Хорошая попытка. Пока изнутри ВасяХацкер ломать не начал.

вопервых как он поподет вовнутрь во вторых он должен знать кому разрешен доступ из хостов

у меня стоит админ логин)) и мне знаете настрать, спросите почему? да потому что доступ закрыт из вне.

У меня стоит логин админ в интернеты. Почему? Да потому что у меня пароль нормальный.)

вопервых как он поподет вовнутрь во вторых он должен знать кому разрешен доступ из хостов

сотрудники компании обычно уже внутри. вопрос лишь, насколько глубоко

У меня сотрудница - безопасник по должности. Не пользуется вайфаем, потому что шлет "мегасекретные фоточки в телеграмм", видимо то что сотовый канал ломается гораздо проще, чем wpa2 не слышала....

может ей стоит тонель городить в таком случае или лучше тором пользоваться что бы не отследили?

может ей стоит тонель городить в таком случае или лучше тором пользоваться что бы не отследили?

Не считает необходимым.

еще точка с 2 интерфейсами, один к капсману, другой транзитный для одного влана

Не считает необходимым.

а не пользоваться вафлей а пользоваться мобильным инетом это разумно и необходимо?

а не пользоваться вафлей а пользоваться мобильным инетом это разумно и необходимо?

Считается да. И да, она на безопасника училась...

ну он вроде говорит что пакеты прилетают не оттуда откуда должны)

Считается да. И да, она на безопасника училась...

ну положем знаю таких научиных)

У меня сотрудница - безопасник по должности. Не пользуется вайфаем, потому что шлет "мегасекретные фоточки в телеграмм", видимо то что сотовый канал ломается гораздо проще, чем wpa2 не слышала....

Безопасники вообще дикие и странные))

Может у вас там DLP с DPI уже давно установлена. Она в курсе, а ты нет.

Может у вас там DLP с DPI уже давно установлена. Она в курсе, а ты нет.

Телефон ее личный.

Так вайфай-то корпоративный. И апстрим анализируется, логируется

Может у вас там DLP с DPI уже давно установлена. Она в курсе, а ты нет.

И длп - то чему учусь, и как бы в курсе чуть раньше)

У меня стоит логин админ в интернеты. Почему? Да потому что у меня пароль нормальный.)

Ща попробую найти, как-то я фоткал этих всех, у кого логин нормальный, прям таблица наа 1000 строк в сети моей конторы

Так вайфай-то корпоративный. И апстрим анализируется, логируется

Максимум могла бы быть прокся (и нет, ее нет), но она могла этого и не знать

Так вайфай-то корпоративный. И апстрим анализируется, логируется

И официально нет ограничений по тому куда ходить, так как вайфай в изолированном вилане от корпоративной сети. Там есть только интернеты

ну он вроде говорит что пакеты прилетают не оттуда откуда должны)

он знает откуда должны? или это зашифровано в слове loop?

У нас работа безопасником скучная, бумажная. От нее с ума сойти можно. Я попробовал и вовремя слинял. А кто-то не успел. Вот и результаты...

У нас работа безопасником скучная, бумажная. От нее с ума сойти можно. Я попробовал и вовремя слинял. А кто-то не успел. Вот и результаты...

с ума сошли?

Я слинял. Некоторые, похоже, тихо сходят.

Плюс к этому, многие айтишники считают безопасников редкими мудаками. Так себе, направление деятельности. Но иногда денежно.

Плюс к этому, многие айтишники считают безопасников редкими мудаками. Так себе, направление деятельности. Но иногда денежно.

?

Плюс к этому, многие айтишники считают безопасников редкими мудаками. Так себе, направление деятельности. Но иногда денежно.

ну к бумажной безопасности и отнощус скептически. 21 век на дворе как никак.

капсман?

картинка вот))

ну к бумажной безопасности и отнощус скептически. 21 век на дворе как никак.

В нынешнем виде, тоже скептически. Но, таки бумажная составляющая необходима в минимальном объеме. Иначе поток сознания будет, который хрен разгребешь и хрен поймешь, какая подсистема что обрабатывает и кто за что отвечает.

В нынешнем виде, тоже скептически. Но, таки бумажная составляющая необходима в минимальном объеме. Иначе поток сознания будет, который хрен разгребешь и хрен поймешь, какая подсистема что обрабатывает и кто за что отвечает.

ясен перяц, но когда ты 90 процентов сидишь в бумажках и только 10 работаешь с аппаратурой. так не должно быть

Самое смешное, многие "кибербезопасники" даже ГОСТов по ИБ не знают.

Самое смешное, многие "кибербезопасники" даже ГОСТов по ИБ не знают.

ибо нахер)

На днях было так же у заказчика. Замена свитча после роутера, на другой, полностью убрала проблему.

На днях было так же у заказчика. Замена свитча после роутера, на другой, полностью убрала проблему.

вроде нашел, ща проверю

вот вам вопрос друзья кстате

стоял у меня D-link DGS 1100-16, поменял его на микротик CRS 326. Вопрос боло подключено тв ранее мультикаст и виланом ухадило на esxi и на виртуалку с udp прокси. но теперь такая схема не работает с микротиком. и таки да на микротике включил boot SwitchOS

на той стороне стоят райсикомы и что то мне подсказывает что это еще та сатанинская железяка))

фигня какая-то: mac на eth1 и bridge2 одинаковые и mac на wlan и bridge1 тоже одинаковые, отсюда вырастает петля, когда идет обращение к радио, а попадает в бридж. на wlan mac не меняется, вернее изменить можно, но CAPsMAN его сбрасыват обратно

фигня какая-то: mac на eth1 и bridge2 одинаковые и mac на wlan и bridge1 тоже одинаковые, отсюда вырастает петля, когда идет обращение к радио, а попадает в бридж. на wlan mac не меняется, вернее изменить можно, но CAPsMAN его сбрасыват обратно

Если капсман, то wlan-интерфейсы в бридж нельзя добавлять

на той стороне стоят райсикомы и что то мне подсказывает что это еще та сатанинская железяка))

тут рылся? https://wiki.mikrotik.com/wiki/Manual:CRS3xx_series_switches#IGMP_Snooping

В бридж добавлять надо только сами капсы, которые появляются

взять, и прописать другой admin-mac на бридже

а почему система дублирует МАКи так через жопу?

из 1100 можно сделать 4011

Как ты туда sfp+ вкорячишь?

Схема с несколькими адресами на бридж, работает нестабильно, я извлек кабель из ether1, потом вернул, интернета уже не было на компьбтере, на мт был, после смены шлюза на компьютере появился

Потому, что все вы лентяи. Ленитесь прописать на бридж admin-mac. Вот он бедняга и прилетает с какого-нибудь случайного интерфейса. Потом интерфейсы в бридже то падают, то поднимаются, маки перепыгивают. И рушится ARP. И пропадает связность.

Потому, что все вы лентяи. Ленитесь прописать на бридж admin-mac. Вот он бедняга и прилетает с какого-нибудь случайного интерфейса. Потом интерфейсы в бридже то падают, то поднимаются, маки перепыгивают. И рушится ARP. И пропадает связность.

Как это сделать, примерно хотя бы?

admin-mac в свойствах бриджа

admin-mac в свойствах бриджа

Вижу, а какой мак туда писать?

Пропишите +1 к максимальному на интерфейсах

DEAD1488DEAD

DEAD1488DEAD

DEADBEEFDEAD

Надо еще Артуру посоветовать букву О с нулем не перепутать, а то бывает в маках сложно отличить

ERROR: S client not available

Серьёзно, какой мак туда написать?

Любой из интерфесов в бр дже

Серьёзно, какой мак туда написать?

+1 к максимальному на интерфейсах

Как на наклейке роутера, только +10 -- пойдет :DDD

или наоборот, -1

Блин, вы ему еще посоветуйте port horizon выставить

Я выставил мак второго интерфейса, сейчас попробую выдернуть кабель иж ether 1 и проверить

Ок, тогда +1 попробую

воу-воу. не так быстро. на компе arp надо глянуть, что распозналось

Ок, щас

На компе должно быть в arp: IP бриджа —— MAC бриджа

связку mac-ip

надо понять, какой мак комп воспринимает как получателя кадров для IP

Потому, что все вы лентяи. Ленитесь прописать на бридж admin-mac. Вот он бедняга и прилетает с какого-нибудь случайного интерфейса. Потом интерфейсы в бридже то падают, то поднимаются, маки перепыгивают. И рушится ARP. И пропадает связность.

а что мешает это сделать автоматически не дублируя маки? это ж как 2 пальца об асфальт, но прибалтам лень это сделать. так что лень тут больше их, чем пользователей

а что мешает это сделать автоматически не дублируя маки? это ж как 2 пальца об асфальт, но прибалтам лень это сделать. так что лень тут больше их, чем пользователей

ну так купите циску. там вообще прокси-арп по умолчанию включен для тупых пиндосов и ленивых админов. не можете подкрепить свою лень деньгами - трудитесь.

10.80.3.107 у меня шлюз и мак такой же как в админ мак

ну так купите циску. там вообще прокси-арп по умолчанию включен для тупых пиндосов и ленивых админов. не можете подкрепить свою лень деньгами - трудитесь.

лежит пылится, надо скинуть. надо кому? 881W с прошивкой Voice ?

Пффф. 811 хлам

Пффф. 811 хлам

881

Опечатка. 881 - хлам

В RouterOS 7 будет поддержка mtproxy

Да он отсасывать будет.

он знает откуда должны? или это зашифровано в слове loop?

вы дословно перевели что там синим написано?)))

Опечатка. 881 - хлам

не, весчь ???

Эта шляпа едва 60Мбит может NATить, если не надорвётся за такие деньги

не, весчь ???

думаю, местных переубедить не получится)

вы дословно перевели что там синим написано?)))

дословно переводить учат в начальной школе, а я уже давно это перерос

Результаты испытаний и замеров производительности. https://habr.com/company/cbs/blog/303770/

думаю, местных переубедить не получится)

ой, всё!