Сети

Всем привет, надеюсь кто нибудь сможет помочь разобраться, неделю бьюсь уже. Остаётся только в Спортлото писать.

Проблема в следующем, в этом году на объекте, заменил часть оборудования (видеорегистратор и камеры, все IP) и добавил точки доступа Unifi. После этого начались танцы-пляски, а именно на реге начался рандомный отвал камер (no link, кратковременный) или же мерцание окна камеры при просмотре субпотока ( как будто уведомление приходит, вспышка).

Рег, периодически пишет конфликт ip. Сканировал сеть, искал злодея. Не нашёл.

В итоге, при нахождении видеонаблюдения в одной подсети вместе с остальным сетевым оборудованием, идет или отвал камер или мерцание. Как только переносишь видеонаблюдение в другую подсеть, то все работает отлично. Тоже самое и наоборот, если WiFi оборудование в другую подсеть, то видео работает.

Список оборудования в сети:
Микротик hap ac2
Контролёр Cloud Key Gen2
Точки доступа Unifi 14шт.
Видеорегистратор Hiwatch 332/2b
IP камеры Hiwatch i200 - 32шт.

По ощущениям кто то еще раздает адреса в сети. Грешу на cloud key, больше некому козлить. В прошлом году примерно при том же конфиге, все работало отлично. А в этом, после добавления и замены оборудования такие дела происходят. Единственное, точно не помню, в пошлом году видеонаблюдение получало адреса по DHCP, а в этом, я присвоил видеонаблюдению статику.

Вариантов раскинуть на разные подсети нет. Кабель у всех общий. Vlan тоже не катит, оборудование не позволяет. Остается только найти причину и устранить.

Надеюсь на помощь. Спасибо

Это уже какая-то странно длинная ветка. Но все таки продолжу. Потому это будет не как ответ как пост, а пост отдельный.

Итак, мысль поста в заголовке - никогда не пытайтесь договорится и тем более заплатить террористам. Они вас кинут. Кинут просто потому, что они уже получили от вас то, что хотели, а дальше вы им просто не интересны. Но вернемся к реальности.

Чуть раньше я писал пост о активации хакеров, как следствии - взломов сетей предприятий. На данный момент только я знаю о десятке! Сценарии разные, доступ получали разными способами, где-то сеть была поломана вообще в прошлом году, но серьезная атака началась только сейчас. Обычно это шифрование всего, до чего смогли дотянутся взломщики. Способы разные, основные, внезапно - BitLocker и Loki. Если первый это однозначный захват AD серверов, и их шифрование, а дальше уже можно шифровать все остальное, то второй - захват пользователя с достаточным доступом для шифрования массы данных, так что бы пострадавшему лицу было больно.

Но тут интересна одна из попыток расшифровать данные договорившись с террористами. Итак, все просто, вывод я вам напишу прямо сразу, он уже в заголовке - даже если вы отвалите "хацкерам" 3000 баксов вы нихрена не получите. Почему? Да все просто, хацкеры атаковали с сервера AD, шифровали с сервера AD и убили сервер AD, все, что вам нужно это отправить хацкерам ветку реестра сервера AD, куда вы не можете получить доступ в принципе, потому как хацкеры его зашифровали и "немного ошиблись". И здесь прекрасно все. Как наличие дыр, ладно, это мы пока забудем. Так и реальное решение руководства компании оплатить требования вымогателей. Что-то они получили? Нихера. Особенность Loki заключается в том, что для расшифровки файлов до 2 мегабайт нужно 2 ключа. Первый - это файл который валяется по всем зашифрованным дискам. 2 ключ - это файл который шифровальщик отправил на сервер вымогателей. Но есть файлы больше 2 мегабайт и там начинает работать другой алгоритм, это те же два ключа, но первый записан в реестр той машины с которой шифровали, а второй так же на сервере вымогателей. И тут получилось забавно. Сервер с которого шифровали данные не доступен. Вымогатели все еще могут, технически, расшифровать все файлы до 2 мегабайт. Но...

Они уже получили от вас деньги, потому что без получения денег они и разговаривать с вами не станут. А вот дальше они выяснят, что не могут расшифровать все и потеряют к вам интерес. При чем они даже предложили вернуть деньги, только вот одно... Никто их не вернет. Смысла нет возвращать лоху его бабло. Так что даже не 5 а 10 раз подумайте и не платите никогда. Что бы не писали на "профильных ресурсах", что бы не говорили псевдо эксперты. Это не бизнес! Это терроризм! И работает эта хрень только до тех пор пока кто-то им платит. Когда перестанут, такой тип заработка просто умрет. Ну как-то так. А я жду следующую зашифрованную контору где  нет бекапов оторванных от сети.

Отдам коннекторы RJ45. Много, около 500 штук.
территориально - Москва, район Очаково-Матвеевское. Матвеевка.
Соседняя контора закрылась, отдали мне.
оставил себе пару десятков, остальное отдаю

Фотка для примера, у меня простые, не экранирование

Абордаж более двух тысяч лет был (и, с оговорками, остаётся) эффективным средством ведения морского боя. Особенно актуальным он стал во время 16-18 веков. Поэтому экипажи судов того времени старались максимально усложнить жизнь нападающим. Одним из лучших противоабордажных средств стала обычная с̶о̶в̶е̶т̶с̶к̶а̶я̶ ̶к̶о̶п̶е̶е̶ч̶н̶а̶я̶ сеть.

В Средние века хорошей защитой от абордажа считались высокие борта. Во-первых, такой борт мешал противнику забраться на судно, а во-вторых, отлично защищал от стрел неприятеля. Вот только высоченный борт не очень хорошо сказывался на мореходных качествах корабля: повышал центр тяжести и ухудшал остойчивость, здорово парусил и в целом мешал нормально управлять судном. А после появления пороха в морских баталиях стали активно применяться гранаты и пушки, которым деревянный борт не особо-то и мешал. Поэтому от высоких бортов отказались в пользу так называемых "абордажных сетей" (boarding netting). Согласно К. И. Самойлову, абордажные сети - специальные сети, являвшиеся как бы продолжением фальшбортов парусных военных кораблей и служившие для того, чтобы затруднить противнику доступ на те части своей палубы, которые или неудобны, или не подготовлены для отражения абордажных партий противника.

Определение очень точное и исчерпывающее, однако в нём, на мой взгляд, есть небольшая неточность. Дело в том, что эти сети пережили парусный флот и активно использовались даже в начале 20 века! Они активно применялись даже во время войны Севера и Юга, например, на первых броненосцах. А после захвата  Корпусом морской пехоты Конфедерации в 1864 году канонерской лодки USS Water Witch, который был проведён несмотря на то, что абордажная сеть Water Witch была развернута, американский флот перешёл с веревочных на проволочные сети.

Сети показали себя эффективным и удобным защитным средством. Они делали почти невозможным лихой прыжок на канате на палубу атакуемого судна. Такая сеть мешала гранатометчикам закидывать защитников корабля бомбами. И, главное, абордажной команде приходилось тратить время на рубку и резку сети под уколами пик и мушкетным огнем обороняющегося экипажа. А ещё веревки для сетей нередко делали "антивандальными" - смолили и обваливали в песке.

Противоабордажные сети поднимали либо непосредственно во время боя, когда становилось ясно, что абордажа не избежать, либо на ночных стоянках в опасных водах.

В 20 веке такие сети сошли на нет. Сейчас же в пиратоопасных водах моряки защищают корабли, натягивая вдоль бортов "Егозу". Дешево, сердито и очень брутально!

В последний месяц наблюдается массовая активация шифровальщиков. Но это не вирусы, это в основном сознательный взлом. И вот там наблюдается очень страшная тенденция.

У меня сейчас было для анализа 4 конторы. Все обратились с "зашифрованными нафиг данными". Где-то это варианты типа Loki, где-то тупо BitLocker. Но странно даже не это. В случае с Loki, атака была через опубликованный в сети комп, где существовал администратор с именем user и паролем user. Локальный, но это уже дало ему право получить доступ к RDP, а дальше можно запускать все, пусть еще на пользовательском компе. Во втором случае все намного интересней, был активирован, непонятным способом, интересный аккаунт DefaultAccount, на сервере Exchange, он смог сменить пароль одной из технических учеток с правами доменного администратора (винда русская, "Администратор" они просто набирать не захотели), и дальше уже шифровали BitLocker от его имени. Третий вариант - пробили пользователя .DOTNET, так же как и в предыдущем случае сумев его активировать, дать ему права админа и удаленный рабочий стол.

Выводы пока самые неутешительные. Атаки идут целенаправленно, в основном в выходные. Ломают быстро и качественно. И очень часто используются либо откровенные дыры в безопасности (первый случай), либо технические учетки, и если первое понятно, то второе вызывает вопросы.

Рекомендации? Убирайте публикацию RDP, только после VPN. Отключайте на фиг локальные учетки в случае работы в доменах. Чистите списки администраторов. Отключайте лишних. Закручивайте гайки по максимуму. Пока так.

Доброго времени суток, дорогой любитель загадок и предположений!

Сегодняшний мой рассказ пойдёт об очередном нетипичном случае поломок и неисправностей. Готовьте чай, печеньки или чего позабористей.

Обратился давеча ко мне товарищ с просьбой устранить проблему с пропадающим интернетом в офисе. Приезжаю к нему, и обнаруживаю следующую картину: офис с парой смежных помещений, в одном из которых имеется проблемное устройство. В обоих помещениях стоит по три компьютера и по беспроводному принтеру. Соответственно принтеры работают на окружение в пределах помещения и подключены к гостевой сети на единственном роутере в дальнем от проблемного компьютера помещении. Не так давно этот роутер был установлен на замену предшественнику, подключается к поставщику услуг по витой паре и раздаёт клиентам сеть по беспроводу. Причём два из компьютеров стоят значительно дальше проблемного и работают без нареканий.

На момент моего прибытия рабочее место с проблемным устройством пустовало. Находившийся за соседним столом сотрудник поведал, что после замены роутера, спустя несколько дней, подключение стало отваливаться, и компьютер (старенький, но добротный ПК на i5 четвертого поколения со внутренней беспроводной картой) переставал видеть нужную сеть. На нём доживает последние денёчки семёрка, и руководство хочет решить проблему с наименьшими телодвижениями и самым дешёвым костылём.

Оценив состояние железа и степень запущенности оси решил пойти по самому простому пути и исключить неполадки внутри оси и на роутере. Для этого загрузил ПК с внешнего накопителя и здоровой системы, подключившись ксозданной на мобилке точке доступа. И тут меня ждала следующая картина: подключение также отваливалось, а сеть роутера всё так же то пропадала, то исчезала. Однако после отключения в диспетчере внутреннего адаптера и подключения простенького Mercusys по USB картина становилась абсолютно нормальной.

Чтобы не утруждать читателя своими рассуждениями, путём принятия решений и согласования, скажу лишь, что товарищем было решено обойтись свежеизготовленным и главное дешёвым костылём. Хотя он был уведомлён о том, что причина неисправности имеет неизвестную природу, и что ему предложен костыль, однако, его этот вариант вполне устроил.

И всё бы ничего, но по прошествии пары дней он снова звонит и говорит, мол ах эти сотрудники, драть их не кому! Ещё один компьютер с такими же симптомами. Приезжай, посмотри. Приезжаю, смотрю. Уже другое помещение, так же 3 компьютера, роутер здесь же, в углу. Жалуются на моноблок. Не менее древний, натурой попроще, о двух ядрах, зато с тачскрином.

Та же семёрка, те же симптомы. Из под здоровой системы с внешнего накопителя подключаюсь к своей карманной сети по воздуху, отключение происходит через пару минут. При этом остальные клиенты работают без нареканий и так же по воздуху. Только на этот раз в виду отсутствия беспроводной USB карточки под рукой решаю подтянуть витуху к роутеру, благо он рядом. Проблема решена, и опять-таки к удовольствию товарища недорого. Предупреждения, что причина не ясна, и что ея выяснение значительно труднее костыля, что ось тоже древняя, загаженая и требует замены и вообще начинать нужно с более глобальных вещей эффекта на него не имеют. Ну ладно, думаю, хозяин-барин.

И в общем-то на этом можно было бы и остановиться, но меня, как человека любознательного не покидает желание разобраться с этой странной и явно нетипичной и запутанной ситуацией. Впрочем, в их офисе всё выглядит не менее загадочно, запутано и костыльно. От того решил поведать эту историю здесь, в надежде на то, что это поможет прояснить наиболее вероятную причину такого совпадения с неполадками в работе этих двух сетевых карт.

Здравствуйте. Дали мне ноутбук HP знакомые посмотреть. Снес винду, установил новую. Виндовс 7 Домашняя 32 бита. Ноутбук 10того года, +- Что бы я не делал, ни вайфай, ни кабель ноутбук не видит. Драйвера не устанавливаются, кнопка мобильной связи на ноуте горит оранжевым(?это значит отключено?) Где брать драйвера, и вообще, что делать, что бы вайфай или хотя бы кабель обнаруживался? Модель ноута точную не знаю, тк. серийного номера нету, как и не могу скачать программу, что определяет модель, ибо инета нет :3 Спасибо за ответ