这里有作Juniper的么

richsea

在国内做了多年Juniper的防火墙，
年中登陆澳洲，发现这里还是cisco和CP的天下，不知道坛子里做Juniper的TX多么？

lingyang

目前这个阶段SI的天下， multi-vendor， cisco， CP， juniper都要会才相对好找工作，  single vendor有很大的局限性了

夜游神

谁说这里是思科的天下了~~~
目前好多好多的东家都上J的设备了~~

比如说, the comm bank~~他们目前新设立了一个专门管理SRX的职位~~前一段还找我谈过~~
但是，我相当惊讶这样一个对于安全相对要求较高交敏感的环境，会用J的设备~~~

目前所有Junos based的设备都有一个与生俱来的漏洞在layer 5,只要取得管理员权限，就可以bypass所有的策略（路由策略，访问控制策略），把设备本身变成代理/跳板，进一步的入侵网络。而这个所谓的漏洞，在所有的思科设备上是基本不存在的。
################################################################################################################
还是写的详细些，免得群众们以为我在胡说八道~~
所谓的这个漏洞，是借助SSHV2的 X11 forwarding, port forwarding & Kerberos and AFS ticket passing features
几乎所有的思科设备上，这些SSHv2的子系统全部都被屏蔽掉了~~~而在Junos上，他们的开发者一点点安全的的基本概念都没有~~~这些子系统都运作良好~~~
#################################################################################################################

[ 本帖最后由 夜游神 于 2011-10-26 09:21 编辑 ]

richsea

我要把你的这个观点发给JTAC看看，让他们找豆腐撞死
嘿嘿

richsea

我感觉你后面那段解释是从CISCO网站上拿来的，现在的IT公司发现别人的一个漏洞就拼命放大，互相诋毁，跟泼妇吵架有的一拼。基本没啥道德底限。
呵呵

kr2000

telstra就大量用juniper的产品

夜游神

J的市场营销做的很好，又卖的太便宜外加上95%的人对于安全的理解都很肤浅
才会导致不少贪图眼前利益的公司，从cisco转向juniper的产品~~~~

JTAC的水平要比CTAC的水平相对低上不少~~~这个严格说来不能算是JUNOS的bug,而是他们嫁接free BSD的时候，没有弄清楚细节~~
此外我要申明的是，Cisco从来没有，也根本不需要利用这个问题去攻击Juniper

这个问题在很多linux based, Unix based 或者是所有支持SSHv2的系统上一直以来都存在（Internet Engineering Task Force关于安全类别的RFC上有多次提到这个问题）

以我这些年的实际操作经验就事论事的说，安全领域，Cisco要比Juniper做的好的多的多，比如说人家现在suite B IPsec+ikev2的产品都做的非常之成熟了，我还没有看到任何一家厂商有类似的产品阵容和方案可以与其相提并论~~~~

还不用说Junos那多如牛毛的bugs~~~就前两个月，我所在的公司已经帮他们的团队确认出3个。一个是ex82xx系列的内存溢出问题，另外两个是srx系列关于VPN的~~

再提提那不争气的NSM,我居然是这个星球上第一个roll out version2011.1 HA group的人~~~JTAC+IBM+将近1个月，才通过一个绝对不为人所知的work around解决HA devSvr failure over失败的问题（我到此时此刻，还在催他们给我一个具体的交待，为什么会发生这样令人匪夷所思的问题）~~~你如果100%根据官方的安装，管理手册去配100%失败~~~~

degra

原帖由 夜游神 于 2011-10-25 23:53 发表
谁说这里是思科的天下了~~~
目前好多好多的东家都上J的设备了~~

比如说, the comm bank~~他们目前新设立了一个专门管理SRX的职位~~前一段还找我谈过~~
但是，我相当惊讶这样一个对于安全相对要求较高交敏感的环境，会用 ...

这是一个功能。
如果可以以管理员登陆任何一台server，包括 cisco router 也可以当作跳板用

lingyang

cisco device都有hardening guide的，人为的配置错误除外。

lingyang

telstra用大量的cisco和juniper的产品， 就我所知至少一年前他们的RDN主干都是CRS，那时 bigpond买了一堆ASR9000做aggregation

spike777

维州有个运营商叫VICTRACK，全部都是Juniper设备，LZ可以去试试，我3个月前去面过，由于没Juniper经验被排成第二备胎了，不过现在认识了那个主胎和面试官。

oldboy

都是牛人，正准备做juniper呢，留名了。

rayki

原帖由 lingyang 于 2011-10-27 08:46 发表
telstra用大量的cisco和juniper的产品， 就我所知至少一年前他们的RDN主干都是CRS，那时 bigpond买了一堆ASR9000做aggregation

这个靠铺一些。  只知道。Telstra后面的云计算。 上了一些juniper的设备。曾经用cisco和他们互调过BGP.

夜游神

原帖由 gandu 于 2011-10-26 23:42 发表


这是一个功能。
如果可以以管理员登陆任何一台server，包括 cisco router 也可以当作跳板用

######################################################################################################################
能登陆上设备的账户，从广义的角度来说可以算是“管理员”，但如果是RBAC POLICY ENFORCEMENT的环境中来讲，很多可以登入上设备的账户并没有任何管理操作权限~~
之前提到的漏洞的恐怖之处在于基于静态/动态的端口映射的SSH Tunnelling，在layer3的层面上，可以完全脱离整个路由自治域内的路由规则，通过多层tunnelling堆叠从而实现对于每个hop的IP address spooning，实现从原地址打通一条自己规划的网络路径去入侵目标系统~~~而其实现的条件与被jumper的hop的账号的权限没有任何的关系~~

思科的设备上就不存在这样的问题~~如果您说的要利用cisco device做跳板，你需要在jumper设备上做额外的设置，才可以实现。上面的那个漏洞，所有的设置，和跳板本身没有任何的关系~~也就是说，在外界看来，我所有的入侵动作不过是一条条合法的ssh session而已~~~除非整个领域内有部署高端的IPS系统配合实时的network traffic logging分析系统，否则没有人可以察觉到我的入侵过程~~~
########################################################################################################################

我把业内的底子都给解释的这么直白了，不过估计这坛子上能明白我在说什么的也不会有多少个~~大家围观围观，到时候拿出去吹吹牛什么的也不错~~

[ 本帖最后由 夜游神 于 2011-10-27 11:03 编辑 ]

richsea

可惜俺在新州，暂时也没有打算搬家去维州的打算。

cisco的安全接触的不多，没办法做评价，Juniper的安全个人觉得还可以，要不然不会有那么多银行，金融机构选他。

superblue

JTAC好像没有CTAC分的那么细致，好像是一个router group就做全部router上的问题。

楼主还是用C的设备吧，一分钱一分货，赫赫。

lingyang

夜游神,你能短信我这个vulnerability的url么？我在我们的juniper war room里找不到你说的这个问题。

keke

用juniper的政府单位挺多的。juniper switch断电之后经常自己起不来，我们要经常跑腿去人工启动，有时停电之后还会直接挂，需要整个换，重新配置的。作为一个智能胳膊腿，我鄙视juniper。

lingyang

srx在做carrier-grade NAT的时候的delay是很明显的， 是架构问题。 不过juniper的人会告诉你他们的latency比cisco的ASA小， 因为他们说的是普通的switch latency， cisco说的是是真正的firewall latency， 不过很多人都不清楚这个区别而已。

说起这个真是3天3夜也说不完啊。 呵呵

[ 本帖最后由 lingyang 于 2011-10-27 11:46 编辑 ]

richsea

嗯，打算再把cisco的东西复习复习，好多年不做了，不知道现在cisco的东西比七八年前变了多少？

一分钱一分货？现在明白国内大多数电信，移动的核心路由设备都是Juniper的，可能是因为贵的原因吧

夜游神

Juniper本身并没有把这个当作vulnerability
因为他们的观点是认为这个所谓的跳板的实现的前提是取得系统的可登入帐号的前提下实现的
但是我一直不认可这样的观点
因为hacking是一个非常非常庞大的系统化工程，盗取账户不一定需要通过技术手段，更多的账号溢出是通过social engineering来实现的; 对于system privilege escalation很多很多也是通过social engineering来实现的~~
此外很多东西本身没有好与坏~~
好与坏，强与弱在于怎么利用这些东西，用在什么用途上
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
我能Ref的只有这个http://www.ietf.org/rfc/rfc4251.txt

还有这个http://en.wikipedia.org/wiki/Tunneling_protocol

[ 本帖最后由 夜游神 于 2011-10-27 11:56 编辑 ]

lingyang

针对Cisco ASA和Juniper的SRX总结一下， 呵呵，
1. With 364,000 TCP connections per second, Cisco ASA 5585-X handled 102% more connections per second than Juniper
2. Cisco throughput with EMIX frames reached 24.5 Gbps – an 11% increase compared to the SRX3600
3. ASA 5585-X can sustain 10 million concurrent connections
4. At maximum load, Cisco used 425 watts, while Juniper used 1168 watts at idle, a 64% difference in power consumption

lingyang

中国电信可是cisco shop啊， 全球最大的CRS-1、CRS-3 install base，

中国移动的确anti-cisco的。

lingyang

多谢， 多谢， 今天没分了， 稍后补上

richsea

不知道你说的SRX是哪个型号的，但是我曾经在国内最大的B2C公司用SRX3400，做NAT，直接取代cisco3800路由器。
取代的原因是3800过几天就并发数达到上限了，而把nat迁移到SRX之后，srx性能没有任何降低。因为NAT的工作是在转发平面上做的。


这个可是我自己做的哦，不是啥网站上摘来的。

[ 本帖最后由 richsea 于 2011-10-27 12:04 编辑 ]

lingyang

我晕， 3800对SRX？cisco虽败犹荣啊

SRX的型号是SRX3600

[ 本帖最后由 lingyang 于 2011-10-27 12:06 编辑 ]

richsea

是SRX3400的一块板子对你的3800，cisco哪里来的荣啊

[ 本帖最后由 richsea 于 2011-10-27 12:08 编辑 ]

richsea

我啥产品也不偏向，只希望通过讨论多了解澳洲的IT形式，看看以后该如何走

多谢多谢

夜游神

国内唯一能拿来国外吹得，就是物理条件有多优越多好了~~
仅仅就networking的软实力和对于技术的融合和规划来说，差距和西方世界至少5~10年的
=======================================================================
我感觉C的软件CODING要比J的好很多
一个像APPLE，好的软件性能最大化硬件的潜力;一个像PC(Intel+Microsoft)超豪华整容的硬件条件+shit coding
=======================================================================
也只是个人感觉，我也不偏向任何厂商~~只要是能fit for purpose的产品和方案我都爱
问题是没有什么文化的决策者们和家庭主妇本质上没有任何区别，都爱贪便宜

[ 本帖最后由 夜游神 于 2011-10-27 12:15 编辑 ]

lingyang

SRX对应ASA会比较公平, 就像不会有人去把ASA的路由功能去和路由器比较一样

[ 本帖最后由 lingyang 于 2011-10-27 12:23 编辑 ]