psk подключение чтоль?

оно unsecure

Не могу сказать, юзаю МТшные GRE+IPSec, IPIP+IPSec, поэтому не могу сказать как там в *NIX это делается...

я гре попытался пользовать, но понял что там как то очень много привязок. и в формате - прописать сколько то аккаунтов на всякий случай что бы потом легко поднять с любого клиента не прокатывает. зависть.

не, такого нельзя

оно unsecure

а у тебя какие супер-секретные данные идут?

а у тебя какие супер-секретные данные идут?

у меня не сколько секретные данные, сколько окружение параноидальное

в плане руководства?

и, кстати, почему именно никсы?

и, кстати, почему именно никсы?

потому что могут =_=

у нас есть канал мультиязычный по микроту?

яб у зарубежных коллег поспрашивал

а зачем ты ssh наружу открытым оставляешь?

Старое правило: менеджмент или с локальных адресов, или из впн.

заблочить, не? сервисы отключить, не?

Жизнь показала что иногда нужен задний ход, когда инет совсем говно))

Жизнь показала что иногда нужен задний ход, когда инет совсем говно))

port knocking, не?

заблочить, не? сервисы отключить, не?

Там список на блок формируется через 3 запроса с одного IP получаешь бан, на 4 этапе после 12 попыток 7 дней))

Я во всех верю но туда только 13 ип дошло))

Жизнь показала что иногда нужен задний ход, когда инет совсем говно))

белый список адресов откуда точно можно, там адрес своего админбокса где-нибудь арендованного

белый список адресов откуда точно можно, там адрес своего админбокса где-нибудь арендованного

выше сказали уже про кнокинг

выше сказали уже про кнокинг

ну нокинг не всегда самое удобное решение

и не надо никакого бокса

У меня L2tp под ipsec2 настроен, зачем лишний лаз и так можно из дома по RDP подключиться))

и не надо никакого бокса

смотри: iPhone, на нём Termius, оттуда ssh на админбокс, оттуда ssh во все поля, если вдруг не работает vpn по какой-то причине.

а портнокинг с айфона - не самая тривиальная задача

??а ты без вариантов))

а портнокинг с айфона - не самая тривиальная задача

тру админы не юзают iPhone))

а портнокинг с айфона - не самая тривиальная задача

ссх норм, а кнокинг не? странные вы

тру админы не юзают iPhone))

это кто тебе сказал?

ссх норм, а кнокинг не? странные вы

ssh - стандарт. портнокинг - нет.

Не знаю, я не знаю места, где инет хотя бы худо-бедно не работает

это кто тебе сказал?

у тебя, поди, макбук ещё?))

у тебя, поди, макбук ещё?))

два.

тринашка в офисе работать, и двенашка - с собой в поля таскать.

ssh - стандарт. портнокинг - нет.

чей стандарт?

два.

ну поэтому стандартами и мыслишь))

чей стандарт?

Да хотя бы RFC.

чей стандарт?

вот такой же вопрос

Да хотя бы RFC.

мы все еще про админа и его доступ на микротик?

вот такой же вопрос

RFC4251-4254 описывают )) А вот по портнокингу RFC нет.

мы все еще про админа и его доступ на микротик?

И про стандартизацию подходов к администрированию, да.

мы все еще про админа и его доступ на микротик?

похоже, что уже нет...

Не знаю, я не знаю места, где инет хотя бы худо-бедно не работает

На дальнем Востоке когда ты на даче ?

И про стандартизацию подходов к администрированию, да.

админ - на то и админ, чтобы мыслить нестандартно

И про стандартизацию подходов к администрированию, да.

ну дело ваше. а меня порткнокинг с чистыми логами вполе устраивают =)

и не надо никаких бан-листов

админ - на то и админ, чтобы мыслить нестандартно

мыслить он может хоть как. А реализовывать всё должен настолько стандартно, чтобы при замене одного админа на другого - другой подхватил на ура. Бизнес должен работать и не зависеть от конкретного админа и его «нестандартности»

и не надо никаких бан-листов

банлисты не нужны. Нужны ACL.

мыслить он может хоть как. А реализовывать всё должен настолько стандартно, чтобы при замене одного админа на другого - другой подхватил на ура. Бизнес должен работать и не зависеть от конкретного админа и его «нестандартности»

Поддерживаю. Регламин должен быть!

мыслить он может хоть как. А реализовывать всё должен настолько стандартно, чтобы при замене одного админа на другого - другой подхватил на ура. Бизнес должен работать и не зависеть от конкретного админа и его «нестандартности»

то есть, чтобы можно было также на ура тебя уволить?

мыслить он может хоть как. А реализовывать всё должен настолько стандартно, чтобы при замене одного админа на другого - другой подхватил на ура. Бизнес должен работать и не зависеть от конкретного админа и его «нестандартности»

ну какбы есть еще практика уменьшать количество точек отказа. дополнительный бокс - и ТО и угроза, в случае компрометации

то есть, чтобы можно было также на ура тебя уволить?

Да, конечно. Если есть за что.

банлисты не нужны. Нужны ACL.

Я конечно не эксперт, но по мне ACL для Вайфая только актуально.

ну какбы есть еще практика уменьшать количество точек отказа. дополнительный бокс - и ТО и угроза, в случае компрометации

Тут согласен. Но у меня, допустим, админбокс - в моей корп.сети, которая нормально резервирована, в которой всё хорошо с безопасностью, и сети я доверяю. А на микротиках (и в принципе на SSH-серверах, куда я с работы дотягиваюсь) - в «белых» ACL внесены все сети из обеих рабочих AS-ок.

ERROR: S client not available

И в эту сеть я влетаю по VPN.

Точек отказа наверчено нормально, но узкие места все резервированы по N+1, виртуалка с админбоксом архивируется в оба наших ЦОДа, так что я не переживаю за её сохранность.

Доступ к архивам тоже жёстко регламентирован

И в эту сеть я влетаю по VPN.

разговор начался (я подключился) с резервного прямого входа на рухтер, когда все остальное сломалось

сломался впн и все, пока

Всем привет! Кто нибудь юзает Dude?

разговор начался (я подключился) с резервного прямого входа на рухтер, когда все остальное сломалось

прямой не нужен вообще. Основной - из VPN, либо с локальных адресов. Резервный - с адресов из «белого» списка.

Это понятно)) У меня есть тоже VDS к которым я цыпляюсь только из корп-сети. Но к микротикам не только в офисе, я оставляю такую лозейку на случай если до офиса достучаться не смогу.

Я конечно не эксперт, но по мне ACL для Вайфая только актуально.

ACL актуален для всех менеджмент-интерфейсов сетевого оборудования.

Будь то физически выделенный интерфейс, либо сервис (SSH/SNMP/HTTP/Winbox)

Шанс что их сбрутят, я точно в следующей жизни дождусь)) А вот дырка конечно может ? но кому мы нужны. Там только боты новые микры ищют, где молодой админ её сразу врубил в сеть без настроек.

Шанс что их сбрутят, я точно в следующей жизни дождусь)) А вот дырка конечно может ? но кому мы нужны. Там только боты новые микры ищют, где молодой админ её сразу врубил в сеть без настроек.

К вопросу «кому мы нужны» - погугли сколько микротиков с открытыми WInbox-портами (8291/tcp) осело в ботнеты за апрель-май этого года

Пароли у всех нормальные были, всё хорошо. Но вот винбокс был наружу открыт.

И всё, железка в ботнете. На 1-2-3.

Ну то winbox, это и так в оприоре не безопасно было и отслеживать количество запросов нельзя. Ну точнее можно, но опять же кто открыл головой не думал.

Официальный гайд микротика:

Firewall the Winbox port from the public interface, and from untrusted networks. It is best, if you only allow known IP addresses to connect to your router to any services, not just Winbox. We suggest this to become common practice.

Ну точней, запись из официального блога про дырку в винбоксе как раз.

https://blog.mikrotik.com/security/winbox-vulnerability.html

И начните, вообще, с оф.вики: https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router

Про ACL в нём есть. Про портнокинг - ни слова, кстати.

К вопросу о стандартах, коллеги

Ну они же там Америку не открыли, это нормальная практика для безопасности. Как я и сказал кто не подумал тот и попал. А кто то и с ssh залитит без блока)) Безопасности лишней не бывает, но иногда её уж слишком много становиться))

слишком много — это не когда ты как админ не можешь зайти откуда угодно, а когда каждый вход становится болью в заднице: вспоминаешь порты и размеры пакетов для портнокинга, если вдруг идёшь не со своей железки, ищешь инструментарий для выполнения этого тук-тук-тук…

Та же передача инфраструктуры новому сис.админу, если ты это всё в голове только у себя оставишь, он же охуеет в атаке)) Ему и без Микротика будет чем заняться. А тут провайдер IP сменил тебе?

А когда ты с чужой машины стандартными средствами идёшь в свой впн, там на админбокс по стандартному ссш с паролем (!ибо админбокс наружу не светит ssh-портом) и дальше проваливаешься на все свои микротики уже с ключами — то это я считаю «достаточно безопасности»

Та же передача инфраструктуры новому сис.админу, если ты это всё в голове только у себя оставишь, он же охуеет в атаке)) Ему и без Микротика будет чем заняться. А тут провайдер IP сменил тебе?

Какая блядь голова? Всё должно быть документировано, со схемами и мануалами

Регламенты на каждую операцию

Архивы конфигов с диффами (в гите, например)

Система мониторинга

Документирован должен быть каждый чих

?страшный ты человек, последнего такого в налоговой в безопасности встречал))