Статья раскрывает подходы к организации практической безопасности сетей, построенных на оборудовании MikroTik. Угрозы разные. Способы их нейтрализации тоже разные. Что из этого использовать в собственных проектах, решать вам. Из практики, тот же не безопасно настроенный L2 может подкинуть много проблем , даже для L7.
Обратите внимание, что говорить про стандартные (default) настройки у MikroTik — это не верно. Настройка оборудования должна вестись с чистого листа. Пустой конфигурации. И угрозы могут исходить из LAN. Скоро выйдет продолжение.
Стандартные настройки для Firewall filter будут приведены во 2ой части статьи. Их в любой ситуации нужно адаптировать. На наш взгляд, MikroTik это не для дома.
Это действительно так, интернет может не завестись. Можете написать скрипт примерно по такой логике: перезагружаем пустую конфигурацию, настраиваем интернет, обновляем прошивку, заливаем конфигурацию из текстового файла (предварительно выверив ее на аналогичном обновленном устройстве).
Статья раскрывает подходы к организации практической безопасности сетей, построенных на оборудовании MikroTik. Угрозы разные. Способы их нейтрализации тоже разные. Что из этого использовать в собственных проектах, решать вам. Из практики, тот же не безопасно настроенный L2 может подкинуть много проблем , даже для L7.
Хорошо, arp-spoofing? Ip spoofing для миграции в другие подсети? И далее…
Скриптами это можно сделать. Идея, нормальная. Но мы за сертификаты)
Стандартные настройки для Firewall filter будут приведены во 2ой части статьи. Их в любой ситуации нужно адаптировать. На наш взгляд, MikroTik это не для дома.
Мы не видим опасности в stable версии.
Согласны.
1) обвязываться скриптами по импорту сертификатов
2) риск есть, лучше на месте этим заниматься , не спорим.
Медитировать !
Схема примерно такая. Знакомый ему dhcp-server пропускается без ограничений. Не знакомые пакеты (не известный бриджу dhcp-server) дропаются.
Каждый выбирает сам. Мы рекомендуем stable . Но из-за необходимости свежего функционала в некоторых решениях переходим на development. На свой риск.
Как вариант, поднять на VDS RouterOS и предварительно тренироваться на нем.
Не понятна ваша идея, поясните пожалуйста.
Согласны во всем!