Я ещё в мае писал статью habr.com/post/359038
Но на некоторых ресурсах особо упёртые «админы» мне пытались доказать, что эта бага закрыта год назад.
И судя по собранной мною статистике ещё сотни тысяч устройств никак не защищены.
Лидер Бразилия, а за ней Россия. На третьем месте Индонезия.
А в целом Микротик хорошо сделал, что выпустил CHR. У меня у самого такой в VPS стоит и объединяет сети. 250 рублей в месяц в который так же входит ipv6 /64 блок от жадности РКН. Так же при необходимости туда же можно подцепить ещё сеть /48 от российского туннельного брокера.
Не вижу смысла в файл-ту-бан, т.к. он просто забивает адрес лист ненужными ip.
А если ботнет начнёт ддосить какой нибудь хап лайт? Каждый бот обратиться по три раза к твоему роутеру и у тебя кончится память.
Вообще-то о таком методе обнаружения нам и рассказывал преподаватель.
Мол умники, ничего не изменив выложили вопросы как они есть. Микротик нашёл кому в такой последовательности выдавались вопросы и отозвал сертификаты.
Но на некоторых ресурсах особо упёртые «админы» мне пытались доказать, что эта бага закрыта год назад.
И судя по собранной мною статистике ещё сотни тысяч устройств никак не защищены.
Лидер Бразилия, а за ней Россия. На третьем месте Индонезия.
Чаще всего фаервол вообще пустой.
habr.com/post/359038
В остальных случаях ipsec надо пропускать через тунель.
Как практика показала, L2TP самый быстрый протокол на mikrotik.
Не вижу смысла в этой технологии: грузит фаервол, забивает адрес-лист и т.д.
Я предлагаю использовать что-то вроде Port-knocking: Отправили пинг с правильным размером пакета на микротик — Ваш ip добавился в белый.
Подробности описывал у себя в статье: habr.com/post/359038
А в целом Микротик хорошо сделал, что выпустил CHR. У меня у самого такой в VPS стоит и объединяет сети. 250 рублей в месяц в который так же входит ipv6 /64 блок от жадности РКН. Так же при необходимости туда же можно подцепить ещё сеть /48 от российского туннельного брокера.
Правила такие же.
Но обнаружить микротик в сети ipv6 в разы сложнее. Да и на большинстве РОС ipv6 модуль вообще не установлен как на том, с которого я снимал скриншот.
Актуально только внутри брудкаст домена.
Заметьте, что я не говорю о защите сети за микротиком.
Только сам микротик.
А если ботнет начнёт ддосить какой нибудь хап лайт? Каждый бот обратиться по три раза к твоему роутеру и у тебя кончится память.
Как бы это и подразумевается.
Но я дописал в статье, так как люди могут и правда воспринять буквально.
Но, к сожалению, большинство пользователей mikrotik делают большие глаза, когда слышат слово vlan.
Баг исправлен именно в этой версии.
А сколько версий выйдет после выхода статьи — мне не известно.
Но я работаю с Mikrotik, а не с Cisco! Зачем я буду сдавать на оборудование Cisco?
А какая цена сертификата?
Судя по ценам Софтлай, то я не мало сэкономил, отдав всего 22000 русских рублей.
То есть переполучить новую лицензию на старый инстанс, перегенерировав System ID? Микротик не закрыл ещё эту халяву?
Мол умники, ничего не изменив выложили вопросы как они есть. Микротик нашёл кому в такой последовательности выдавались вопросы и отозвал сертификаты.
Хотя доля правды есть: на одном узле для Ipsec такая стоит у меня.