולא על סדרה 930, אז בטח כבר התקנת את אחת הגרסאות מה IOS XE Amsterdam 17.2.1 .
האם גם בה מופיעה אותה ההודעה ?
אם כן, האם כבר אותו מנהל מכירות של CISCO ישראל, שממנו רכשת את המוצר דאג שיצרו אתך קשר מ CISCO העולמית בכדי לתחקר את המקרה ? אם כבר דיברת אתם והם בדקו את המכשיר מרחוק, מה היו המסכנות שלהם? כי מנגנון RTC במכשיר, הוא קשור לכמה רכיבים שדי נדיר מגיעים כלא תקינים במוצר חדש, אלה, אם כן, זה אפשרי יותר במוצר שהיה מאוחסן זמן ממושך בתנאים לא מתאימים.

arotman
סמל אישי של משתמש
חבר במועדון HT
חבר במועדון HT
הודעות: 3573
הצטרף: ינואר 2005
שם מלא: אריה רוטמן
מיקום: כפר חב"ד
נתן תודות: 412 פעמים
קיבל תודות: 359 פעמים
יצירת קשר:

נושא שלא נקרא #18 

@sys_admin
·
תודה על הרצון לסייע אבל כפי שכתבתי אני לא ראיתי את המוצר בכלל אלא לקוח של משווק, המשווק העביר לי את צילום המסך.

בד"כ ב Cisco אני לא ממהר להתקין את הגירסא האחרונה אלא את הגירסא שהיא Recommended
על ידי סיסקו באתר, אלא אם כן נדרשת תכונה שאינה קיימת בקושחה המומלצת. פה נמסר לי שמדובר בדגם 9300 עם 48 מבואות. מעבר לכך זה מסוג הציוד שבד"כ אתה משדרג, מתצר ושוכח ממנו לכמה שנים טובות..

אגב באתרים שאני עובד בד"כ מדובר אולי ב"מתגי הכניסה" של סיסקו אבל יש מעט מאוד לקוחות שאני מכיר חוץ מ ISP
ואתרי מחשוב גדולים שמרשים לעצמם לרכוש Nexus וגם היום המגמה היא לעבור לאתרים המאוחסנים בענן לבטח חברות של מאות עובדים.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #19 

אחת הנקודות המרכזיות באסטרטגיית ניהול של מערכות מידע בהיבט של תשתיות טכנולוגיות בהקשר של ציודי CISCO, היא לעדכן את התוכנה בציודים אלה, לזו שהכי מעודכנת ושוחררה על ידי היצרן. עיקר החשיבות של עדכונים אלה היא לא בגלל האפשרויות החדשות שמתווספות בגרסאות FIRMWARE החדשות, אלה בגלל ה שטופול בהן בחולשות אבטחה שהתגלו בגרסאות הקודמות. זה דבר קריטי בהיבט של אבטחת מידע בארגון. כמובן שאת העדכונים אלה לא עושים בצורה ידנית, כמו שגם לא מגדירים בצורה ידנית את הציודים של CISCO, מעבר להגדרה בסיסית ראשונית. כל ציוד של CISCO ברגע שמחובר לרשת ניהול של הארגון, מקבל אוטומטית את ההגדרות הנדרשות בשבילו ואת קובץ המעודכן של ה FIRMWARE שלו ממערכת שו''ב הארגונית. גם במשך הזמן כל העדכני IOS מתבצעים אוטומטית ורוחבית לכל הציודי CISCO שקיימים בחברה דרך מערכת שו''ב שמותקנת בחברה.
את המנגנון זה ניתן להשוות ל TR-069 , שבו משתמשים ספקי תשתיות וספקי אינטרנט לשוק הביתי. גם שם מספיק לחבר את הציוד קצה בבית הלקוח ולחבר אותו לקו של ספק התשתית, בכדי שהמערכת שליטה מרכזית של הספק תגדיר אותו בצורה מלאה עם כל הפרטים הנדרשים של הלקוח ואם כל האפשרויות, כמו חיבור לאינטרנט, הגדרות רשת שונות, חיבור של השלוחה למרכזיית IP וכו'.
במערכת שו''ב ארגונית, מדובר על אותו התהליך, רק עם הרבה יותר אפשרויות, יותר גמישות ותמיכה בסוגי ציודים השונים ולהתממשקות למערכות שונות חיצוניות לצורך של שליטה ואבחונים שונים. זה גם אחד השיקולים שבגללו משתמשים בציוד של CISCO, מכיוון שיותר קל להטמיע אותו במערכת זו וגם יש כבר מראש בשבילו יותר תבניות מוכנות מראש.
כך, שאם אתה רואה חברה, שבה כל הציודי רשת של CISCO מגדירים ומעדכנים בהם תוכנה בצורה ידנית, אז זה סימן שבחבר זו אין בכלל מי שמתווה אסטרטגיה ארגונית בנושא של תשתיות תקשורת ומה שקורה בה, זה שכל טכנאי מחשבים מבית או מחוץ עושה את מה שהוא רוצה ומגדיר את הציוד ידני, לפי ראות עיניו, עם כל ההשלכות לכך בטווח הארוך.

בקשר למתגי שבסדרת NEXUS של CISCO, אז ברוב הארגוני ENTERPRISE, לא רק במטה של הארגון, בחלק של CORE של הרשת, אלה גם בסניפים שלהם, אני לרוב משתמש בהם. כמובן שלא לחלק ACCESS של הרשת ארגונית.

בקשר לחברות שמעבירות את כל המערך השרתים שלהם לענן, זה עדיין לא משנה את הרשת הפנימית שלהם, אלה שזה, גם דורש קווי גישה לאינטרנט מאוד רחבים, מכיוון שאותו הענן צריך להיות מחובר כחלק של LAN ארגוני. כך שמעבר לענן, הוא יקר מאוד, אם לוקחים בחשבון את המחיר שלקווי תמסורת נדרשים או שהוא גורם לירידה דרסטית ביכולות העבודה השוטפת, אם משתמשים בקווי גישה לאינטרנט שלא מתאימים לנושא. גם במעבר לעבודה בענן, הנושא של פתרונות האבטחת מידע מתחיל להיות מאד רחב ומצריך השקעות גדולות ביותר.

arotman
סמל אישי של משתמש
חבר במועדון HT
חבר במועדון HT
הודעות: 3573
הצטרף: ינואר 2005
שם מלא: אריה רוטמן
מיקום: כפר חב"ד
נתן תודות: 412 פעמים
קיבל תודות: 359 פעמים
יצירת קשר:

נושא שלא נקרא #20 

עד היום רוב המערכות שהגדרתי ב Cisco הם מערכות מבודדות בדרישה, ללא גישה לאינטרנט או לגישה לרשת הלקוח כולל התקנים של חברת HSL לכל התקן שמחובר אפילו בעקיפין והדבר הראשון שאני מבצע זה לבטל את את פונקציית ה Call Home ומוחק כל דבר שאין בו צורך במתג, (אם הייתי יכול הייתי מבטל לחלוטין את יכולות ה VRF) וכמובן מאבטח את הגישה ב Console ו ב SSH אם הלקוח בכלל מאשר זאת.. אין חיבור לרדיוס ארגוני או אפילו לשו"ב ארגוני אלא אם כן הלקוח דורש זאת ואז זה יהיה בפורט יעודי ומבודד. ובמצב הרגיל, אף אחד לא אמור לגשת לניהול המתגים בכלל אלא אם כן יש בעיה....ברור שבארגון גדול אתה רוצה לנהל עדכוני אבטחה ולוגים ממיקום מרכזי, צריך לזכור גם שהמתגים היום מריצים מערכת הפעלה שלמה עם יכולות גדולות משמעותית מבעבר וכפי שציינת מהווים נקודה קריטית לאבטחה, יחד עם זאת בארגון בטחוני עם רשת מבודדת ובד"כ כמה רשתות מבודדות, מניסיוני בעבר לאחר התקנה ובדיקות לא ממהרים לגעת בקושחה של שום דבר וגם הפרוצדורה אפילו להכניס או לאשר עדכון לכל ציוד היא לא תמיד פשוטה...

ראיתי שבאחד מגרסאות הקושחה האחרונות התווספה גם פונקצייה של NAT, הרגו אותי:) הרי המתגים האלה יכולים לשמש כנתב חזק כבקר אלחוטי וכו" אבל ממש לא Firewall ולמרות שלא קשור, עדיין מיותר לטעמי כמו גם 95 אחוז מהיכולות שמכניסים ל IOS, מבחינת אבטחה זה כאב ראש גדול יותר ולטעמי רק גורע ומייצר בפוטנצייה יותר פרצות אפשריות במערכת ההפעלה של Cisco. הרי בסופו של דבר מדובר יותר במכונה של תוכנה מאשר חומרה ואין לנו גישה לשכבה מתחת ל CLI שהוא לגישתי Command interrupter לכל דבר ועניין.
נערך לאחרונה על ידי arotman ב 06/05/2020 15:39, נערך פעם 1 בסך הכל.

Huber
סמל אישי של משתמש
חבר במועדון HT
חבר במועדון HT
הודעות: 70328
הצטרף: מאי 2005
שם מלא: ערן
נתן תודות: 518 פעמים
קיבל תודות: 4198 פעמים

נושא שלא נקרא #21 

לפי זה מעבדי AMD מהסידרה האחרונה ששוחררה יהיו הרבה יותר יעילים בקומפילציית קוד:

?t=503

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #22 

@arotman
·
בקשר לארגונים הבטחוניים, במיוחד שם דבר ראשון שממנו מתחילים לתכנן את כל הרשת, זה מהמערכת שו''ב ארגונית, שעלייה מחוברים כל הרכיבי רשת שיש בה. ואחד החלקים המהותיים במערכת שו''ב זו, זה עדכוני FIRMWARE מרכזיים וניהול תצורה מרכזי לכל הרכיבי רשת הרבים שיש בה. זה שהרשת היא מבודדת לא מונע את הטיפול בסגירת החולשות הידועות שקיימות בה. כי האיומים באים גם מתוך הרשת וניצול חולשות ידועות מתבצע במיוחד מתוך הרשת הפנימית.

בקשר למנגנונים כמו VRF, למשל. יכול VRF מלאה, זה אחד המנגנונים החשובים ושימושיים ביותר במתגים L3 שמשמשים מספר רשתות משנה שונות. כולל גם ברשתות של עסקי SMB שנמצאים בבניין משרדים, ששוכרים בו את המשרדים שמהם הם פועלים ושבדרך כלל מקבלים את שירותי תשתיות בצורה מרוכזת שהמפעיל של בניין משרדים זה. כך ורק כך ניתן לספק שירותי תשתיות LAN נפרדים לגמרי לעשרות רבות של עסקים קטנים שנמצאים במבנה משרדים אחד, לתחזק אותו, לשמור על רמת אבטחת מידע נדרשת ולהוזיל את העלויות של תשתית זו.
כמובן שבארגוני ENTERPRISE שימוש ב VRF ברמת ארגון בודד הוא עוד יותר רחב ונדרש, במיוחד בכל ארגון כזה, שיש לו חיבור לסניפים מרוחקים.

arotman
סמל אישי של משתמש
חבר במועדון HT
חבר במועדון HT
הודעות: 3573
הצטרף: ינואר 2005
שם מלא: אריה רוטמן
מיקום: כפר חב"ד
נתן תודות: 412 פעמים
קיבל תודות: 359 פעמים
יצירת קשר:

נושא שלא נקרא #23 

@sys_admin
· ברור וידוע יחד עם זאת כפי שציינתי רוב המערכות שאני מתצר הם מערכות Stand Alone מבודדות ואני אומר לך בוודאות שאף אחד לא נוגע בהם ולא מתכון לגעת במתגים. בכל מקרה רוב יצרני המתגים שאני עובד עמם גם כך לא מוציאים יותר מידי עדכונים הקשורים לאבטחה גרידא, כפי שכבר כתבתי דווקא Cisco עם מערכת הפעלה המבוססת על Linux ב CORE של המערכת ועם שרותי תוכנה לכל דבר, הרבה יותר פגיעים לטעמי. היו מספר מקרים שאחרי שתצרתי ציוד במערכת התקשרו אלי לאחר כמה שנים טובות לשאול מה הסיסמא.. הרי שנינו יודעים שלכל הגנה יש מתקפה והארגונים אמורים לבצע ניהול סיכונים, אז אם המנמ"ר בהתאם להמלצות היועץ של הפרויקט מחליט על מה הוא רוצה להוציא כסף ועל מה לא אז בתור קבלן משנה של קבלן משנה של חברה שזכתה במכרז אני רק יכול לחוות דעה, לתעד אותה ולהעביר ללקוח בשביל הקסת"ח שלי ושל מי שהביא אותי לעבודה....
היה לי גם מקרה באתר שמול הלקוח עדכנתי את היועץ ש"נאלצתי" לשנות את תצורת התכנון שלו עקב עדכון בקושחה של היצרן כדי לא להוציא את היועץ מטומטם. היה גם מקרה לא מזמן שיועץ אחר התווה תצורה מסוימת והקבלן של הפרויקט בשטח החליט על דעת עצמו לא לממש את התצורה ולמרות שהתרעתי שזה לא לפי התוכנית עד שהיועץ לא "יישר" את הקבלן אז לא בוצע,
אגב בפרויקט הזה היו כבר איזה 8 גורמים מעורבים.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #24 

@arotman
·
במקום שבו לא מעדכנים את ה IOS של CISCO , זה מקום עם חור אבטחה ענק וכפי אנו יודעים שבמקום כזה שיש בו פרצת אבטחה שקוראת לגנב, כפי שהסבירו את הגששים, שאם הפרצה קוראת לגנב, אז הוא בא. ניתן להיזכר בכל המכרים משנים האחרונות בהקשר זה. למשל מקרה בודד אחד:
Malefactors are massively exploiting a vulnerability in Cisco switches, taking down entire segments of the Web.
https://www.kaspersky.com/blog/cisco-apocalypse/21966/

Attackers Exploit Cisco Switch Issue as Vendor Warns of Yet Another Critical Flaw
https://www.darkreading.com/perimeter/a ... id/1331490

Critical flaw leaves thousands of Cisco Switches vulnerable to remote hacking
https://thehackernews.com/2018/04/cisco ... cking.html

וזו רק דוגמה אחת מהרבות בהקשר ישיר זה.
גם זה לא רק נוגע למתגים הפשוטים מסדרת CATALIST , אלה גם למתגים המתקדמים יותר מסדרת NEXUS, למשל מקרה אחד מהרבים:
Cisco Nexus 9000 Series Fabric Switches Application Centric Infrastructure Mode Default SSH Key Vulnerability
https://tools.cisco.com/security/center ... s9k-sshkey

כך שבכל מקום, שבו קיים כל ציוד רשת בכלל וציוד של CISCO בפרט, דבר ראשון שיעשה מנמ''ר בקביעת המדיניות הארגונית של מקום זה, זה לדרוש לבצע עדכוני FIRMWARE לכל ציוד רשת במקום ולא משנה, אם מדובר על מתג בודד או על אלף.
כמובן, זה שיש מקומות מאותגרים טכנולוגית שמתנהלים מבחינת מערכות מידע כמו מכולת שכונתית, ושכל טכנאי מחשבים עושה שם מה שבא לו, זה לא חדש לי, זה ידוע וזה חלק מסיפורי זוועה שאני יכול לשמוע מדי פעם אחרי שלמקום כזה מגיע לביקור מנמ''ר ומזדעזע ממה שהוא ראה שם.
גם זה ש IOS מבוסס על גרעין של LINUX , זה גם לא ייחודי רק לציודי CISCO, אלה שעל בסיס של LINUX פועלים כל המערכות הפעלה של כל הציודי רשת היום. וזה שיש יצרני מתגים שלא סוגרים את החורים שהתגלו בציוד שלהם בניגוד לאייך שעושים את זה ב CISCO וזה שיש יצרני פח שלא משקיעים בפיתוח של גרסאות FIRMWARE חדשים בהקשר זה, זה גם ידוע, אבל זו אחת הסיבות שבגללה מתגים של יצרנים כאלה גם עולים עד עשירית ממה שמתג עם תכונות דומות של CISCO עולה.
זו גם הסיבה שאף אף מנמ''ר שפוי לא יתקרב למתגים כאלה שלא משקיעים בפיתוח של FIRMWARE חדש לצורך של סגירת החולשות שהתגלו בקודמת ומעדיפים שהלקוח ירכוש פשוט מוצר חדש.
אבל אפילו אצל D-LINK בסדרות שמשמות לדברים יותר רציניים, אפילו של השוק הביתי או שוק SMB, כן משקיעים בפיתוח של גרסאות FIRMWARE חדשות בכדי לפתור בעיות בקודמות ועושות את זה במשך יותר משש שנים לצורך תמיכה באותו המוצר. זה רק דוגמה אחת ורק העדכונים הגדולים מפורטים בה:
http://files.dlink.com.au/products/DGS- ... 70.012.pdf

ובקשר לזה שברוב הפרויקטים מעורבים מספר רב של גורמים, אז זה בידוק אחד התפקידים של המנמ''ר לנהל את כל הגורמים אלה ולהפעיל אותם בצורה תקינה. בכלך פרוייקט סביר, אף אחד מהגורמים אלה לא יכול לעשות את מה שהוא רוצה, אלה את מה שהוא התחייב ומה שמנמ''ר מורה לו לעשות.

arotman
סמל אישי של משתמש
חבר במועדון HT
חבר במועדון HT
הודעות: 3573
הצטרף: ינואר 2005
שם מלא: אריה רוטמן
מיקום: כפר חב"ד
נתן תודות: 412 פעמים
קיבל תודות: 359 פעמים
יצירת קשר:

נושא שלא נקרא #25 

@sys_admin
·
שבוע טוב,
אני כמובן מודה לך על ההסברים המלומדים שלך אבל אתה משכנע את המשוכנעים במקרה זה...
כפי שציינתי אני מגיע לתצר ציודים בד"כ עבור קבלן משנה ואין לי נגיעה בד"כ לתכנון הפרויקט אלא ליישום בלבד.
אני אנסה תמיד לתת את הפיתרון הטוב ביותר מבחינת תצורה שאני יכול ולסגור כמה שיותר פינות באבטחה.
כך אני נוהג ואמשיך לנהוג אבל בסופו של דבר אני צריך להביא אוכל הביתה ולא תמיד מאפשרים לי במסגרת
יום עבודה לעשות או לבדוק את כל מה שאני רוצה, שלא לדבר על מקרים בפרויקטים שאני צריך לפתור בעיות
שאף ספק לא טרח לתת את הדעת עליהם אלא לגזור קופון וללכת, כרגיל הרבה פעמים בארץ קודם כל מוכרים פתרון
ללקוח ורק אחר כך חושבים איך לממש כראוי.
היה לי מקרה זכור מאוד במקום המאכלס עשרות אלפים באירועים והמערכות שם היו מאובטחות פחות ממכולת שכונתית...לשם הוזמנתי על ידי ספק הציוד התקשורת שהוא תחת האינטגרטור שביצע את העבודות באתר כדי לפתור בעיה לכאורה פשוטה , מסופונים שמאשרים כרטיסים לפני כניסה ולא מצליחים להגיע לשרתים ולהוריד עדכון. מה שמצאתי שם היה פשוט זוועה, מצאתי 5 אביזרים המחלקים DHCP ברשת, טכנאי של החברה שסיפקה מערכת המצלמות היה צריך אינטרנט אז קישר רשתות, שרתי ה Biling לא הופרדו משאר חלקי המערכת ושרת ה WEB נמצא בעצם על אותה הרשת..
אז אתה מדבר איתי על Patch Management למתגים.. כמובן שהוצאתי חוות דעת טכנית חריפה במסגרת הדו"ח על התקלה למרות שאף אחד לא ביקש ממני התייחסות לנושא האבטחה והעברתי דרך מזמין העבודה לאינגרטור...אז נראה לך שמישהוא התייחס לזה מלבד לתייק לקסת"ח?

שלח תגובה

חזור אל “רשתות, אינטרנט ו- Fiber”