« Rev
@dlink_ru   103
Fwd »


Merl
я разные сети слышал и разные видел, потому то вендор и должен встраивать защиту от дурака
Ivan
Вшить защиту от дурака? Это как? Ну сделаем мы HTTPS редирект по дефолту, а наш "дурак" скачает быстро и без регистрации себе ДНС подарков или в локал-хосте пропишется. И что? Аваст, например, никак на изменение локалхоста не реагирует.
fastchip
я разные сети слышал и разные видел, потому то вендор и должен встраивать защиту от дурака
Чедовек которыц берется настраивать железо не жолжен быть идеотом и должен уметь выбирать оборужование. А вендор делает разные линейки под разные нужды.
Ivan
Пожалуй, это высказывание разместится у нас в офисе
Ivan
Merl
не раздувайте. речь всего лишь об отсутсвие опции редиректа в прошивке. удивлен, потому что приходится работать со многими подобными системами и там это байдефолт уже годами...
fastchip
Мне защита от дурака нравится на микротиках, там в большенстве ситуаций - дурак его вобще настроить не может)))
Merl
мой первый первый длинк еще в 2005 помню мог отключать хттп
Ivan
Чтобы у домохозяек каждый редирект сопровождался алярмом о сертификате.
Sergey
И чтобы наш техпод вздернулся видимо
Ivan
Кстати, Сергей, а когда SSH вкорячите вместо устаревшего Телнета? Всего то, сервер-ssh? Изи же =)
Merl
проблема запилить свежий сертификат?
Sergey
Кстати, Сергей, а когда SSH вкорячите вместо устаревшего Телнета? Всего то, сервер-ssh? Изи же =)
Это будет, да. С виндоводами правда неудобно будет, но это стоит того
Ivan
проблема запилить свежий сертификат?
Ну был у нас свежий сертификат выданный на CWM симантиком. Его раз - и отозвал/скомпромитировал Мелкософт и серт отозван. Найс....
Sergey
проблема запилить свежий сертификат?
Учтите, что сертификат все равно будет ругаться, если вы адрес роутера смените
fastchip
Ну и смену логина, хотя бы на уровне ssh без web возможности
Ivan
Это будет, да. С виндоводами правда неудобно будет, но это стоит того
Большая часть на утилитах сидит, мало кто на шел перешел. В чём там трабла то?
Sergey
Ну и смену логина, хотя бы на уровне ssh без web возможности
Вот с этим пока сложнее, из за архитектурных костылей
Merl
думаю немногие меняют сеть и шлюз соответственно
Sergey
Большая часть на утилитах сидит, мало кто на шел перешел. В чём там трабла то?
В том, что все это будет в некоем sdk 2.0, а сейчас это нереализуемо
Merl
тогда wildcard серт
Sergey
Он для поддоменов
Sergey
А не подсетей
Merl
хм.. кажись где-тр встречал для сетей... хотя могу и ошибаться
Sergey
https://www.emaro-ssl.ru/blog/ssl-for-local-domain/
Merl
понял. спс
Merl
но то, для надо добавить в админку настройки доступа к морде - это факт
Sergey
Какие настройки?
Ivan
Я хочу чтоб роутер кофе варил. Вот это факт нужная фича.
Merl
хттп хттпс
Sergey
хттп хттпс
Зачем?
Merl
зачем это делили раньше в других железках?
Sergey
Я вот когда прогерам предлагаю новые фичи, они требуют с меня обоснования, зачем это. Тоже самое я жду от вас, чтобы можно было сделать так, как вы хотите
Ivan
Штото
Ivan
Я про бэкапы.
Ivan
Ладно, сократим поиск =)))
Merl
странно, что прогерамм такие вещи надо объяснять
Sergey
@ikostyrya у меня утро и я пока не вдупляю😁
Sergey
странно, что прогерамм такие вещи надо объяснять
Не такие, а любые. Если бы они делали все подряд, времени не хватило бы ни на что. Так вот, повторюсь, зачем это в локальной сети?
Ivan
странно, что прогерамм такие вещи надо объяснять
Я больше скажу. Им составляется ТЗ.
Ivan
А ТЗ надо бы согласовать, на предмет важности, нужности, обоснованности,
Merl
дабы уменьшить вероятность получения третьим лицом доступа к админке
Ivan
Накой, если он УЖЕ в локалке?
Sergey
Merl
да многл чего можно мутить, днс свой подставить
Merl
просто пакости...
Ivan
Так. По порядку. Как то мы зашли в нарнию.
Ivan
Во первых. Переход на https по дефолту ничего не решит. Ну будет клиент знать что он точно зашел на роутер и что?
Ivan
Наличие сертификата или его отстутвие не открывает админку.
Ivan
Второе. Есть такая галка - изоляция клиентов.
Ivan
При её включении всё что сможет сделать мамкин злоумышленник с подложным "192.168.0.1" это целое ничего.
Ivan
Сюда же, есть такая тема как сегментация трафика.
Ivan
Третье. Все современные браузеры скатываются к тому, что если сайт/админка не имеют сертификата то горит красная лампочка (или ничего не горит, типо сайт не надежный) и юзверь, даже домохозяйка привыкает к надписи "HTTPS" что это типо безопасно - так же браузер сказал. Рили же.
Ivan
Если домохозяйка сомневается - добро пожаловать, вводите https://192.168.0.1 или https://dlinkrouter.local и наслаждайтесь защищенным инетом.
Ivan
А делать внутри и без того не безконечной памяти/проца лишнюю копию сервиса на предмет того что вдруг юзверь по приколу захочит выключить весь http - бред.
Ivan
Если есть аргументация, серьёзная, в обратном - велком. ВЫслушаем и заведем трекер и пойдет поедет. Только обоснование нужно весомое.
Merl
вся аргументация в данном случае будет просто набором минимальных вероятностей способствующих компроментации админского аккаунта. как я понял из ваших слов, программеров этим не убедить :). окей, не вопрос. лично для меня это совсем даже не критично, просто давно не видел админки через http - вот и удивился.
Sergey
Можете вообще веб-интерфейс и телнет прибить
Merl
... и антены отломать - выпирают слишком.
Sergey
А проще сделать нормальный пароль - и никаких проблем😁
Merl
дело не в пароле, при определенных условиях проснифить можон любой пароль.
Sergey
Хм.. Ну и при каких же?
Ivan
Хм.. Ну и при каких же?
не, человек говорит про подложное окно
Ivan
кей-логер, если угодно.
Sergey
кей-логер, если угодно.
Тут вообще ничего не поможет
Ivan
анифига. Изолятор и сегментация.
Sergey
С роутерной стороны
Sergey
Чего? Кей логгер клавиатуру перехватывает, причём тут лан трафик?
Ivan
Поясню. Суть кейлогера в этом случае в том, что ты открываешь "192.168.0.1" который нифига не "192,168,0,1", но с нашей админкой. Ну и у него окошечно - логин-пасс.... Ввёл и готово =)
« Rev
@dlink_ru   103
Fwd »