Российский филиал компании Cisco Systems, одного из крупнейших мировых производителей сетевого оборудования, в силу начала санкционных действий целиком отправлен в отпуска на три месяца. Личные учётки заблокированы, сотрудникам сказано, что у них перспективные проблемы по ст. 275 и 276.
Потому что сервисы от Cisco на территории РФ - в частности smart licensing, без которого часть оборудования (относительно новое и не всех типов, если кратко) откажется работать. Бегает оно на условный https://tools.cisco.com/its/service/oddce/services/DDCEService или рядом с ним и лицензию проверяет периодически.
В силу конских, до 40%, откатов, и требований по всяким best practice - т.е. если ваша контора доросла до определённых габаритов, то надо пройти аудит у какого-нибудь KPMG, и там вам скажут, как всё должно быть настроено, чтобы соответствовать Уровню Белых Людей - Циски много буквально везде, начиная с нижнего яруса среднего уровня бизнеса. И заканчивая крупным приближённым к государству корпом - РЖД, Русгидро, Газпром-автоматизация.
До кучи к откатам выдавались покупные сертификаты, чтобы ключевые специалисты лоббировали тему закупок оборудования. Мягкий шёпот "Это же в твоих интересах, мальчик; с этой волшебной бумажкой тебя нарасхват в следующей жизни, Жизни 2.0, на Светлом Западе, трудоустроят - это твой пропуск в Иную, Успешную Жизнь" - в комплекте. Заход на человеческие эмоции, эгоизм и нарциссизм идеально работает - средний по рынку CIO за "мы тебе ещё и статус профессионала Cisco сделаем к контракту на закупку железа, у нас все возможности есть" подпишется под что угодно, приговаривая "это не криминал, это я в себя вкладываюсь, в свои личные перспективы". В ряде упомянутых фирм целые отделы сетевиков состоят из блатных пионеров с покупными сертификатами.
Теперь в итоге и инфраструктура кусками гавкнется - в некоторых сценариях, типа "Cisco ASA не в режиме transparent firewall, а по старинке, с прямым подключением через неё сегментов, стоит", совсем прямо плохо будет - и лохи с покупными бумажками будут панически на форумах строчить "да что делать-то, нам обычно всё удалённо техсаппорт из Cisco TAC настраивал, мы сами ничего не умеем".
Китай всё это с 2004 года закрыл как класс, запретив не только госструктурам, но и всем инфраструктурным предприятиям не-сертифицированное оборудование. Циски в Китае единичны, сценарий применения - "мы китайский филиал американской конторы по торговле штанами и кедами, у нас по стандартам HQ положено такую железку ставить в офис, чисто для нас самих".
Парней, которые встряли и сейчас прикидывают "Я в РЖД пусконаладочные на узле связи делал, теперь меня под статью подтащат, когда смонтированная мной циска вырубится", жалко, но такова жизнь - все взвешивают и принимают различные риски.
Вычистка инфраструктурной зависимости от Запада в плане "контора определённого уровня подпадает под аудиторские фирмы, которые навязывают нужные бренды и даже типовые конфигурации оборудования, приговаривая "вам же лучше будет" - огромная задача.
Одна из.
Комментарии
Киско? Или сиско? Вот в чем вопрос...
сиська
К которой много кто успел припасть.
Припасть можно не только к сиське
Дубль
Дубль
ну тогда уж трипль)
Тут господин Брекотин неоднократно хвалился как он 'внедренцем" работал
Пошто на уважаемых авторов бочку катите?
Майкрософт то же на выход пошла.
По сути все зарубежные - сваливают
Да конечно. Их только дустом вытравишь. "Приостанавливают".
Если при попытке возвращения их будут ждать исполнительные листы на возмещение причинённого ущерба.
В размере, кратно превышающем текущее значение гос.долга САСШ. Да с уже предоставленной платной услугой по конвертации в физическое рыжьё по курсу 28-го года…
Свалят. И ещё некоторое время будут бегать по шарику, спасаясь от коллекторов.
Непонятно чем это грозит крупному предприятию использующего Cisco?
Падением сетевой инфраструктуры и необходимостью одномоменто менять железо и заного его настраивать во всех ключевых узлах. Хотя может до этого и не дойдёт...
Это не на всех цисках, как следует из статьи. И вообще
1. В течение 24 часов все потребители оборудования Cisco на территории России будут отключены от Смарт аккаунтов.
2. В течение суток будет инициировано проверка лицензирования со стороны серверов Cisco.
Что рекомендовано сделать:
1. На выходе инфраструктуры в сеть Интернет поставить жесткий access-list с запретом трафика на адрес tools.cisco.com
Если этого не сделать, то устройства, требующие лицензирования и/или подписки, перестанут функционировать. Будет остановка функционала.
Это касается:
1. Всех решений безопасности (Cisco ISE, Cisco ASA)
2. Телефония и унифицированные коммуникации (UC)
3. Все решения Software-defined
Если сделать, то будет отложенный период от 30 до 90 дней, когда функционал оборудования сохранится.
ФСБ за это время следует идентифицировать и… задержать всех причастных к лоббированию закупки условно-работоспособного оборудования.
И поставить производителя на счётчик. По понятиям.
Даёшь удвоение гос.долга САСШ (которы, пусть с посторонней помощью, но отдавать придётся)! Да с платной услугой по конвертации в физическое рыжьё по курсу 28-го года…
часть сложного функционала, например, фильтрация, будет выключено автоматически без подтверждения со стороны управляющих серверов. Если очень грубо - равносильно выставить кишки внутренней инфраструктуры вовне: ломай, кто хочет.
Либо обратная ситуация - сеть блокируется и тем самым парализуется работа.
Например, удаление лицензии из цисковой железки приводит к тому что порты начинают работать с ограничением 10Мбит вместо 1Гбит-10Гбит
Сразу вспоминаю моду унутренних вендоодменов на выключенные пакетные фильтры.
вот вы дублей наплодили, наудаляли, но я и здесь оставлю комментарий
Предполагаю, что в условиях враждебных действий со стороны "западных партнёров" можно (и где-то даже нужно) выпилить нежелательную процедуру опроса наличия лицензии. Или подсунуть эмулятор, сообщающий системе, что у нее все в порядке.
Чтобы сделать эмулятор придётся выковорить из чипа RSA ключ. Из каждой железки свой приватный RSA ключ.
А ФСТЭК может в этом помочь? При сертификации алгоритмы генерации ключей не должны сообщаться?
RSA алгоритмы стары как дерьмо мамонта. Не в них дело. даже зная алгоритмы практически невозможно взломать пару публичный-приватный ключ.
теперь понял. спасибо
Ну и нафига сюда тащить очередное откровение этого светоча ??? Притом, что такую, простите, херню несет в массы... Да нормальных специалистов это даже не улыбает. Помнится, как лет несколько назад у меня весь почтовик был забит рекламой его мега-супер-курсов по Cisco... Ага, три дня за три копейки и ты CCNP, да он сам промышлял тем-же, про что сейчас песни поёт и типа осуждает.
Так в этом то вся и беда.
Они понаехали в 90-е, везде верещали "свобода слова, долой коррупцию!" и прочую чушь. А на самом деле это все оказалось чистая ложь. И свободы слова нет, и коррупция из самих сша пришла.
Да, этим пронизано все общество с мала до велика.
Ставится альтернативная прошивка на эти Cisco и вперед !
У нас стояла DD-WRT, если не ошибаюсь )
И не потому что "лицензия", а потому что оригинальная прошивка
резала количество соединений и вообще нехорошо когда ты купил стул, а он учит
тебя как правильно на нем сидеть )
DD-WRT? На ASR? Я хочу на это посмотреть! бгг
Не смешиваем Linksys (иногда - бытовая сиська) с рещениями рангом повыше и дымом погуще.
Не смешиваем Linksys (иногда - бытовая сиська) с рещениями рангом повыше и дымом погуще.
Тащем-та, некоторые китайские вендоры на букву Х, тоже не брезговали подобными методами сертификатами.
А так да, через 90 дней многие продукты сисько превратятся в тыкву.
Тащем-та, некоторые китайские вендоры на букву Х, тоже не брезговали подобными методами сертификатами.
А так да, через 90 дней многие продукты сисько превратятся в тыкву.
Я лично вижу ситуацию так.
Вчера было сказано, что программистов поддержат и сильно.
Программисты (ИТ-отрасль, которая и так очень сильна мозгами в России, но которых щемили всегда эти самые сиськи) сделают (разработки есть, надо просто внедрить (прийти и программу закачать, куда надо + кое-что объяснить персоналу) бооольшие объявления, что они могут помочь, войдут и помогут всем страждущим. Собственно, всё. Сисек мы у нас на рынке больше никогда не увидим. Безопасность, креативность и удобство на самом деле у наших очень хорошо всегда продуманы. У меня отец управленец проектами, если что. Знаю.
Как-то вот они с телефонным обворовыванием пенсионеров не справились. Да и с нынешней атакой на все сайты некрасиво вышло. Мне вообще ситуация, когда в России годами не могли заблокировать то телегу, то ещё что-то, а вот с Запада и с Украины всё на щелчок пальцев блокируется и ддосится, вызывает сомнения в их крутизне.
Ещё эта отрасль славна переназыванием открытых продуктов типа линуксов и опеноффисов с целью пиления бабла на "импортозамещении". Ну и ворьём, которое настолько тупо, что занимается кражей зарубежных кредиток, а потом едет за рубеж, чтобы попасть в лапы полиции.
Ну и 10000 подписей против войны, а как же.
??? А причем тут наши ИТ-специалисты? Телефонные мошенничества - это МВД и ФСБ. Там ИТ-специалист при всем желании мало что может сделать без серьезных юридических последствий. Да и другой работы, знаете ли, много.
Подобная хрень равна Войне.
Так не только эта хрень.
Блокирование ЗВР -- это уже война.
при блокировании Циски большая половина сетей в стране встанет.
пс. и это все и всегда знали.
Вы хотите сказать что у нас нет спецов, которые крякнут всю эту хрень, если на это дадут добро?
Проблема в том что вся эта хрень сертификатах, которые выдаются на 30 дней…
ну и сама цицка уже давно придумала механизм PLR
Permanent license reservation.. один раз ввёл и готово
сейчас выйдет Кукм 14.1, но на это у них есть 90 дней,
когда сама лицензия протухнет, с другой стороны из телефонии этот механизм выпиливается на раздва
для железных платформа механизм немножко другой,
но арбидол тоже есть..
обидно за тех кто эти лицензии покупали…
но я уже несколько раз писал , что считаю все это трофеями
но в нашей ситуации - теперь это законно
Давно пора.
Сам когда-то был спецом по сиське, если что.
Раз делал такое решение, что firepower стоял в полностью изолированном от интернета сегменте, и лицензионный сервер для него был развёрнут на отдельной виртуалке там же. Это в дополнение к управляющей софтине. И всё работало, причём с одобрения самой циски. Т.е. это вполне допустимое решение. Но им надо было своевременно озаботиться. Сейчас уже поздняк
Не поздно
механизм PLR
в том же FirePower включается отдельно ..
Не знаю за Cisco, но SAP как система учета и управления на постоянной лицензии, не отключаемая, это ее огромное достоинство, именно на этом она поднялась, за это любима многими заграничными структурами. Наши нефть и газ, Ростех с Вертолетами России, ОАК с Сухим, крупнейшие банки с Центробанком, крупнейшие страховщики все имеет полную лицензия с правом развития, то есть правом не только настройки и апгрейда, но и перепрограммирования всего, кроме ядра. Отключить у САПа можно только обновления и поддержку, кстати никаких принудительных и обязательных обновлений нет.
Про циски не знаю, в 99-м они были доступны по деньгам не только лишь всем. Так что в нашем депо всё делали на D-link-ах. А вот Оракл и САП... граждане, а не охренели ли вы в отаке? Какие тогда были альтернативы для крупного бизнеса? Галактика? В РЖД айтишники в то время тащили и свои разработки, и на Оракле хотели что-то своё писать, и предлагали внедрять SAP.
Выбор между "поставь SAP" и "напиши SAP себе сам" неочевиден только тогда, когда у тебя есть шеф с неограниченным админресурсом. В противном случае... как там говорили, "ещё никто не сел за покупку Windows".
Полагаю, что позже схожей логикой руководствовались применительно к Cisco. Когда работал у провайдера пейджинговой связи, у нас весь парк машин, ответственных за работу системы, бегал под FreeBSD. Когда занялись предоставлением комутируемого доступа, держали модемный пул под ними же, но дошли до расширения абонентской базы - и тут цисковское оборудование в пересчете на одну линию вышло банально дешевле. Циска роутер, циска каталист, циска пул - единое управление. Как разберёшься - работает как часы. Золотой стандарт тех лет, если угодно.
В те годы тема с СОРМом только появлялась, о безопасности едва начинали задумываться. Но - чтобы вендора пригласить дистанционно настраивать конфигурацию сети... блин, да хрен бы ему доступ дали. Да и недёшево это получалось бы. Ту же биллинговую систему для учёта трафика мы писали сами. Но - при наличии денег и с привычкой доверять поставщикам монтаж "под ключ", выбор в пользу своего айти-отдела несколько неочевиден. "Всё куплю - сказало злато", и так далее.
Блин, но это же секрет Полишенеля. Те кто крутится давно в этой теме, все прекрасно знают. Cisco Systems, SAP - это не про эффективность и качество, это про бабло, причем большое. SAP - это слезы, поинтересуйтесь, но модно и дорого
. Про Cisco Systems могу сказать только одно, когда они находят свою ошибку, они ее исправляют, но патчи для пользователей только за денежку. Т.е. мы облажались, но хотите хорошо, платите. И так почти везде, весь их Западный софт.
Это не так от слова совсем, много уникальных решений, а главное на больших массивах данных лучше, надёжнее и быстрее всех работают. Именно на сложных и объемных системах SAP хорош и экономически выгоден. К ним многие достойные сотрудники перешли.
Так все мы на крупных проектах так работаем, нередко ставимся в убыток в расчете на сопровождение. Это не «коробочные» решения от слова совсем.
Про SAP не надо, поругаемся
нет там "хороших" решений. Денежные для поставщика есть, хороших для пользователя нет. Про сопровождение я никогда и не буду спорить. Сам работаю в убыток, но чтобы потом сесть на сопровождение. Я лучше из своих заплачу программистам, но потом буду сопровождать и желательно годами 
Вы 1с не путайте. САП ставят там, где самим, кого ни найми, никак не справиться.
И подходит только действительно крупным и сложным.
Я уже писал, что 9 из 10 российских дочек иностранных банков поставили наши решения, в том числе лидеры - Росбанк (французский Сосьете), ДойчеБанк, Райфайзен, ING, Home Credit, Ренессанс и многие. И все они посчитали дороговатым и избыточно сложным САП.
Ну и есть пример. Для Вертолетов России SAP совсем не нужен, он дорог и избыточен, но он стоит на совместном предприятии с Европой (которое на территории Миля) и в Ростехе, поэтому надавили, дали денег и мы пролетели.
Я не путаю. SAP ставят там, где дурных денег дофига.
Для Сбера, Альфы или ЦБ наши решения станут дороже и делаться будут долго для исполнения всех их требований. Именно для установки наших решений нужны действительно большие деньги. И естественно я желаю развития наших систем, + благо именно с них имею.
Алекс, ну вот Вы явно не в курсе. У Сбера целые подразделения разработчиков, я бы сказал целая отрасль, у ЦБ, ну тут даже говорить не буду, у Альфы не знаю, да тут и не важно.
Эти разработчики работают над новым, мало того Сбер закрыл программу собственной разработки своего САПа, дороговато выходило, часто сомнительно, в итоге свои придумки отправили САПу, оплачивая по отдельному договору человеко-часы им.
Я к чему веду. Даже самому крупному такое одному не потянуть. Кстати ещё до байды 14-го года ЦБ организовал комиссию по продвижению и финансированию наших проектов, правда не целенаправленно для банков, а в основном для страховых, пенсионных и организованному рынку ценных бумаг, и это дало результат, поэтому привлекли на инвестиционные счета десятки миллионов лиц.
И ЦБ интересовали именно глубокие системы учета и оперативной работы и отчетности, а прикрутить к ним интернет-клиент и приложение стало высокодоходным бонусом с копеечной стоимостью.
Страницы