A wannacry miatt fel van írva, hogy végig kéne menni minden szerveren és az SMB1-et letiltani...
Eddig is hánytam az összes MFP-től, egyszerűen mindnek borzasztó, lassú, átláthatatlan a felülete, és az ember órákat is tud sz*pni vele, mire egyáltalán mondjuk az SMB-re scannelést beállítja.
Hál'istennek windows updateből már jön az SMB1 tiltó update, ezt onnan tudtuk meg, hogy jelezték hogy nem tudnak scannelni. A frissítés természetesen sunyiban települt, mert se szerintünk, se a vezérlőpult windows update szerint nem települt frissítés március óta.
Eleinte még nem is tudtuk mi, az eventlogban csak annyi látszott, hogy authentication failure, és a masina is ilyen hibakódot adott vissza. Aztán kezdett el motoszkálni a fejemben, hogy lehet hogy ez. Egy másik helyen, ahol ugyanilyen gép volt és linuxra megy a scannelés, sambábal kikapcsoltam az SMB1-et, majd próba... És lám, ugyanaz a hiba.
Próbáltuk felvenni a kapcsolatot a forgalmazóval és a supporttal, hogy van-e friss firmware, ami tud SMB2-t legalább, merthogy ezzel nem megy. Mindenféle hülyeséggel elhajtottak, hogy auth hiba, biztos nem jó a jelszó... Meg nyissam ki a tűzfalat... Meg próbáljam a domaint a usernévhez írni.. Meg amúgy is, tuti tud SMB2-t, ennek menni kell. Aztán küldtem nekik egy samba logot, amiben egyértelműen látszik, hogy csak NTLM 0.12-t próbál (ez az SMB1), semmi mást.
Mivel más megoldás nem volt, szépen visszakapcsoltuk a windows-ra az smb1-et.
Továbbá másik 2-3 helyen megnéztem még pár készüléket hasonlóan a linuxos sambával, egyik se megy... Úgyhogy, linuxos smb1 letiltás elnapolva, a windowsra meg visszakapcsolás, ha felmegy az update.
Kyocera, Konica Minolta, Ricoh, HP... Mind máglyára való szar.
Kíváncsi vagyok, hányan, hány helyen fognak hasonlóan járni.
Hozzászólások
Nem csak te szívsz vele. Egyszerűen felháborító, hogy a gyártók ennyire *** a biztonságra.
Sajnos az FTP se biztonságos, amit tudnak ezek a vackok.
Nálam Canon, HP a bűnös.
Izgalmas hetem lesz... :D
Szerencsére? ftp van beállítva ott ahol ez kellett. Nem a legszerencsésebb, de legalább ismerjük a bajait.
Nekem is ez jutott eszembe... Windowsra egy filezilla szerver, linuxra meg pure-ftpd.. Dehát ez milyen már.
Mindenesetre, mint végső megoldás, még nincs elvetve.
--
"Sose a gép a hülye."
Hát ha minden szar amiben valaha volt remote sechole, akkor elég szomorú életed lehet. :(
FTP, email. A Minoltás csóka az smb-t még nyomtatásra se ajánlotta. :P
(mondjuk az MS "Easy" Remote Printing nevű csodája meg az IPP-t nem komálja valamiért :))
Az email se sokkal jobb... Azzal is szívtunk már, nem egyszer. Beadod neki a usert meg a pass, aztán mégse hitelesít. Meg nem hajlandó TLS-t csinálni. Meg nem fogadja el a certet. Meg rossz encodinggal teszi be a csatolmányként a scannelt doksit. Meg a franc tudja...
--
"Sose a gép a hülye."
+1, vagy inkább +100.
Mennyit szívtam vele... Egyik napról a másikra nem ment. Mindent átnéztem, factory reset, stb. És egyszercsak jó lett... OKI MFP a változatosság kedvéért.
Konicat hagyjuk is... SMBvel főleg. Meg főleg hogy "Konica", Konica-e az a konica vagy esetleg kyocera, esetleg Océ, esetleg V*....
SMB auth belövése tényleg kínszenvedés... Nem lehetetlen ... :) FTP felejtős, marad az email.
Öröm olyan helyre beüzemelni egy nyomtatót, ahol a rendszergazda kérdezi meg, hogy mi az hogy IP cím..... az smtp szerver címet már ne is kérdezzük meg, felesleges :)
ps.: ja meg volt ilyen "telefon is" hogy hát de ott van a dugalj a falon! Miért nem patcheltük be ????? WTF? :)
Tényleg b*szn*k az egészre a nyomtató gyártók...ipari hulladékokat gyártanak évtizedek óta!
Minap történt eset ami ide off, de tanulságos:
Ügyfélnél vagy két tucat mindenféle Ricoh. A kicsitől a nagyig, öregtől a legújabbig minden.
SNMP: egyikből jön infó másikból nem, pl. tök ugyanaz a kettő(néha három egyforma) nyomtató, fw is, config is, széria is...mégse! Miközben az őskövület (valami 2000-es évek eleji) meg megy rendesen! /Amiben a legkevésbé bíztam/ Két tucatból jó ha felét sikerült rávenni.
...és magyarázd el az ügyfélnek hogy: Bocs ezek meg ezek nem lesznek monitorozva :/
Az ugyfelnek megmondod, hogy szart vett, vagy nem olyat, amit mondtal neki, mert gyorsan es olcson kellett.
-w-
Nalunk is lett ebbol szivas a fiuknak...
---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"
Nálatok klienseken, szervereken, esetleg mindkettőn előjött? Milyen OS-eken?
Köszi!
nem akarok reklámozni, így nevet nem írok, de van olyan AV megoldás ami a nem patchelt OS-en is véd a WannaCry ellen.