В любой сети есть решения, которые работают, но админы понимают, что надо что-то менять и переделывать.
Хорошо если среди коллег есть человек, который превентивно бьёт тревогу и к нему прислушиваются.
Плохо, когда человек такой есть, но руководители считают, что итак важных задач хватает.
——
Проблемы, о которых вы уже знали, но откладывали на время поспокойнее, часто стреляют (даже у крупных ребят, вроде Yandex).
Иногда при перегрузках, иногда при авариях, иногда просто так, а иногда и с чьей-то помощью.
Не ждите выстрела, встретьтесь с коллегами, обсудите потенциальные проблемы, сформулируйте риски. (Риски желательно донести служебкой до руководства, чтобы не быть крайним).
Хорошо если среди коллег есть человек, который превентивно бьёт тревогу и к нему прислушиваются.
Плохо, когда человек такой есть, но руководители считают, что итак важных задач хватает.
——
Проблемы, о которых вы уже знали, но откладывали на время поспокойнее, часто стреляют (даже у крупных ребят, вроде Yandex).
Иногда при перегрузках, иногда при авариях, иногда просто так, а иногда и с чьей-то помощью.
Не ждите выстрела, встретьтесь с коллегами, обсудите потенциальные проблемы, сформулируйте риски. (Риски желательно донести служебкой до руководства, чтобы не быть крайним).
Wikipedia
Чеховское ружьё
драматургический принцип о недопустимости обманывающих ожидания элементов
На что обратить внимание в вашей сети плюсом к рекомендациям ранее, чтобы снизить риски по ИБ.
Возможно, что-то покажется очевидным, но очевидные проблемы всё равно актуальны!
❕ Обновляйте ПО на оборудовании
важно следить за новостями и читать changelog
Хорошие вендоры умеют признавать ошибки и стараются уведомить пользователях об известных проблемах.
❕ Используйте различные пароли
(не используйте одинаковые логины и пароли везде)
единый пароль очень удобен для работы с оборудованием, но также он удобен и для тех "злодеев"
❕ Не выдавайте все привилегии пользователям, которым это не требуется
Даже если у вас всё очень круто с учётками и уникальными паролями, не стоит распространять пароль с полным доступом среди всех инженеров первой линии тех.поддержки
(лучше дайте учётку только с необходимыми правами на прод и сделайте им тестовый стенд)
❕ ограничивать доступ на оборудование
Не достаточно оградить сеть управления оборудованием от сети с компами и от внешки файрволом
Также полезно включить самозащиту, защитив интерфейс управления от других устройств в той же сети
❕ IPv6
Как это тут оказалось?
К удивлению большинства, но в IPv6 есть встроенный механизм защиты от сканировани сети.
Чтобы подключиться на адрес управления, его банально сначала нужно знать (не помнить, а, например, хранить в NetBox)
——
ВНИМАНИЕ!
Выполнение всех рекомендаций, не гарантирует вам ничего.
Но если игнорировать все пункты можно собрать BINGO BFG9000
{quote}...производит опустошающий эффект, нанося огромный урон всем...{quote}
Возможно, что-то покажется очевидным, но очевидные проблемы всё равно актуальны!
❕ Обновляйте ПО на оборудовании
важно следить за новостями и читать changelog
Хорошие вендоры умеют признавать ошибки и стараются уведомить пользователях об известных проблемах.
❕ Используйте различные пароли
(не используйте одинаковые логины и пароли везде)
единый пароль очень удобен для работы с оборудованием, но также он удобен и для тех "злодеев"
❕ Не выдавайте все привилегии пользователям, которым это не требуется
Даже если у вас всё очень круто с учётками и уникальными паролями, не стоит распространять пароль с полным доступом среди всех инженеров первой линии тех.поддержки
(лучше дайте учётку только с необходимыми правами на прод и сделайте им тестовый стенд)
❕ ограничивать доступ на оборудование
Не достаточно оградить сеть управления оборудованием от сети с компами и от внешки файрволом
Также полезно включить самозащиту, защитив интерфейс управления от других устройств в той же сети
❕ IPv6
Чтобы подключиться на адрес управления, его банально сначала нужно знать (не помнить, а, например, хранить в NetBox)
——
ВНИМАНИЕ!
Выполнение всех рекомендаций, не гарантирует вам ничего.
{quote}...производит опустошающий эффект, нанося огромный урон всем...{quote}
Telegram
MTik.pro новости
Важное дополнение по уязвимости сервиса Winbox в RouterOS (подробности по ссылке в предыдущем посте):
На текущий момент нет полной уверенности, что вы не уязвимы.
Если ваш порт WinBox открыт для недоверенных сетей, предполагайте, что вы подвержены уязвимости…
На текущий момент нет полной уверенности, что вы не уязвимы.
Если ваш порт WinBox открыт для недоверенных сетей, предполагайте, что вы подвержены уязвимости…
Исследователи:
✌️Придумывают Band Steering, (переключение между двумя сетях с одним SSID, но в разных диапазонах 2,4 / 5 ГГц)
Разработчики ОС:
🤘Внедряют поддержку Band Steering на ОС устройств, для автоматического переключения к "лучшей" сети
Производители двухдиапазонных роутеров:
😳Называют сети по разному, предлагая пользователю самому выбирать сеть 2,4 или 5 ГГц
Разработчики ОС:
🤯Пилят костыль для автоматического выбора лучшей сети из двух с разными SSID
https://tttttt.me/ity_humor/7794
✌️Придумывают Band Steering, (переключение между двумя сетях с одним SSID, но в разных диапазонах 2,4 / 5 ГГц)
Разработчики ОС:
🤘Внедряют поддержку Band Steering на ОС устройств, для автоматического переключения к "лучшей" сети
Производители двухдиапазонных роутеров:
😳Называют сети по разному, предлагая пользователю самому выбирать сеть 2,4 или 5 ГГц
Разработчики ОС:
🤯Пилят костыль для автоматического выбора лучшей сети из двух с разными SSID
https://tttttt.me/ity_humor/7794
Forwarded from opennet news (HK-47)
Уязвимость в маршрутизаторах MikroTik, приводящая к выполнению кода при обработке IPv6 RA
В операционной системе RouterOS, применяемой в маршрутизаторах MikroTik, выявлена критическая уязвимость (CVE-2023-32154), позволяющая неаутентифицированному пользователю удалённо выполнить код на устройстве через отправку специально оформленного анонса маршрутизатора IPv6 (RA, Router Advertisement).
В операционной системе RouterOS, применяемой в маршрутизаторах MikroTik, выявлена критическая уязвимость (CVE-2023-32154), позволяющая неаутентифицированному пользователю удалённо выполнить код на устройстве через отправку специально оформленного анонса маршрутизатора IPv6 (RA, Router Advertisement).
MikroTik: CVE-2023-30800
Веб-сервер, используемый в MikroTik RouterOS version 6, подвержен проблеме с повреждением "heap memory" (
В результате веб сервер скрашится и сразу же перезапустится.
Проблема исправлена в RouterOS 6.49.10 stable.
RouterOS version 7 не подвержена.
----
Время обновляться!
Веб-сервер, используемый в MikroTik RouterOS version 6, подвержен проблеме с повреждением "heap memory" (
heap memory corruption issue
). Удалённый и неаутентифицированный атакующий может сформировать и отправить специфичный HTTP пакет, который воспроизведёт проблему (can corrupt the server's heap memory
).В результате веб сервер скрашится и сразу же перезапустится.
Проблема исправлена в RouterOS 6.49.10 stable.
RouterOS version 7 не подвержена.
----
Время обновляться!
cve.mitre.org
CVE -
CVE-2023-30800
CVE-2023-30800
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
Когда хочется использовать MikroTik на провайдере с GPON.
Для контекста: GPON модуль аквтивно греется.
По заявлению автора температура SFP снизилась с 70 до 42
Для контекста: GPON модуль аквтивно греется.
По заявлению автора температура SFP снизилась с 70 до 42
Forwarded from КРОС-Академия: инфоканал
Уважаемые коллеги, с 10 по 12 октября мы провели традиционное обучающее мероприятие "Академия НАГ 2023".
Предлагаем посмотреть, как это было. 🔥
Предлагаем посмотреть, как это было. 🔥
11.11 всё-таки.
Решил себя порадовать и заказал роутер с 802.11 ax.
Тем более, что уже пару домашних устройств поддерживают.
Решил себя порадовать и заказал роутер с 802.11 ax.
Тем более, что уже пару домашних устройств поддерживают.
Forwarded from Патчкорд
Наверное уже видели DOS_deck, где сейчас 14 игр под DOS в браузере. Там всё официально и по лицензиям и не всё бесплатно, но Supaplex ради которого я и зашёл и наверное только ради которого и стоит зайти, несмотря на то что есть много известного, работает без ограничений. И этого достаточно, чтобы нескучно провести вечер понедельника.
DOS_deck
Experience classic games with modern convenience. Instantly play MS-DOS games full screen in your browser with a controller.
Информационный бюллетень MikroTik — Ноябрь 2023.
#newsletter #115(Часть 1/2)
Анонс новых устройств:
LtAP LTE6 kit (2023) — $199
Уже известный LtAP LTE kit, но новый.
CME Gateway (CME22-2n-BG77) — $99
Прочный недорогой модем с низкой пропускной способностью для подключения устройств Ethernet к мобильной сети... на самом жестком бюджете!
Модем LTE4 : R11eL-EC200A-EU —$65
Модем LTE6: R11eL-FG621-EA — $85
#newsletter #115
Анонс новых устройств:
LtAP LTE6 kit (2023) — $199
Уже известный LtAP LTE kit, но новый.
CME Gateway (CME22-2n-BG77) — $99
Прочный недорогой модем с низкой пропускной способностью для подключения устройств Ethernet к мобильной сети... на самом жестком бюджете!
Модем LTE4 : R11eL-EC200A-EU —$65
Модем LTE6: R11eL-FG621-EA — $85
YouTube
LtAP LTE6 kit (New 2023 model)
A compact heavy-duty LTE access point with a built-in GPS. Add extensive networking and tracking options to your vehicle without breaking the bank! 3 MiniSIM...
Информационный бюллетень MikroTik — Ноябрь 2023.
#newsletter #115 (часть 2/2)
Новый пакет WiFi (New wifi packages)
Начиная с RouterOS 7.13, MikroTik отделяет старый
Грядёт новая и захватывающая эра для функций WiFi в RouterOS!
Также разделены базовый функционал WiFi и драйверы устройств, что позволит сократить размер пакета, чтобы осовободить место на устройствах.
Технически основной комбинированный пакет содержит только базовую wifi функциональность и CAPsMAN, так что устройства без беспроводных интерфейсов, используемые в качестве CAPsMAN, не будут использовать пространство на флешке без необходимости.
Ввиду этого меню WiFi будет отображаться на всех устройствах (даже на не имеющих беспроводные интерфейсы).
Новый пакет WiFi совместим с большим количеством устройств.
Новый пакет можно использовать даже на 802.11ac устройствах с архитектурой ARM.
Также можно использовать старый
При обновлении через "Check for Update" система самостоятельно установит корректные пакеты и драйвера.
При этом обновление возможно только с RouterOS 7.12.
Устройства на версии ниже не "увидят" релиз 7.13 через стандартный механизм обновления.
#newsletter #115 (часть 2/2)
Новый пакет WiFi (New wifi packages)
Начиная с RouterOS 7.13, MikroTik отделяет старый
wireless
package из состава основного комбинированного пакета (RouterOS bundle) и переименовывает WiFi package в просто wifi
, который теперь становится частью основного комбинированного пакета.Грядёт новая и захватывающая эра для функций WiFi в RouterOS!
Также разделены базовый функционал WiFi и драйверы устройств, что позволит сократить размер пакета, чтобы осовободить место на устройствах.
Технически основной комбинированный пакет содержит только базовую wifi функциональность и CAPsMAN, так что устройства без беспроводных интерфейсов, используемые в качестве CAPsMAN, не будут использовать пространство на флешке без необходимости.
Ввиду этого меню WiFi будет отображаться на всех устройствах (даже на не имеющих беспроводные интерфейсы).
Новый пакет WiFi совместим с большим количеством устройств.
Новый пакет можно использовать даже на 802.11ac устройствах с архитектурой ARM.
Также можно использовать старый
wireless
и новый wifi
пакеты одновременной, что позволит использовать один роутер для запуска как старого, так и нового CAPsMAN.При обновлении через "Check for Update" система самостоятельно установит корректные пакеты и драйвера.
При этом обновление возможно только с RouterOS 7.12.
Устройства на версии ниже не "увидят" релиз 7.13 через стандартный механизм обновления.
Размер основного пакета (MAIN) в KB
Актуально для устройств без беспроводных интерфейсов
=================
Суммарный размер пакетов с использованием нового WiFi пакета в KB.
Для 7.12.1 пакет main + wifiwave2
Для 7.13beta3 пакет main + wifi-qcom,wifi-qcom-ac
=================
В обоих случаях выше сокращение за счёт вынесения пакета wireless в опциональные (EXTRA).
Размер пакета wireless в RouterOS 7.13beta3 в KB
Актуально для устройств без беспроводных интерфейсов
| 7.12.1 | 7.13beta3 | уменьшение
-------|--------|-----------|-----------
ARM | 13,483 | 11,594 | 14%
ARM64 | 13,794 | 11,152 | 19%
MIPSBE | 12,088 | 9,804 | 19%
MMIPS | 11,336 | 9,169 | 19%
PPC | 21,512 | 19,009 | 12%
SMIPS | 7,736 | 7,128 | 8%
TILE | 15,579 | 14,445 | 7%
=================
Суммарный размер пакетов с использованием нового WiFi пакета в KB.
| 7.12.1 | 7.13beta3 | уменьшение
-------|--------|-----------|-----------
ARM | 23,931 | 22,238 | 7.08%
ARM64 | 24,482 | 21,576 | 11.87%
Для 7.12.1 пакет main + wifiwave2
Для 7.13beta3 пакет main + wifi-qcom,wifi-qcom-ac
=================
В обоих случаях выше сокращение за счёт вынесения пакета wireless в опциональные (EXTRA).
Размер пакета wireless в RouterOS 7.13beta3 в KB
ARM | 2,704
ARM64 | 2,564
MIPSBE | 2,620
MMIPS | 2,508
PPC | 2,896
SMIPS | 672
TILE | 1,688
Если устали от настройки кучи одинаковых роутеров MikroTik, есть отечественные ребята, которые делают решение, позволяющее запустить сеть с VPN между офисами, балансировкой каналов и мониторингом, которая настраивается в пару кликов.
Узнать больше можно на вебинаре сегодня в 13:00 YEKT (11:00 MSK)
Трансформация распределенных сетей с BI.ZONE Secure SD‑WAN 1.5
Узнать больше можно на вебинаре сегодня в 13:00 YEKT (11:00 MSK)
Трансформация распределенных сетей с BI.ZONE Secure SD‑WAN 1.5
BI.ZONE
Трансформация распределенных сетей с BI.ZONE Secure SD-WAN 1.5
Поговорим о безопасном масштабировании сети с помощью технологии SD-WAN и основных требованиях к управлению единой инфраструктурой
Наблюдаются глобальные проблемы с резолвом DNS в зоне RU.
Заметка для резервирования: держать зеркало DNS в нескольких разных доменах первого уровня
Заметка для резервирования: держать зеркало DNS в нескольких разных доменах первого уровня
Как-то незаметно в #RouterOS 7.13 появилась первоначальная поддержка IS-IS.
Routing Protocol Overview
What's new in 7.13 (2023-Dec-14 09:24):
...
*) isis - added IS-IS protocol support (CLI only);
Routing Protocol Overview