sidetech

(元)インフラエンジニアの寄り道メモ。

使えるはダメな時代?

12月入りましたね。こんばんわ。今年もあと残すところは1ヶ月。私の未使用代休は・・・[E:coldsweats02]

そんな今日このごろですが、一昨日セットアップしてきたばっかりなのになぁ・・・というタイミングでRTX1210の最新ファームが昨日出ていました。。。[E:sad]
YAMAHA使いの皆様はちゃんとリリースノートみてますか?
RTX1210に限らずですが、OpenSSLから~の最近のIoT-DDoS問題まで・・・対応に死にそうですっていう人いませんかね?[E:coldsweats01] 私、かなりゲンナリしてますよ・・・とほほ。なんといってもこの手の対策は苦労が報われない[E:wobbly]
昔はっすね・・・まぁそうはいっても脆弱性があったとしても、その脆弱性の脅威に侵されるリスクが低かったり、脆弱性部分を利用していなかったりした場合は、特にファームの更新も急がず、設定もそうそう変更もないし、安定さえしていればおkと思っていました。
が・・・先日とある作業中に、自分で行ったフィルタのミスを気がついたのはいいのですが・・・これ・・・どこまで影響しているんだろ・・・結構フィルタのベースにしている部分だなぁ・・・ガクガクプルプル・・・[E:coldsweats02]・・・と、なりまして・・・。
それに気がついたのも、最近やけに変なログが多いなぁと・・・。なんでこんなログがあがるんだっけかなとConfigを調べたのがキッカケでした。
で、何が言いたいかというと、そのミスのポイントが脆弱性の部分だったらかなりアウトだなと。。。[E:bearing]
そしてなにより、例えばRTX1210現行機は良いにしても、RTX1100とかだったら・・・最終ファームが2013年ですよ。そもそもEOLなんで脆弱性情報なんてメーカーから出ない。まぁRTX1100はちょい曲者だったのでもう使っていませんが・・・参考例っす。
たとえばVPNルーターとしてみたら、どっちも同じ事出来るしね。でも後者で脆弱性対応しようもんならどうするのよってなるんすね。
ちょっと前まではまぁ、そんなリスク犯した設計にしていないし使っても大丈夫なんて思っていたけど、これからの時代はそ~とは言えなくなるっすね。私の場合は本能で機器入れ替えをしてきているので(もちろん半分ジョークです)、比較的古い機器は使っていないですが・・・実は少しだけRTX1500とか使っているんだよなぁ・・・[E:coldsweats01]
あとね・・・JuniperSSGね・・・。あ~なんか気が遠くなってきた・・・。
冗長構成環境でオンラインアップグレード出来る製品は全然楽だから比較的ぽいぽいぽいってやっているんだけどね。
やっぱ今年頑張って海外入れ替えてきてよかったなぁ・・・。気にしないで勝手にスケジューリングでアップグレードするMerakiさんは素敵だわ。某5GTなんてGUIをグローバルから扱えるようにしていたらクラッシュさせられたしね・・・[E:coldsweats01]
なんつーか、昔はセキュリティの為にICMPを切ってリスクをさげる設計をちゃんとやっていたんだけど、色々煩わしいのと世の中意外とICMP応答するのが分かって、おれも頑張ってICMP通知に耐えてやるとか思ったけど・・・またICMP切ろう・・・うん・・・そうしよう。
あれ、なんの話だっけ・・・あ、そうそうそんな訳でEOLをちゃんと管理しなくちゃねっていう事ですわ。[E:coldsweats01] EOLというよりはライフサイクルかな?
そろそろtftpでのファームアップグレードからhttpの手法に変えようか。[E:coldsweats01]