Думаю, если покопаться, окажется, что по связанным с непосредственными задачами роутера вещам микротик окажется далеко позади. Хотя прямое сравнение я провести не готов в связи со слабым пониманием возможностей микротика. Можно, скажем, открыть список связанных с OSPF фич в IOS и по пунктам проверять их наличие у микротика.
Так и циски разные бывают. Есть могучие аппаратные платформы. Есть программные, мало чем от того самого микротика отличающиеся. Из последних одни будут работать десятилетиями, а другие через год упадут из-за скончавшейся плашки памяти.
Подозреваю, что в «профессиональных» цисках, и в «wanna be professional» микротиках вся настройка только низкоуровневая и ручная.
Как бы это сказать… Можно в цисках высокоуровнево классифицировать:
Скрытый текст
router(config-cmap)#match protocol ?
appleqtc Apple Quick Time
arp IP ARP
bgp Border Gateway Protocol
bittorrent bittorrent
bridge Bridging
bstun Block Serial Tunnel
cdp Cisco Discovery Protocol
chargen Character Generator
citrix Citrix Systems Metaframe 3.0
clearcase Clearcase Server
clns ISO CLNS
clns_es ISO CLNS End System
clns_is ISO CLNS Intermediate System
cmns ISO CMNS
compressedtcp Compressed TCP (VJ)
corba-iiop CORBA Internet Inter-ORB Protocol
cuseeme CU-SeeMe desktop video conference
custom-01 Custom protocol custom-01
daytime Daytime Service
decnet DECnet
decnet_node DECnet Node
decnet_router-l1 DECnet Router L1
decnet_router-l2 DECnet Router L2
dhcp Dynamic Host Configuration
directconnect Direct Connect Version 2.0
dlsw Data Link Switching (Direct encapsulation only)
dns Domain Name Server lookup
doom Doom Id Software
echo ICMP ECHO Server
edonkey eDonkey
egp Exterior Gateway Protocol
eigrp Enhanced Interior Gateway Routing Protocol
exchange MS-RPC for Exchange
fasttrack FastTrack Traffic - KaZaA, Morpheus, Grokster...
finger Finger
fix Fix Protocol
ftp File Transfer Protocol
gnutella Gnutella Version2 Traffic - BearShare, Shareeza, Morpheus
...
gopher Gopher
gre Generic Routing Encapsulation
h323 H323 Protocol
hl7 hl7 Protocol
http World Wide Web traffic
ibm-db2 IBM DB2
icmp Internet Control Message
imap Internet Message Access Protocol
ip IP
ipinip IP in IP (encapsulation)
ipsec IP Security Protocol (ESP/AH)
ipv6 IPV6
ipx Internetwork Packet Exchange Protocol
ipx Novell IPX
irc Internet Relay Chat
isakmp Internet Security Association & Key Management Protocol
isi-gl ISI Graphics Language
kazaa2 Kazaa Version 2
kerberos Kerberos
klogin Kerberos Authenticated rlogin
kshell Kerberos Authenticated Shell
l2tp L2F/L2TP tunnel
ldap Lightweight Directory Access Protocol
llc2 llc2
lockd NFS Lock Daemon Manager
mgcp Media Gateway Control Protocol
netbios NetBIOS
netshow Microsoft Netshow
nfs Network File System
nicname Nicname Protocol
nntp Network News Transfer Protocol
notes Lotus Notes(R)
novadigm Novadigm EDM
npp Network Printing Protocol
ntp Network Time Protocol
ora-srv Oracle TCP/IP Listener
ospf Open Shortest Path First
pad PAD links
pcanywhere Symantec pcANYWHERE
pop3 Post Office Protocol
pppoe PPP over Ethernet
pptp Point-to-Point Tunneling Protocol
printer print spooler/lpd
qllc qllc protocol
rcmd BSD r-commands (rsh, rlogin, rexec)
rcp Radio Control Protocol
rip Routing Information Protocol
rsrb Remote Source-Route Bridging
rsvp Resource Reservation Protocol
rtcp Real Time Control Protocol
rtelnet Remote Telnet
rtp Real Time Protocol
rtsp Real Time Streaming Protocol
sap SAP Systems Applications Product in Data processing
secure-ftp FTP over TLS/SSL
secure-http Secured HTTP
secure-imap Internet Message Access Protocol over TLS/SSL
secure-irc Internet Relay Chat over TLS/SSL
secure-ldap Lightweight Directory Access Protocol over TLS/SSL
secure-nntp Network News Transfer Protocol over TLS/SSL
secure-pop3 Post Office Protocol over TLS/SSL
secure-telnet Telnet over TLS/SSL
sip Session Initiation Protocol
skinny Skinny Protocol
skype Skype Peer-to-Peer Internet Telephony Protocol
smtp Simple Mail Transfer Protocol
snapshot Snapshot routing support
snmp Simple Network Management Protocol
socks SOCKS
sqlexec SQL Informix
sqlnet SQL*NET for Oracle
sqlserver MS SQL Server
ssh Secured Shell
streamwork Xing Technology StreamWorks player
stun Serial Tunnel
sunrpc Sun RPC
syslog System Logging Utility
systat List Active Users
tacacs Login Host Protocol
telnet Telnet
tftp Trivial File Transfer Protocol
time Time Service
vdolive VDOLive streaming video
vnc Virtual Network Computing Connection
vofr voice over Frame Relay packets
whois++ Whois++ Service
winmx WinMx file-sharing application
xdmcp X Display Manager Control Protocol
xwindows X-Windows remote access
Но стрёмно это, NBAR много процессорных ресурсов жрет, а на многих аппаратных платформах его вообще нет.
Можно на уровне портов работать.
Распределение по очередям, разумеется, исключительно ручное. Предполагается, что человек, конфигурящий QoS, знает, что ему нужно лучше, чем любая автоматика.
Меня вот в ступор вводят всякие одногалочные веб-интерфейсы. Я не понимаю, что конкретно стоит за этими галками, в документации это разжевано слабо, в результате я нервничаю :)
Но я вообще про другое. Бесперебойную работу железки может гарантировать только соответствующая аппаратная архитектура (да и программная до кучи), и то это не всегда помогает. Никакие «мамой клянусь» и «у меня годами не падает» тут никого не интересуют.
Чушь. Использование механизма разграничения прав доступа — главный инструпент адвансед юзера. Не помогут ему как раз антивирусы и хипс (который уже практически забыт и в корпоративных системах, а на домашних подобными вещами единицы пользовались).
Без серьёзных привилегий на запись кому угодно доступна c:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ и аналоги в реестре.
Ввести синтета в ACL «running application», и разрешать писать автоматом только тем, у которых а) права такие на каталог / файл есть и б) они запущены в этом же каталоге.
А common files? А многое другое?
Прошу прощения, задача у-а-це совсем другая. О чем рассказывалось самим микрософтом неоднократно
Ссылки, конечно, не будет?
И откуда берется подобная идиотская мифология? Можно еще вспомнить ключ в реестре «nobugs», который отключает глюки винды…
запускаете музыку на проигрывание и запускаете любой инсталляк.
Зато на тысячи вольт! Это многократно перекрывает потребности жилых массивов в целом городе, ведь им надо лишь 220 вольт!
(странно, что в статье про это не написали)
Чтобы можно было спросить конкретный набор прав, а не просто «админа»
Вопрос не к винде, а к приложениям. Средствами одной только винды реализовать такое невозможно без отказа от миллионов единиц старого софта, которому реально нужны админские права.
Но и на андроид-вей жалуются. Программа для отправки СМС, заявившая о желании отправлять СМС (закономерно), запросто может отправлять СМС на платные номера, и ни черта с этим не поделаешь.
В общем, не надо ставить недоверенное ПО вне любого рода песочницы. Ни на одной платформе.
Есть масса способов альтернативно решить вопрос с «програм файлами».
С радостью послушаю варианты.
Но только чтобы обратная совместимость не улетучилась.
Микрософт выбрала именно этот. Он проще для микрософт.
Демонстрируете некомпетентность.
UAC — это НЕМЫСЛИМОЕ количество костылей, предназначенное для того, чтобы одновременно и обеспечивать защиту, и не действовать пользователю на нервы. Например, многие программы могут и без повышения прав писать в program files. Ну по крайней мере это они так думают. Но на самом деле пишут они в песочницу, а не в настоящую папку…
Самым простым было бы пойти по *NIX way, без всяких изощрений, запретительно. «Не рут => пшел нах». Только это многое могло бы сломать из старого софта.
Отвратительная. Зато излишне нервным людям не приходится лишний раз нервничать, нажимая одну кнопку.
А может и не попросить и локнуть винду/пошифровать файлы + потырить пароли.
Без серьезных привилегий локнуть винду, тем более для всех пользователей, не удастся. Шифровать файлы? А бекапы на что? Потырить пароли? Не надо их хранить на компьютере — а перехватить ввод пароля на странице зловреду не удастся.
А с правами администратора в систему можно посадить руткита, который легко сделает описанное вами. И выковырять его оттуда будет очень сложно. Установленным на самой системе антивирусом — скорее даже невозможно.
Покажите мне микротик с дублированием как у модульных коммутаторов/роутеров: два-три блока питания, два синхронизированных управляющих процессора (если выдернуть один, то аварии не произойдет), резервированная фабрика в шасси, резервированные блоки вентиляторов, несколько линейных карт с портами (все эти пункты без исключения меняются без остановки железки).
«У меня не глючило» ну вообще ни при каких обстоятельствах не является аргументом. Да и 5 лет вообще не впечатляет.
Есть антивирус, который блокирует любые вредоносные поползновения на корню.
Впервые вижу такую наивность. Хотя нет, не впервые…
Вы наверняка живете в доме без замка на входной двери, но с сигнализацией.
но мне нравится, когда я могу делать с любым файлом любые действия, а не продираться через миллиард ограничений. Взять тот же Internet Explorer — там чтобы инсталлер хрома скачать, раз пять надо подтвердить очевидное
Ну да, очень частая задача — установка Хрома. Каждый день по несколько раз выполняется. (хотя вроде как раз там повышение не запрашивается, ибо установка идет в домашнюю директорию)
А вот когда вы зайдете на зараженную страницу, она задействует один из миллиона баг в браузере класса «code execution», и этот код сразу получит права администратора… Скажем так, обычно антивирус тут не поможет.
Так вперед. На десктопной винде никаких проблем. На серверной — одну маленькую настройку поправить в свойствах IE, и станет как на десктопной.
Проблема именно в том, что серверная винда вообще не должна ходить браузером в интернет. Мне казалось, это логично.
У циски можно покупать тот функционал, который нужен.
Лежит по 8 часов в год и по 10 минут в неделю? Слабовато.
Думаю, если покопаться, окажется, что по связанным с непосредственными задачами роутера вещам микротик окажется далеко позади. Хотя прямое сравнение я провести не готов в связи со слабым пониманием возможностей микротика. Можно, скажем, открыть список связанных с OSPF фич в IOS и по пунктам проверять их наличие у микротика.
Заливать можно что угодно :)
Так и циски разные бывают. Есть могучие аппаратные платформы. Есть программные, мало чем от того самого микротика отличающиеся. Из последних одни будут работать десятилетиями, а другие через год упадут из-за скончавшейся плашки памяти.
Это какой-то лютый ужас…
Как бы это сказать… Можно в цисках высокоуровнево классифицировать:
Но стрёмно это, NBAR много процессорных ресурсов жрет, а на многих аппаратных платформах его вообще нет.
Можно на уровне портов работать.
Распределение по очередям, разумеется, исключительно ручное. Предполагается, что человек, конфигурящий QoS, знает, что ему нужно лучше, чем любая автоматика.
Меня вот в ступор вводят всякие одногалочные веб-интерфейсы. Я не понимаю, что конкретно стоит за этими галками, в документации это разжевано слабо, в результате я нервничаю :)
Но я вообще про другое. Бесперебойную работу железки может гарантировать только соответствующая аппаратная архитектура (да и программная до кучи), и то это не всегда помогает. Никакие «мамой клянусь» и «у меня годами не падает» тут никого не интересуют.
Встречный вопрос: что мешает микрософту контролировать всю трассу от порта подключения компьютера пользователя до собственного веб-сервера?
Легко может оказаться, что пользователь попадет вовсе не туда, и ему насуют зловредов.
Это, кстати, тоже не гарантия от похаканного компьютера пользователя.
Вот тут вы начинаете всерьез бредить.
Чушь. Использование механизма разграничения прав доступа — главный инструпент адвансед юзера. Не помогут ему как раз антивирусы и хипс (который уже практически забыт и в корпоративных системах, а на домашних подобными вещами единицы пользовались).
Запускаться оно будет от имени пользователя.
А common files? А многое другое?
Ссылки, конечно, не будет?
И откуда берется подобная идиотская мифология? Можно еще вспомнить ключ в реестре «nobugs», который отключает глюки винды…
Запустил. Музыка не прервалась. Видео тоже.
(странно, что в статье про это не написали)
И вообще, зачем пользоваться браузером на серверной ОС?
Вопрос не к винде, а к приложениям. Средствами одной только винды реализовать такое невозможно без отказа от миллионов единиц старого софта, которому реально нужны админские права.
Но и на андроид-вей жалуются. Программа для отправки СМС, заявившая о желании отправлять СМС (закономерно), запросто может отправлять СМС на платные номера, и ни черта с этим не поделаешь.
В общем, не надо ставить недоверенное ПО вне любого рода песочницы. Ни на одной платформе.
С радостью послушаю варианты.
Но только чтобы обратная совместимость не улетучилась.
Демонстрируете некомпетентность.
UAC — это НЕМЫСЛИМОЕ количество костылей, предназначенное для того, чтобы одновременно и обеспечивать защиту, и не действовать пользователю на нервы. Например, многие программы могут и без повышения прав писать в program files. Ну по крайней мере это они так думают. Но на самом деле пишут они в песочницу, а не в настоящую папку…
Самым простым было бы пойти по *NIX way, без всяких изощрений, запретительно. «Не рут => пшел нах». Только это многое могло бы сломать из старого софта.
Отвратительная. Зато излишне нервным людям не приходится лишний раз нервничать, нажимая одну кнопку.
Без серьезных привилегий локнуть винду, тем более для всех пользователей, не удастся. Шифровать файлы? А бекапы на что? Потырить пароли? Не надо их хранить на компьютере — а перехватить ввод пароля на странице зловреду не удастся.
А с правами администратора в систему можно посадить руткита, который легко сделает описанное вами. И выковырять его оттуда будет очень сложно. Установленным на самой системе антивирусом — скорее даже невозможно.
«У меня не глючило» ну вообще ни при каких обстоятельствах не является аргументом. Да и 5 лет вообще не впечатляет.
Впервые вижу такую наивность. Хотя нет, не впервые…
Вы наверняка живете в доме без замка на входной двери, но с сигнализацией.
Ну да, очень частая задача — установка Хрома. Каждый день по несколько раз выполняется. (хотя вроде как раз там повышение не запрашивается, ибо установка идет в домашнюю директорию)
А вот когда вы зайдете на зараженную страницу, она задействует один из миллиона баг в браузере класса «code execution», и этот код сразу получит права администратора… Скажем так, обычно антивирус тут не поможет.