The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

PixieFAIL - уязвимости в сетевом стеке прошивок UEFI, применяемом для PXE-загрузки

17.01.2024 21:42

В UEFI-прошивках на основе открытой платформы TianoCore EDK2, обычно используемых на серверных системах, выявлено 9 уязвимостей, получивших собирательное кодовое имя PixieFAIL. Уязвимости присутствуют в сетевом стеке прошивок, применяемом для организации сетевой загрузки (PXE). Наиболее опасные уязвимости позволяют неаутентифицированному атакующему организовать удалённое выполнение своего кода на уровне прошивки в системах, допускающих PXE-загрузку с использованием сети IPv6.

Менее опасные проблемы приводят к отказу в обслуживании (блокирование загрузки), утечке информации, отравлению кэша DNS и перехвату TCP-сеансов. Большая часть уязвимостей может быть эксплуатирована из локальной сети, но отдельные уязвимости допускают и атаку из внешней сети. Типовой сценарий атаки сводится к мониторингу трафика в локальной сети и отправке специально оформленных пакетов при выявлении активности, связанной с загрузкой системы по PXE. Наличие доступа к серверу загрузки или DHCP-серверу не требуется. Для демонстрации техники атаки опубликованы прототипы эксплоитов.

UEFI-прошивки на базе платформы TianoCore EDK2 используются во многих крупных компаниях, облачных провайдерах, ЦОД и вычислительных кластерах. В частности, уязвимый модуль NetworkPkg с реализацией PXE-загрузки, используются в прошивках, развиваемых компаниями ARM, Insyde Software (Insyde H20 UEFI BIOS), American Megatrends (AMI Aptio OpenEdition), Phoenix Technologies (SecureCore), Intel, Dell и Microsoft (Project Mu). Предполагалось, что уязвимости также затрагивают платформу ChromeOS, в репозитории которой имеется пакет EDK2, но компания Google заявила, что данный пакет не используется в прошивках для устройств Chromebook и платформа ChromeOS не подвержена проблеме.

Выявленные уязвимости:

  • CVE-2023-45230 - переполнение буфера в коде клиента DHCPv6, эксплуатируемое через передачу слишком длинного идентификатора сервера (опция Server ID).
  • CVE-2023-45234 - переполнение буфера при обработке опции с параметрами DNS-сервера, передаваемыми в сообщении, анонсирующем наличие сервера DHCPv6.
  • CVE-2023-45235 - переполнение буфера при обработке опции с идентификатором сервера (Server ID) в сообщениях с анонсами прокси-сервера для DHCPv6.
  • CVE-2023-45229 - целочисленное переполнение через нижнюю границу (underflow), проявляющееся при обработке опций IA_NA/IA_TA в сообщениях DHCPv6, анонсирующих DHCP-сервер.
  • CVE-2023-45231 - утечка данных из области вне буфера при обработке сообщений ND Redirect (Neighbor Discovery) с усечёнными значениями опций.
  • CVE-2023-45232 - бесконечное зацикливание при разборе неизвестных опций в заголовке с параметрами точки назначения (Destination Options).
  • CVE-2023-45233 - бесконечное зацикливание при разборе опции PadN в заголовке пакета.
  • CVE-2023-45236 - использование предсказуемых начальных номеров последовательности TCP, позволяющих вклиниться в TCP-соединение.
  • CVE-2023-45237 - использование ненадёжного генератора псевдослучайных чисел, выдающего предсказуемые значения.

Информация об уязвимостях была отправлена в CERT/CC 3 августа 2023 года, а дата раскрытия информации была намечена на 2 ноября. Тем не менее, из-за необходимости скоординированного выпуска исправлений, охватывающего многих производителей, дата публикации была перенесена вначале на 1 декабря, а потом переносилась на 12 декабря и 19 декабря, 2023 года, но в конечном счёте была раскрыта 16 января 2024 года. При этом компания Microsoft просила отложить обнародование сведений до мая.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: LogoFAIL - атака на UEFI-прошивки через подстановку вредоносных логотипов
  3. OpenNews: Уязвимость в прошивках UEFI, позволяющая выполнить код на уровне SMM
  4. OpenNews: В CoreBoot добавлена реализация открытой UEFI-прошивки на базе TianoCore
  5. OpenNews: Компания Microsoft представила Mu, открытую модульную систему для создания UEFI-прошивок
  6. OpenNews: Intel развивает виртуальную прошивку TD-Shim, написанную на Rust
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60449-pixiefail
Ключевые слова: pixiefail, tianocore, edk2, uefi, firmware
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (85) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, C00l_ni66a (ok), 22:04, 17/01/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –2 +/
     

     ....ответы скрыты (4)

  • 1.2, амоним (?), 22:07, 17/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    да тут просто флеш рояль...
     
     
  • 2.6, Аноним (-), 22:49, 17/01/2024 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > да тут просто флеш рояль...

    Точнее флеш фирмварь. Но примерно то же самое в случае UEFI

     
     
  • 3.60, Аноним (60), 18:45, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а вот опенсорсный БИОС coreboot+SeaBIOS этим вашим UEFI-дырам не подвержен ;-) у него даже PXE обычно нет, т.к. в большинстве случаев пользователи собирают его без дополнения ipxe
     
     
  • 4.67, Аноним (-), 19:58, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > а вот опенсорсный БИОС coreboot+SeaBIOS этим вашим UEFI-дырам не подвержен ;-) у
    > него даже PXE обычно нет, т.к. в большинстве случаев пользователи собирают
    > его без дополнения ipxe

    КМК его пишут все же не настолько ушибленные индусские коты.

    Если просто посмотреть бутлог линуха на типовой ГУАШи - например - парсинг ACPI таблиц - то видно что ГУАШ и его таблицы хреначили в состоянии расширенного сознания, не иначе. Или не приходя в сознание вообще, черт их там разберет.

     
  • 4.68, Аноним (-), 20:07, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > а вот опенсорсный БИОС coreboot+SeaBIOS этим вашим UEFI-дырам не подвержен ;-) у
    > него даже PXE обычно нет, т.к. в большинстве случаев пользователи собирают его без дополнения ipxe

    "а вот опенсорсный БИОС" ?
    Так эта штука и так опенсорсная уже 20 лет?

    А у coreboot есть свои уникальные, неповторимые дырки)
    CVE-2022-29264 - arbitrary code execution с 4.13 по 4.16
    Но


     
     
  • 5.74, пох. (?), 22:52, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    вынипанимаити - ета другое!
     
  • 2.10, Аноним (-), 23:50, 17/01/2024 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
  • 2.41, Аноньимъ (ok), 13:49, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    На автомате выпадает С С С С, музыка, звон монет, вы выиграли Джек-Пот!
     

  • 1.11, Аноним (11), 23:57, 17/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    а вот был бы раст!
    > переполнение буфера
     
  • 1.12, Аноним (-), 23:57, 17/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > на основе открытой платформы TianoCore EDK2

    Это кстати, эта штука не сильно и новая.
    Интел ее открыл в 2004 году и подарил сообществу.
    За 20 лет тысячи глаз и лучшие погромисты Сообщества™ старались и выдавливали из себя код.

    Итого
    3 переполнения буфера,
    2 бесконечных цикла,
    2 использования предсказуемых "типа случайных" чисел
    И мелочь типа утечки данных из области вне буфера, underflow и тд

    А как же так получилось?
    Хм.... tianocore  C 76.3%
    Молодцы потомки! Не посрамили честь дидов, закладывающих уязвимости в х11 еще в 88 году!

     
     
  • 2.25, Брат Анон (ok), 09:22, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вариант тупо не использовать UEFI, всё-равно он не может быть безопасным из-за потери контроля управляемости не рассматривается?
     
     
  • 3.32, Аноним (-), 12:26, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А толку?
    Берем тот же coreboot - и видим там CVE-2022-29264 - arbitrary code execution , с рейтом 9.8
    Жило с версии 4.13 до 4.16.

    Так что победить можно только вводя какие-то стандарты на тестирование и надежность.
    Например сделать обязательными тесты и стат анализ.
    Не прошли - значит ты не мерджишь, пока не исправишь.

    Может предложенный закон об ответственности продаванов, за используемый код, как-то сдвинет подход "х-к-х-к и в продакшн, код ваv as-is in-ass"

     
     
  • 4.36, Аноньимъ (ok), 13:45, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Для критических к безопасности вещей писать на голой сишке - это шиза. Хоть с анализатором хоть без.

    Если использование какой-нибудь ады раста или хаскеля не рассматривается, то в крайнем случае пишется свой собственный велосипедный кодогенератор, который проверки на всё что можно вставляет сам.

     
     
  • 5.40, нах. (?), 13:47, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Для критических к безопасности вещей писать на голой сишке - это шиза.

    да, надо сразу на markdown "программировать". Это безопастно!

    > Если использование какой-нибудь ады раста или хаскеля не рассматривается

    код начальной инициации аппаратуры. На хаскеле. Успехов. Чао. Увидимся лет через пятьсот.

     
     
  • 6.43, Аноньимъ (ok), 13:50, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Та не в коде инициализации аппаратуры ошибки.
     
     
  • 7.45, нах. (?), 13:52, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ну давай половину начального загрузчика напишем на си, а вторую на хаскеле. Удачи, все через те же лет 500.
    Как раз и eeprom'ом на терабиты подвезут, чтоб оно как-то могло там поместиться.

     
     
  • 8.46, Аноньимъ (ok), 14:07, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Хаскель кстати в сишку компилируется, никакой спец магии ненужно для этого Разм... текст свёрнут, показать
     
     
  • 9.49, нах. (?), 14:29, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    сперва надо чтоб образовалось ЧТО компилировать - и именно в этом месте тебя жду... текст свёрнут, показать
     
  • 9.69, Аноним (69), 20:10, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Встретились 2 очень всех нужным штуки как-то, и стали меряться - кто же из них ч... текст свёрнут, показать
     
  • 9.73, Аноним (73), 22:42, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты потом в этом коде разбираться будешь ... текст свёрнут, показать
     
     
  • 10.77, пох. (?), 23:01, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Погоди-погоди, а мы зачем на хаскель-то собрались переписывать Никто не может... текст свёрнут, показать
     
  • 5.72, Аноним (73), 22:41, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А на чем писать? Ты со своим с# мозг что ли высушил? Какой хаскель? Ты видимо на нем ничего серьёзного не писал.

    Нужно тестирование усилить, фазинг, сделать обязательным использование санитайзеров.

     
     
  • 6.98, Аноньимъ (ok), 15:31, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А на чем писать? Ты со своим с# мозг что ли высушил?

    На Лиспе.

     
  • 6.100, Аноним (-), 08:22, 20/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.65, Аноним (65), 19:54, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Практически всё Сообщество (89% согласно отчётам board_status) использовало SeaBIOS в качестве коребутовского дополнения, а не Tianocore. И правильно делало! ;-)
     

  • 1.16, Анонимус3000 (?), 01:35, 18/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не зря гугля в своих материнках в ДЦ использует coreboot
     
     
  • 2.17, амоним (?), 01:41, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    гугля старается писать на богомерзком расте. куда им до настоящих сишников.
     
     
  • 3.22, Аноним (22), 08:58, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В том то и дело что старается, но ничего не напишет.
     
     
  • 4.24, Аноним (24), 09:10, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >В том то и дело что старается, но ничего не напишет.

    Так делают все, кто пытался писать на расте!  ;)

     
  • 4.27, нах. (?), 10:17, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > В том то и дело что старается, но ничего не напишет.

    не, ну как же - пятнадцать прослоек к прокладкам уже написал.

    шитотатам "80% новаго кода в ведроид"...стоп, а какой такой НОВЫЙ код есть вообще в ведроиде? Очевидно не код ведра линукса, гугль его не считает "кодом ведроида", так, само приползло.
    Что там такого меганужного и полезного понаписано за последние пять версий?

    Ну вот этого ничего - 80% нахрустели. Но инвесторы в таких тонкостях не разбираются.

     
     
  • 5.28, Аноним (-), 10:29, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 6.30, нах. (?), 11:55, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 5.92, Аноним (92), 01:57, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    звиздишь как Троцкий Не с той стороны проценты взял, там было 21 год назад т... большой текст свёрнут, показать
     
     
  • 6.97, нах. (?), 12:13, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ведроид представляет собой линукс с кучкой прослоек и прокладок И jvm краденую ... большой текст свёрнут, показать
     
  • 4.94, Аноним (92), 02:08, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Офигенно получается Так им понравилось это дело, что заявляют о стремлении всё ... большой текст свёрнут, показать
     

  • 1.18, Аноним (18), 02:25, 18/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Красиво пошли.
     
  • 1.20, Аноним (20), 07:40, 18/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А qemu проблеме подвержена? OVMF вроде бы тоже на EDK2 основана.
     
     
  • 2.23, Аноним (22), 08:59, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А кого там ломать самого себя?
     
  • 2.66, Аноним (65), 19:56, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    в QEMU коребутовский образ тоже с SeaBIOS'ом идёт вместо UEFI-жирноты
     

  • 1.29, Шарп (ok), 11:20, 18/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Languages  
    >C 76.3%

    Это был вопрос времени. Выделить буфер фиксированного размера, а потом записать туда данные превышающие этот размер, стало притчей во языцех.

     
     
  • 2.47, kusb (?), 14:13, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нужно было использовать Эльбрус ...
     
     
  • 3.93, Аноним (92), 02:02, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Как ты гору используешь? Будешь сбрасывать нерадивых разработчиков с вершины?
     
     
  • 4.96, пох. (?), 11:27, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    да там у самих вершин полого все, далеко не улетят.
    Можно просто их там бросать - побродят-побродят, да и околеют. -50 с ветрищем под сотку - нормальная погода, да и деваться оттуда особо некуда. Но это зимой. До конца мая надо успеть закрыть таск.
     

  • 1.31, Аноним (31), 12:15, 18/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > для организации сетевой загрузки (PXE). Наиболее опасные уязвимости позволяют неаутентифицированному атакующему организовать удалённое выполнение своего кода на уровне прошивки

    интересно, много ли серверных позволяют попасть неаутентифицированному пользователю во внутренний периметр, где происходит загрузка по PXE?

     
     
  • 2.34, mblp (??), 12:55, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    полно таких, возьми любой хостинг ДЦ, везде есть возможность загрузить дедик по сети в рескуе ос
     
     
  • 3.35, нах. (?), 13:44, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    вот и не бери помойкохостинги в помойкодц.

    Там где мои коробочки тарахтят - ничего подсунуть между гейтом и твоей коробкой не получится.
    Еще от тыщи и одной болячки помогает.

    А не фильтровать траффик разных клиентов друг от друга - ну могут позволить себе либо очень глупые, либо владельцы собственной площадки.

     
     
  • 4.39, Аноньимъ (ok), 13:47, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > ничего подсунуть между гейтом и твоей коробкой не получится

    Как реализуете?

     
     
  • 5.44, нах. (?), 13:51, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    port isolation

    широковещательный траффик просто никуда не дойдет кроме маршрутизатора (поэтому перехватить начальный бродкаст не получится), целевой дойдет - но через маршрутизатор, а это палево да и фильтры там.

    Незачем пользовательским коробкам между собой общаться. Ничего хорошего они все равно таким путем не передают.

     
  • 4.54, Tron is Whistling (?), 17:01, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не, ну не изолировать клиентов, а особенно не изолировать сеть управления - это вообще очень странно.
     
     
  • 5.59, нах. (?), 18:13, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    pxe - это не сеть управления, это сеть клиента.
     
     
  • 6.61, Tron is Whistling (?), 19:49, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ЩАЗ.
    Не, если бареметал клиент хочет PXE с откуда попало - его право. Изоляция портов тут не спасёт.

    А если речь о загрузке аппаратной ноды с PXE - клиенты которые попадут на эту ноду, вообще не в курсе, откуда оно загрузилось.

     
  • 3.37, Аноним (31), 13:46, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    тупой вопрос: и даже vlan не спасёт?
     
     
  • 4.42, нах. (?), 13:49, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    не напасешься. Но port isolation - таки да.

     
     
  • 5.51, Аноним (31), 15:20, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    точно, про него забыл, спасибо
     
  • 5.55, Tron is Whistling (?), 17:02, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да почему не напасёшься-то? Более 4000 портов на свитч? :)
     
  • 5.56, Tron is Whistling (?), 17:03, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Мы даже с port isolation не заморачиваемся - тупо влан на порт.
     
     
  • 6.58, нах. (?), 18:12, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Мы даже с port isolation не заморачиваемся - тупо влан на порт.

    а дальше? Выделять на каждое корыто отдельную адресацию и отдельно маршруты - п-ц, собирать потом вланы кучкой на один svi - здравствуй proxy arp когда не ждали.

     
     
  • 7.62, Tron is Whistling (?), 19:51, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ды ладно, всё не так плохо и сложно.
    Отдельная адресация и отдельные маршруты делаются, факт.
    Зачем вланы на один SVI собирать? /31, и никаких проксиарпов.
     
     
  • 8.71, нах. (?), 20:14, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    то есть ПОЛОВИНА адресов багровой шляпой накрыты Ну ок А можешь отсыпать ... текст свёрнут, показать
     
     
  • 9.75, Tron is Whistling (?), 23:00, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    23 не могу, 30 запросто Невдолбенные деньги - это сколько Десять баксов в ме... текст свёрнут, показать
     
     
  • 10.80, пох. (?), 23:06, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    мля, ну куда мне совать твой 30 Мне надо что-то что можно хотя бы попросить а... текст свёрнут, показать
     
     
  • 11.84, Tron is Whistling (?), 23:16, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну что это означает Да ничего не означает, если не PI Всё так же будешь гонять... текст свёрнут, показать
     
     
  • 12.90, пох. (?), 23:30, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    мне не нужен PI, мне нужна возможность анонсить блок не с твоих железок, чего не... текст свёрнут, показать
     
     
  • 13.95, Tron is Whistling (?), 09:54, 19/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Абсолютно нормально Я бы сказал даже дёшево, у нас recurring дороже Правда без... текст свёрнут, показать
     
  • 11.85, Tron is Whistling (?), 23:23, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Мы конечно в этом плане беднота уже 24 и шире вообще не даём, максимум 28 ... текст свёрнут, показать
     
     
  • 12.86, Tron is Whistling (?), 23:25, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    это не значит, что один клиент в теории не может себе нажрать 30 на целую 25 ... текст свёрнут, показать
     
     
  • 13.87, Tron is Whistling (?), 23:26, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    26 то бишь... текст свёрнут, показать
     
  • 12.88, Tron is Whistling (?), 23:28, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и за шмот поясню у нас NAT до сих пор кроме как на мобилке - нет нигде Фее... текст свёрнут, показать
     
     
  • 13.89, Tron is Whistling (?), 23:29, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Yes, даже у массы физиков нет NAT ... текст свёрнут, показать
     
  • 9.76, Tron is Whistling (?), 23:00, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну это для металла же Где-то даже 30, а не 31 VPS конечно сидят на 32 в анн... текст свёрнут, показать
     
     
  • 10.81, пох. (?), 23:09, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    но зачем У вмвари все в порядке с port isolation, это бесплатно Еще и promis... текст свёрнут, показать
     
     
  • 11.82, Tron is Whistling (?), 23:11, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Но зачем, если проще положить клиента в совершенно изолированную подсеть наскво... текст свёрнут, показать
     
     
  • 12.91, пох. (?), 23:39, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    а зачем нужен такой микроменеджмент Где я это делал - швыряли 24 на пару стоек... текст свёрнут, показать
     
  • 11.83, Tron is Whistling (?), 23:13, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я кстати могу предположить вариант, при котором клиент даже промиск в своём влан... текст свёрнут, показать
     
  • 7.63, Tron is Whistling (?), 19:53, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Есть варианты и без /31, есть варианты с /32 unnumbered, там тоже изоляция by default, да и собирать особо ничего не приходится, и проксиарпа нет.

    Для клиентов, которым нужна распределённая сеть - есть транзитные диапазоны UNI, которые с одинаковым NNI приводятся на все роутеры.

     
  • 7.64, Tron is Whistling (?), 19:54, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Для совсем любителей есть VPLS.
     
     
  • 8.70, нах. (?), 20:12, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    и чем оно нам тут поможет ... текст свёрнут, показать
     
     
  • 9.78, Tron is Whistling (?), 23:01, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Оно тоже про изоляцию, на самом-то деле Порты ходят с меткой, и никого, кроме к... текст свёрнут, показать
     
  • 9.79, Tron is Whistling (?), 23:02, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это конкретно в тех местах, где свитчей либо ещё нет, либо уже нет ... текст свёрнут, показать
     
  • 5.57, Tron is Whistling (?), 17:04, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В случае VPS - VLAN на VPS.
    Всё управление естественно отдельно ходит, туда вообще ничего и никак не подсунешь.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру