A wannacry miatt fel van írva, hogy végig kéne menni minden szerveren és az SMB1-et letiltani...
Eddig is hánytam az összes MFP-től, egyszerűen mindnek borzasztó, lassú, átláthatatlan a felülete, és az ember órákat is tud sz*pni vele, mire egyáltalán mondjuk az SMB-re scannelést beállítja.
Hál'istennek windows updateből már jön az SMB1 tiltó update, ezt onnan tudtuk meg, hogy jelezték hogy nem tudnak scannelni. A frissítés természetesen sunyiban települt, mert se szerintünk, se a vezérlőpult windows update szerint nem települt frissítés március óta.
Eleinte még nem is tudtuk mi, az eventlogban csak annyi látszott, hogy authentication failure, és a masina is ilyen hibakódot adott vissza. Aztán kezdett el motoszkálni a fejemben, hogy lehet hogy ez. Egy másik helyen, ahol ugyanilyen gép volt és linuxra megy a scannelés, sambábal kikapcsoltam az SMB1-et, majd próba... És lám, ugyanaz a hiba.
Próbáltuk felvenni a kapcsolatot a forgalmazóval és a supporttal, hogy van-e friss firmware, ami tud SMB2-t legalább, merthogy ezzel nem megy. Mindenféle hülyeséggel elhajtottak, hogy auth hiba, biztos nem jó a jelszó... Meg nyissam ki a tűzfalat... Meg próbáljam a domaint a usernévhez írni.. Meg amúgy is, tuti tud SMB2-t, ennek menni kell. Aztán küldtem nekik egy samba logot, amiben egyértelműen látszik, hogy csak NTLM 0.12-t próbál (ez az SMB1), semmi mást.
Mivel más megoldás nem volt, szépen visszakapcsoltuk a windows-ra az smb1-et.
Továbbá másik 2-3 helyen megnéztem még pár készüléket hasonlóan a linuxos sambával, egyik se megy... Úgyhogy, linuxos smb1 letiltás elnapolva, a windowsra meg visszakapcsolás, ha felmegy az update.
Kyocera, Konica Minolta, Ricoh, HP... Mind máglyára való szar.
Kíváncsi vagyok, hányan, hány helyen fognak hasonlóan járni.
- 1843 megtekintés
Hozzászólások
Nem csak te szívsz vele. Egyszerűen felháborító, hogy a gyártók ennyire *** a biztonságra.
Sajnos az FTP se biztonságos, amit tudnak ezek a vackok.
Nálam Canon, HP a bűnös.
- A hozzászóláshoz be kell jelentkezni
Izgalmas hetem lesz... :D
- A hozzászóláshoz be kell jelentkezni
Szerencsére? ftp van beállítva ott ahol ez kellett. Nem a legszerencsésebb, de legalább ismerjük a bajait.
- A hozzászóláshoz be kell jelentkezni
Nekem is ez jutott eszembe... Windowsra egy filezilla szerver, linuxra meg pure-ftpd.. Dehát ez milyen már.
Mindenesetre, mint végső megoldás, még nincs elvetve.
--
"Sose a gép a hülye."
- A hozzászóláshoz be kell jelentkezni
Hát ha minden szar amiben valaha volt remote sechole, akkor elég szomorú életed lehet. :(
- A hozzászóláshoz be kell jelentkezni
FTP, email. A Minoltás csóka az smb-t még nyomtatásra se ajánlotta. :P
(mondjuk az MS "Easy" Remote Printing nevű csodája meg az IPP-t nem komálja valamiért :))
- A hozzászóláshoz be kell jelentkezni
Az email se sokkal jobb... Azzal is szívtunk már, nem egyszer. Beadod neki a usert meg a pass, aztán mégse hitelesít. Meg nem hajlandó TLS-t csinálni. Meg nem fogadja el a certet. Meg rossz encodinggal teszi be a csatolmányként a scannelt doksit. Meg a franc tudja...
--
"Sose a gép a hülye."
- A hozzászóláshoz be kell jelentkezni
+1, vagy inkább +100.
Mennyit szívtam vele... Egyik napról a másikra nem ment. Mindent átnéztem, factory reset, stb. És egyszercsak jó lett... OKI MFP a változatosság kedvéért.
- A hozzászóláshoz be kell jelentkezni
Konicat hagyjuk is... SMBvel főleg. Meg főleg hogy "Konica", Konica-e az a konica vagy esetleg kyocera, esetleg Océ, esetleg V*....
SMB auth belövése tényleg kínszenvedés... Nem lehetetlen ... :) FTP felejtős, marad az email.
Öröm olyan helyre beüzemelni egy nyomtatót, ahol a rendszergazda kérdezi meg, hogy mi az hogy IP cím..... az smtp szerver címet már ne is kérdezzük meg, felesleges :)
ps.: ja meg volt ilyen "telefon is" hogy hát de ott van a dugalj a falon! Miért nem patcheltük be ????? WTF? :)
- A hozzászóláshoz be kell jelentkezni
Tényleg b*szn*k az egészre a nyomtató gyártók...ipari hulladékokat gyártanak évtizedek óta!
Minap történt eset ami ide off, de tanulságos:
Ügyfélnél vagy két tucat mindenféle Ricoh. A kicsitől a nagyig, öregtől a legújabbig minden.
SNMP: egyikből jön infó másikból nem, pl. tök ugyanaz a kettő(néha három egyforma) nyomtató, fw is, config is, széria is...mégse! Miközben az őskövület (valami 2000-es évek eleji) meg megy rendesen! /Amiben a legkevésbé bíztam/ Két tucatból jó ha felét sikerült rávenni.
...és magyarázd el az ügyfélnek hogy: Bocs ezek meg ezek nem lesznek monitorozva :/
- A hozzászóláshoz be kell jelentkezni
Az ugyfelnek megmondod, hogy szart vett, vagy nem olyat, amit mondtal neki, mert gyorsan es olcson kellett.
-w-
- A hozzászóláshoz be kell jelentkezni
Nalunk is lett ebbol szivas a fiuknak...
---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"
- A hozzászóláshoz be kell jelentkezni
Nálatok klienseken, szervereken, esetleg mindkettőn előjött? Milyen OS-eken?
Köszi!
- A hozzászóláshoz be kell jelentkezni
nem akarok reklámozni, így nevet nem írok, de van olyan AV megoldás ami a nem patchelt OS-en is véd a WannaCry ellen.
- A hozzászóláshoz be kell jelentkezni