Итак... Есть свитч DES3550 c адресом 10.10.10.5 и прошивкой 401b19.
Открываем браузер и вводим http://10.10.10.5 - видим страничку с рекламой (как же она задолбала), потом вводим урл http://10.10.10.5/html/devicePanel.html и без всякой авторизации видим изображение коммутатора с включеными/выключеными портами. Или вводим урл http://10.10.10.5/html/Hmainmenu.html и видим панель нафигационную... Опять таки без авторизации. Или вот http://10.12.5.2/html/Hjava_Utilization.html - и это еще не весь список. Короче страниц на которых флаги защиты не стоят просто куча.

Дяденьки, скажите пжалста... Это баги или фичи ?

И когда наконец длинковские устройства научатся не светить на всю сеть кто они такие ? Нет, телнет greet_message наконец через столько лет стало можно менять - это радует... Но web как был попсовый так и остался, это что принципиальная позиция оставить там рекламу ? Меня реально задолбало править прошивку в каждой новой версии - веб-конфигуратор иногда очень удобен и отключать его как-то не очень хочется.

Конечно можно ограничить желающих с помошью security ip, но их там всего три штуки... Для нас например это очень и очень мало для того, чтобы реально этим пользоваться.

P.S. Да, чуть самое прикольное не забыл... Вводим адрес http://10.10.10.5/html/ComboSetting.html (пароль опять таки не нужен) и свитч переобувается... Точнее даже не переобувается, а валится в отладчик (вот нахфик он на рабочей прошивке включен а?) и отуда только передергиванием питания. Классная диверсия? В домовых сетях конкурентам западло устраивать...

TCD_Interrupt_Level=00000000 Interrrupt Disabled
TCD_Current_Thread=80D8923C Thread name=web_0
TCD_Execute_Task=80D8923C Current Task=web_0
TCD_Execute_HISR=00000000
TCD_System_Stack=80922C4C

_________________
// C уважением Александр В. Шутко

Я Вам прошивку выслал.

Э... Хм... Какую прошивку ? Которая web фиксит? Я уже свою сделал... С грозной и страшной надписью вместо рекламы... И странички эти все теперь пароль просят... И даже картинки...

_________________
// C уважением Александр В. Шутко

И как ты это сделал если не секрет ?

Кстати на DES-3526 такая же проблема.

_________________
WBR. Sp!ZER

Версия прошивки у вас какая?

Скажу чуть позже. Когда съездят его перезагрузят. Попробовал комманды Регрессора, для проверки сети на безопастность... ну и отвалился, после последней.

_________________
WBR. Sp!ZER

Мы занимаемся данной проблемой, как только будут новости - сообщим. Но в общих случаях, в провайдерских сетях WEB нужно отключать, тк это является местом потенциальной уязвимости.

это, отче, баги ... и поэтому думаем над:

• параметром "network" в "trusted_host":
  Код:
  #create trusted_host ?
  Command: create trusted_host
  
  Next possible completions:
  <ipaddr>            network
• CPU Interface Filtering:
  Код:
  #create cpu access_profile ?
  Command: create cpu access_profile
  
  Next possible completions:
  ethernet            ip                  packet_content_mask
  и иже с ним
  Код:
  #config cpu access_profile ?
  Command: config cpu access_profile
  
  Next possible completions:
  profile_id
• отключением веба в конце концов
  Код:
  #disable web
  ибо веб есть вселенское зло ... программеры блинка не могут CLI до ума довести, а Вы про веб ... да, сейчас придет Иван или Максим и скажут что с CLI все нормально, но я бы их попросил перед тем как это писать попробывать создать ACL только в CLI, а не на бумаге ... когда надоедят странно реализованные переносы строк они этого писать не будут ... "я так думаю"(с)

кстати, раз уж зашла речь об диверсиях, раскройте, пожалуйста, секрет - как можно попасть в веб интерфейс из клиентского VLAN? лично я не представляю как возможно у меня руки не оттуда растут и я просто разнес клиентов и управление свичами в разные VLAN, а потом еще и роутинг из клиентских VLAN во VLAN управления ACL-ями перекрыл ... может я что-то не то сделал?
а реклама ... чтож ... реклама - она двигатель торговли ... Вы жеж должны видеть рекламу того что вы купили вне зависимости от того как долго Вы вибирали именно эту железку ... обратите внимание - в дешевых моделях рекламы нету, а тут есть ... это наводит на мысль о том что в более дорогих свичах будет не просто реклама, а еще куча всплавающих окон с нею и чем дороже свич тем ее будет больше и больше ... в особо дорогих моделях будет вообще контекстная реклама, на манер Google AdSense на каждой страничке веба! ой! да, погодите! скоро Вы рекламу в CLI увидите! этакий ASCII art в консоли прославляющий крутизну Вашей железки и рассказывающий о других крутых железках от D-Link
и что Вы так взъелись на втроеный дебагер? ну нету у каждого инжинера под рукой дебагера когда он нужен ... что делать? верно! проще встроить в свич косяк в том что его забыли закрыть от простых смертных, ну да про пароли Вы и так лучше меня расписали, чего Вам то про них рассказывать?

Firmware Version 5.01-B01

_________________
WBR. Sp!ZER

У меня как раз от пользователей добраться до веба на свичах нельзя, но паранойя все равно мучает Хотя даже наверное это не паранойя, а обостренный перфекционизм (Во завернул)

Насчет контекстной рекламы задумался... Прикольно... Может самому такую в свичи засунуть - бабки за показы брать Глядишь и окупятся...

На дебагер то я как раз не взъелся... Он в принципе есть в софте сетевых железок очень многих производителей (во всех где я ковырялся), тока я ни разу не видел чтобы рабочая железка в него вываливалась. Даже винды себе такого не позволяют. На экстримах в него можно выйти скрытой командой (там в отладчике очень удобно лицензии на свитч генерять). На цисках для этого прошивку править приходится. У меня до сих пор после эксперементов в студенческой общаге свитч висит в дебагере Уже неделю. Хорошо, что сетку там пока не запускали и все свичи с отключеными портами стоят.

Кстати с паролями теперь все хорошо Проверял. Factory пароли правда остались для доступа к диагностическим сервисным и отладочным функциям (типа там мак поменять или серийник, лампочки повключать повыключать и т.п.), но для них сделан двойной логин и они только в консоли работают.

P.S. Кстати, прочитал и не заметил... А это в какой версии параметр network появился в trusted_host ? Вопрос снимается. Тока прилетела почтой прошивка 501b09 - в ней 10 trust хостов. Это уже просто отлично. Правда как работает в ней параметр network я честно говоря не понял. Добавить 10.10.10.0/24 прошивка не позволяет, но добавить 10.10.10.8/24 можно. При этом 10.10.10.8 доступ к интерфейсу имеет, а 10.10.10.9 нет. А документация на 501B09 есть ?

_________________
// C уважением Александр В. Шутко

стремление к совершенствованию это несомненно хорошо, но я думаю что это все же паранойа, как проф. заболевание всех админов ...а вы сделайте потом раздать ее народу и сказать что это как прошивка от ББ тока для свичей, а потом ждать прихода денег за показы оппа ... а у меня толькои я оч. хочу новую ... вопрос "когда релиз?" даже задавать не буду ...я думаю никто не понял (я даже разбираться не стал ибо мне без нужды пока что), а кто понял - не говорит есть ... у кетайских инжинеров или в сейфе у И.Демина ... "я так думаю"(с)

To snark:

Я Вам прошивку выслал. Про рекламу в CLI это Вы Павел конечно загнули!:)))

To Regressor:

Пока к сожалению полной документации нет. Она будет после официального релиза. Официальный релиз задерживается из-за прошивки к DES-3526DC. По поводу Trusted Subnet попробуйте ввести первый адрес в этой подсети.

ай спасибо! Вы как всегда наша единственная надежда и опора (-:э-э-э ... ну почему же? я думаю кетайцы способны создать ASCII кстати, раз с рекламой в CLI я загнул, заначит в остальном не ошибся? т.е. нам ждать не только бОльше рекламы, но и контекстной рекламы? потом вообще все ящики указанные в настройках SMTP буду попадать в спец. БД для дальнейшего продвижения рекламы (не только оборудования D-Link, ни и, к примеру, виагры)?

Нет больше чем сейчас рекламы не будет!:)