А serial console вам зачем? Воткнул патч корд в свободный ethernet и запрыгнул на L2 посредством сервиса Winbox на любой MikroTik. Хотел бы ответить работу сервисных инженеров вендора. Отвечают достаточно быстро и качественно, всегда приятно обращаться в техподдержку.
Cisco является безусловным лидером в профессиональном телекоммуникационном оборудовании. MikroTik это другое: тут и те, у которых ограничен бюджет, и те, у кого в голове появляются новые идеи и руки доходят их нагородить. Линуксоводы сразу узнают знакомые обозначения. Я бы сфилосовствовал: MikroTik - это про энтузиастов. Но Хабр - это все-таки технический форум, поэтому сформулирую мысль по-другому. MikroTik позволяют с различными допущениями или ограничениями решать большой спектр технических задач в различных сферах применения: от дачного домика за городом, до корпоративной защищённой сети.
Хороший вопрос. Хороший на него ответ. Идея собрать предметные рекомендации по администрированию сетей на базе оборудования MikroTik достойно отдельного рассмотрения, учитывая различные подходы, нюансы, «любимые и не любимые» навороты.
Если у кого-то получится смоделировать ситуацию с форума cisco (по ссылке из комментариев), тогда мои рекомендации отвалятся для тех границ, в которых будет проведено моделирование и это будет обосновано практикой, а не теоретическим выкладками и тем более инструкциями и рекомендациями.
Вы можете на практике скомпрометировать vpn l2tp сеть с утерянным pre shared key? Мои рекомендации обоснованы на том, что в исследовании этого не удалось сделать. А подвергая сомнению Ваши правильные общепринятые рекомендации можно получить новые знания, как в положительную, так и отрицательную сторону.
PKI это классно, когда работа по его поддержанию поставлена на уровне. Если в организации пока ничего для этого нет, развертывание инфраструктуры, и самое главное ее обеспечение может встать в отдельный вопрос, требующий сил и времени, а значит скорее всего и денег. Рисков в использовании sha1 в VPN не вижу никаких, даже в 2021 году.
Проведенный на практике анализ показывает, что pre shared key от MikroTik — это удобно и безопасно. Ваш концептуальный подход, конечно, более правильный, так как многогранен. Следовать рекомендациям и т.д. очень круто, но какой в этом смысл в соотношении с расходами, если трафик реально все равно не достать.
Спасибо за ваш подробный ответ. Приведённые вами аргументы расширяют представленный материал, и дают почву для дальнейших практических исследований по этой теме.
1) Мое видение, это вариант реализации от вендора.
2) Поясните подробнее, пожалуйста.
3) В бета версии пока пусто.
4) L2 засовывать в VPN канал? Вам точно это нужно?
Использовать хеш от выгрузки — это отличная идея. Избавиться от даты можно так, как вы и говорите, т.е. фильтрануть первые 5 строк, этого будет достаточно. Формат экспорта:
# mar/25/2021 17:37:45 by RouterOS 6.48.1
# software id =
#
#
#
/…
Спасибо за настройки firewall. В статье мы подходили не с позиции защиты (в частности, создания не пробиваемой стены), а с позиции создания условия для изучения зловредов.
А serial console вам зачем? Воткнул патч корд в свободный ethernet и запрыгнул на L2 посредством сервиса Winbox на любой MikroTik. Хотел бы ответить работу сервисных инженеров вендора. Отвечают достаточно быстро и качественно, всегда приятно обращаться в техподдержку.
Безопасность это не только про внешнюю сторону сети, но и про внутренние сегменты. И компрометация возможно не самого шлюза, но и оборудования в сети.
Cisco является безусловным лидером в профессиональном телекоммуникационном оборудовании. MikroTik это другое: тут и те, у которых ограничен бюджет, и те, у кого в голове появляются новые идеи и руки доходят их нагородить. Линуксоводы сразу узнают знакомые обозначения. Я бы сфилосовствовал: MikroTik - это про энтузиастов. Но Хабр - это все-таки технический форум, поэтому сформулирую мысль по-другому. MikroTik позволяют с различными допущениями или ограничениями решать большой спектр технических задач в различных сферах применения: от дачного домика за городом, до корпоративной защищённой сети.
Хороший вопрос. Хороший на него ответ. Идея собрать предметные рекомендации по администрированию сетей на базе оборудования MikroTik достойно отдельного рассмотрения, учитывая различные подходы, нюансы, «любимые и не любимые» навороты.
Если у кого-то получится смоделировать ситуацию с форума cisco (по ссылке из комментариев), тогда мои рекомендации отвалятся для тех границ, в которых будет проведено моделирование и это будет обосновано практикой, а не теоретическим выкладками и тем более инструкциями и рекомендациями.
IPsec Ikev2 бесспорно расширит статью. Спасибо за представленную практику.
Вы можете на практике скомпрометировать vpn l2tp сеть с утерянным pre shared key? Мои рекомендации обоснованы на том, что в исследовании этого не удалось сделать. А подвергая сомнению Ваши правильные общепринятые рекомендации можно получить новые знания, как в положительную, так и отрицательную сторону.
3) подтверждаю, в бета версии RouterOS 7 уже все есть (/interface wireguard).
Спасибо за ваш подробный ответ. Приведённые вами аргументы расширяют представленный материал, и дают почву для дальнейших практических исследований по этой теме.
2) не пробовал, надо тыкать, или писать вендору, что лучше;
3) интересно, сегодня опробую, отпишусь, не замечал такого в /ppp ;
4) если вы понимаете что для чего это нужно, дело меняет сторону.
2) Поясните подробнее, пожалуйста.
3) В бета версии пока пусто.
4) L2 засовывать в VPN канал? Вам точно это нужно?
# mar/25/2021 17:37:45 by RouterOS 6.48.1
# software id =
#
#
#
/…