Some interesting stuff I found on IX LANs

Интернет-экспланты (IX) остаются важной частью сетевой инфраструктуры, работая как гигантские Ethernet-коммутаторы, которые обрабатывают трафик на уровне MAC-адресов. Однако многие сети подключаются к ним с небезопасными настройками по умолчанию, предназначенными для домашних или офисных сред, что приводит к утечке информации или уязвимостям.

Сервис bgp.tools отслеживает такие проблемы, собирая широковещательный и multicast-трафик с портов IX. Среди частых находок — протоколы идентификации устройств, такие как LLDP, CDP и MNDP, которые раскрывают детали конфигурации, имена устройств, IP-адреса и версии ПО, что может быть использовано злоумышленниками. Например, пакеты Mikrotik MNDP показывают точные данные о железе и софте, включая IPv4/IPv6-адреса.

Комментарии (22)

Обсуждаются примеры грубых ошибок в настройке сетей, включая замену управляемого коммутатора на неуправляемый для подавления STP BPDU.
Участники объясняют концепцию точки обмена интернет-трафиком (IX) как специализированной LAN-сети для прямого соединения маршрутизаторов крупных провайдеров и обмена маршрутами через BGP.
Поднимается вопрос о целесообразности использования протоколов вроде LLDP и STP на публичных сегментах сети IX, так как они могут представлять дополнительный риск.
Отмечается распространенная проблема излишнего усложнения сетевых конфигураций и копирования непроверенных решений.
Обсуждаются инциденты утечки служебного трафика или данных из-за ошибок конфигурации, приведших к мосту не предназначенных для этого сетей.