Vlákno názorů k článku Smyčka na ethernetu je špatná, bez přídavných ochran shodí síť od Sinuhet - STP bývá ve větších sítích často vypnutý. Nevím proč,...

STP bývá ve větších sítích často vypnutý.
Nevím proč, nikdy jsem se s problémem s STP ve mnou spravovaných sítích nesetkal, a už kdysi se říkalo, že každé trochu chytřejší zařízení STP umí, takže smyčky na ethernetu už jsou minulostí.
Ano, umí, ale často je to vypnuté.
Naposledy jsem zapnutým STP způsobil incident v nejmenovaném pražském housingu, kde ho vyžadovali vypnutý, a já to nevěděl. Zhruba hodinu trvalo, než ten switch rozhýbali. Ale co to přesně způsobilo, to nevím.
Přesně jak autor píše, je dobré kvůli tomu vést management zvlášť, nebo mít ten scénář alespoň na paměti, když síť navrhuji. Ale držel bych se zuby nehty toho, že STP by prostě mělo být zapnuté. Nikdy nevíte, kdy se poslanec rozhodne zapojit kabel.
A to je vůbec ostuda, co se tam stalo. Jedna věc je, že uživatel může způsobit takový problém; ale druhá věc je, že první, čím se to zdůvodnilo, byl ruský hackerský útok. A pak má člověk těm médiím věřit.

9. 11. 2022, 10:29 editováno autorem komentáře

Drzel bych se toho mit dobre nakonfigurovane. Tj. mit treba oddelene STP stromy.

Bohužiaľ veľa ľudí nevie (s)pracovať s informáciami a zjednodušuje na čo poukazuje váš komentár o médiach (a nie nebolo to prvé, čím sa to zdôvodnilo).
PS: Druhá vec je, ako presne to prevzali české média. To som nesledoval.

9. 11. 2022, 11:58 editováno autorem komentáře

SPT paket je technicky paket, s nahozenym I/G bitem v cilove adrese. Takze vlastne multicast. Maler nastane pokud jsou v siti switche, ktrere ho "neprectou a poslou dal" a/nebo zaroven sitche, nastavene zastavit vsechen broadcast/multicast . Dokud to nenarazi na switch, ktery se se podle pakety zaridi a reaguje pokusem znovu sestavit strom, nebo jen odpojenim linky (protoze port je nastaveny jako access, ne trunk) tak je na nestesti zadelano. Sit se rozpojuje tam kde nema.

Já to s tím ruským hackerským útokem chápu. Upřímně, prostým naivním rozumem byste asi zvládl odhadnout, že zrovna v parlamentu pravděpodobnější, než zprasená síť prostou smyčkou je, že rusáci dělají bordel. Problémem není ta informace jako spíš její víceméně neúmyslná (diletantismus) desinterpretace.

Nenaivní rozum si ovšem dovede představit IT bordel ve státních institucích takže to už tak jasné pak není.

Siti ve verejnem sektoru, kde "vrcholem" nastaveni bylo prirazeni portu do VLAN (a jinak nic) jsem ja za svuj zivot uz par potkal... Holt externi dodavatele, kterym zakaznik (statni instituce) duveruji a sami se v tom moc nevyznaji. A jako bonus pristup dodavatelu "levne koupit, draze prodat" (prece tam neutopi praci cloveka, co to udela poradne).

Na jednom nejmenovanem urade se dalo z portu tiskarny na chodbe dostat do administrativniho rozhrani pole od IBM, kde bylo trivialni heslo. Na spoustu uradu staci do tiskarny vrazit "Raspberry" se dvema porty v bridge, a mate volne pole pusobnosti.
Samozrejme ze urad plati miliony za SIEM a spoustu dalsich blackboxu, kterym nikdo nerozumi. A papirove je taky vse OK :-)

Papirove je vse vporadku, stat nezajima ze nekde po uradech jim v siti tahaj data cinani nebo rusaci. Az nastane pruser, odvola se nejaky ten namestek, pripadne se to ututla. Pred par lety jsme reportovali nejake otevrene tiskarny na vnitru, dalo se pres ne dostat do interni site. Nikoho to tehdy nezajimalo, papir od externi firmy meli.

V te dobe probihal rusky utok na polsky sejm. Takze kdyz padl slovensky parlament byla analogie na miste. Navic slovensky NBU jiz delsi dobu varuje ze to pride.

9. 11. 2022, 16:02 editováno autorem komentáře

Slovensky NBU je pripad pro dr. Chocholouska. Jednou jsme jim nahlasili megapruser a jejich reakce byla takova ze ten pruser byl dalsich 5 let nevyresen.

Nevim jak je to ted, ale drive se pouzivalo vice verzi a pod-verzi STP. A ruzne generace Cisco umely ruzne veci. Meli jsme praci kolegu ktery mel v hlave obrovskou matici toho co ktere zarizeni umi, co s cim jde propojit a na jakou verzi IOS se musi to ktere zarizeni ugradovat. Takhle to dopada v situaci kdy mate v siti ruzne stara zarizeni, ktera nechavate dozit za kazdou cenu.

Tak cely pes je zakopany v tom, jestli pouzivate standardizovane reseni (tzn. to, co popisuji IEEE normy) a nebo proprietarni reseni konkretniho vendora. Ano, treba s proprietarnim PVST od Cisca mela samozrejme spousta ostatnich zarizeni "problem" se domluvit. Ale to je holt problem vendor-locku obecne...

PVST jakožto proprietární protolol bych tak příkře neposuzoval. Šlo o klasický osud průkopníka, který předběhl ostatní, ale vývoj pak šel jinudy (Jára Cimrman by mohl vyprávět). Stejně to dopadlo v případě ISL vs. 802.1q, naopak protokol GRE se ujal (pomocí něj jsme kdysi přes IP honili IPX.
Současná verse PVST+ jednak umí spolupracovat s MST, jednak je nativně podporovaná významnými konkurenčními výrobci.

Pointa je, ze jde jde o nestandardni reseni, ktere neimplementuji zdaleka vsichni. Cilova multicastova MAC "plusovych" BPDU je jina, nez cilova multicastova MAC klasickeho STP. A pokud to plusove BPDU neni korektne zpracovano, muzou se dit skarede a necekane veci. A to, ze jini vyrobci ekvivalent PVST+ implementuji (obcas jako bonus jinak pojmenovany) jeste neznamena, ze to je by-default take zaply... no a kdyz neni, plusove BPDU tam skrz proste prolitne jako jakykoliv genericky L2 multicast. A to opravdu chcete :-)