В WinBox и его протоколе общения с роутером перидически находят уязвимости. Часто эти уязвимости становятся точкой входа хакеров в инфраструктуру компании. Ещё чаще RouterOS начинает эксплуатироваться как часть ботнета. Ни того ни другого админам не хочется. А вот админить свой роутер винбоксом в большинстве случаев удобнее, чем через CLI.
Есть несколько способов решить эту проблему:
1. Фаервол. Разрешить доступ к порту винбокса только с доверенных адресов:
+ просто, легко дебажить
- не подходит для динамических адресов и случаев когда внезапно требуется подключиться к роутеру из кафе/гостиницы
2. Фаервол. Port-knocking:
+ быстро настраивается
- нужно помнить порядок подключения, если нужно расшарить подключение (дать доступ подрядчикам), то после придется менять алгоритм
3. SSH туннелирование
+ быстро настраивается, трафик шифруется в SSH
- в некоторых случаях нужен дополнительный софт
Первые два способа достаточно распространены и информацию по ним найти не составит труда.
Есть несколько способов решить эту проблему:
1. Фаервол. Разрешить доступ к порту винбокса только с доверенных адресов:
+ просто, легко дебажить
- не подходит для динамических адресов и случаев когда внезапно требуется подключиться к роутеру из кафе/гостиницы
2. Фаервол. Port-knocking:
+ быстро настраивается
- нужно помнить порядок подключения, если нужно расшарить подключение (дать доступ подрядчикам), то после придется менять алгоритм
3. SSH туннелирование
+ быстро настраивается, трафик шифруется в SSH
- в некоторых случаях нужен дополнительный софт
Первые два способа достаточно распространены и информацию по ним найти не составит труда.
Разберем третий.
Сначала нужно включить SSH форвардинг на роутере:
После чего подключаемся WinBox'ом на локалхост. При этом фаерволом роутера можно закрыть подключение на порт винбокса (TCP 8291) со всех адресов, кроме 127.0.0.1.
Если в строке подключения ssh указать вместо 127.0.0.1 другой адрес (который есть у роутера - например, фиктивный адрес бриджа), то в Active Users будем видеть этот адрес. Это можно использовать для логирования действий юзера. Нужно толкьо разобраться как (и возможно ли) разрешать разным юзерам подключаться с разных адресов.
Пока писал это, идея реализзации такого пришла, но пока выглядит сложновато. Может подписчики посоветуют как реализовать такое проще. И вообще, как вам идея такой секурности?
P.S.: проверял с Ubuntu. Под виндой должно работать с PuTTY. Для маков ограничений не вижу
Сначала нужно включить SSH форвардинг на роутере:
/ip ssh set forwarding-enabled=local
Коннектимся к роутеру по SSH. Не забывайте при этом использовать авторизацию по ключам - это самый безопасный способ. При коннекте по SSH указываем опцию форвардинга портов (ssh -L 8291:127.0.0.1:8291 admin@router.bubnovd.net)После чего подключаемся WinBox'ом на локалхост. При этом фаерволом роутера можно закрыть подключение на порт винбокса (TCP 8291) со всех адресов, кроме 127.0.0.1.
Если в строке подключения ssh указать вместо 127.0.0.1 другой адрес (который есть у роутера - например, фиктивный адрес бриджа), то в Active Users будем видеть этот адрес. Это можно использовать для логирования действий юзера. Нужно толкьо разобраться как (и возможно ли) разрешать разным юзерам подключаться с разных адресов.
Пока писал это, идея реализзации такого пришла, но пока выглядит сложновато. Может подписчики посоветуют как реализовать такое проще. И вообще, как вам идея такой секурности?
P.S.: проверял с Ubuntu. Под виндой должно работать с PuTTY. Для маков ограничений не вижу
Mikrotik Ninja
https://privacy.sexy/ Enforce privacy & security on Windows and macOS #security #privacy #windows
GitHub
GitHub - undergroundwires/privacy.sexy: Open-source tool to enforce privacy & security best-practices on Windows, macOS and Linux…
Open-source tool to enforce privacy & security best-practices on Windows, macOS and Linux, because privacy is sexy - undergroundwires/privacy.sexy
Много пишут о том как сдать экзамены, как к ним готовиться, что читать. А я написал о том, что ждет вас в процессе самого экзамена. Да, запустить экзамен не проще, чем подготовиться к нему. Надеюсь, я один такой счастливчик =)
Medium
Что плохого в сдаче экзаменов AWS из дома
Недавно я сдал экзамен AWS Solutions Architect Associate SAA-C02. Несмотря на наличие в рунете хороших статей о подготовке и сдаче этого…
Forwarded from DOFH - DevOps from hell
Код для переключения двух Ethernet провайдеров с адресами по DHCP для Mikrotik с отчётами в телегу
Forwarded from Українська девопсарня (Seva Poliakov)
Статья о том как нам самом деле работают X.509 сертификаты. Очень хорошее чтиво чтобы решить наконец-то разобраться, начать читать, отложить немного на потом и никогда не вернуться. https://darutk.medium.com/illustrated-x-509-certificate-84aece2c5c2e
Я прям несколько раз прикладывал усилия чтобы сразу прочитать, а не откладывать.
Я прям несколько раз прикладывал усилия чтобы сразу прочитать, а не откладывать.
Medium
Illustrated X.509 Certificate
Introduction
Forwarded from TechSparks
Сегодня у нас на YAC/e было немало разных анонсов, но в тему этого канала, похоже, один.
Выложили в открытый доступ онлайн-учебник по машинному обучению от ШАД.
Он:
- освежит знания о важных для машинного обучения разделах математики;
- объяснит, как учить модели и оценивать их качество;
- даст представление о том, как ML применяется на практике;
- расскажет о подходах к осмыслению принципов работы нейросетей и о том, какие идеи глубинного обучения сильнее прочих повлияли на развитие ML-отрасли.
Для начала доступна лишь базовая часть учебника; новые главы будут опубликованы позднее, поэтому следите за обновлениями. И он того стоит ;)
https://academy.yandex.ru/dataschool/book
Выложили в открытый доступ онлайн-учебник по машинному обучению от ШАД.
Он:
- освежит знания о важных для машинного обучения разделах математики;
- объяснит, как учить модели и оценивать их качество;
- даст представление о том, как ML применяется на практике;
- расскажет о подходах к осмыслению принципов работы нейросетей и о том, какие идеи глубинного обучения сильнее прочих повлияли на развитие ML-отрасли.
Для начала доступна лишь базовая часть учебника; новые главы будут опубликованы позднее, поэтому следите за обновлениями. И он того стоит ;)
https://academy.yandex.ru/dataschool/book
И ещё один интересный блог о сетях и ИТ
У автора много интересных лаб. Рекомендую почитать!
#networks #lab #link
У автора много интересных лаб. Рекомендую почитать!
#networks #lab #link
www.labnfun.ru
Lab and fun!
Блог о сетевых технологиях. MPLS, System Analysis, Legacy protocols и многое другое.
Forwarded from AWS Notes
AWS Architecture Monthly Magazine
Хочется чего-нибудь почитать по AWS, возможно, в пути или где вообще нет интернета? Может быть у вас всегда с собой Kindle или же, как я, предпочитаете бумажный вариант?
Есть классное место. Уже несколько месяцев читаю и наслаждаюсь. Ведь это не просто ссылка, которая растворится через какое-то время в вашей ленте. Это можно распечать, засунуть в рюкзак, забыть, а потом получить в лесу, или на даче без связи, истинное удовольствие.
https://aws.amazon.com/architecture/architecture-monthly/
Реально качественные статьи, тематическая подборка по для каждого месяца, лучшие авторы и рекомендации экспертов, подборка видео по теме, решения и описание референсной архитектуры — всё на самом высшем уровне. В
Очень рекомендую. Начиная с мая 2021-го года вёрстка и наполнение радикально изменились — каждый месяц увеличивается объём и качество. В AWS вспомнили про нас, кто любит читать бумагу и электронные книжки. Надеюсь, на выходе можно будет подписаться на регулярное издание и получать по (физической) почте.
На картинке журналы AWS Architecture Monthly, cкачать
▫️
▫️
▫️
▫️
#design
Хочется чего-нибудь почитать по AWS, возможно, в пути или где вообще нет интернета? Может быть у вас всегда с собой Kindle или же, как я, предпочитаете бумажный вариант?
Есть классное место. Уже несколько месяцев читаю и наслаждаюсь. Ведь это не просто ссылка, которая растворится через какое-то время в вашей ленте. Это можно распечать, засунуть в рюкзак, забыть, а потом получить в лесу, или на даче без связи, истинное удовольствие.
https://aws.amazon.com/architecture/architecture-monthly/
Реально качественные статьи, тематическая подборка по для каждого месяца, лучшие авторы и рекомендации экспертов, подборка видео по теме, решения и описание референсной архитектуры — всё на самом высшем уровне. В
pdf версии ссылки кликабельные (в бумажной, к сожалению, нет😀). Очень рекомендую. Начиная с мая 2021-го года вёрстка и наполнение радикально изменились — каждый месяц увеличивается объём и качество. В AWS вспомнили про нас, кто любит читать бумагу и электронные книжки. Надеюсь, на выходе можно будет подписаться на регулярное издание и получать по (физической) почте.
На картинке журналы AWS Architecture Monthly, cкачать
pdf:▫️
November 2021 IoT for the Edge▫️
October 2021 Aerospace▫️
September 2021 Advertising Technology▫️
August 2021 Sustainability#design
Forwarded from linkmeup
Как оказалось, уже месяц как в сеть выложили записи всех докладов с весеннего Highload++.
https://www.youtube.com/playlist?list=PLH-XmS0lSi_xQtVkWsUMSVUScK_3G_LUP
https://www.youtube.com/playlist?list=PLH-XmS0lSi_xQtVkWsUMSVUScK_3G_LUP
YouTube
HighLoad++ Весна 2021
HighLoad++ Весна 2021 Профессиональная конференция разработчиков высоконагруженных систем 17 и 18 мая 2021 https://www.highload.ru/spring/2021 Расписание - h...
Forwarded from Evil Wireless Man
Внимание, это бродкаст.
Нужна помощь.
У нашего замечательного коллеги Андрея Парамонова (он же boolochka, он же "Шапочки из фольги") сгорел дом.
Вместе с документами, имуществом и деньгами.
Это было единственное жильё ради которого они продали квартиру и переехали всей семьёй буквально месяц назад.
А теперь это горстка пепла и семья с тремя детьми осталась без ничего.
Это... Пиздец.
Я не представляю как такое можно вывозить в одиночку.
В этом чате больше трёх тысяч человек. Давайте посмотрим чего стоит наше беспроводное комьюнити.
Реквизиты для помощи Андрею ниже:
5336 6903 1358 5335 Сбер
5368 2902 3077 1083 ВТБ
5486 7420 5067 9637 Альфа
4476 2461 6196 7233 Райффайзен
Нужна помощь.
У нашего замечательного коллеги Андрея Парамонова (он же boolochka, он же "Шапочки из фольги") сгорел дом.
Вместе с документами, имуществом и деньгами.
Это было единственное жильё ради которого они продали квартиру и переехали всей семьёй буквально месяц назад.
А теперь это горстка пепла и семья с тремя детьми осталась без ничего.
Это... Пиздец.
Я не представляю как такое можно вывозить в одиночку.
В этом чате больше трёх тысяч человек. Давайте посмотрим чего стоит наше беспроводное комьюнити.
Реквизиты для помощи Андрею ниже:
5336 6903 1358 5335 Сбер
5368 2902 3077 1083 ВТБ
5486 7420 5067 9637 Альфа
4476 2461 6196 7233 Райффайзен
Forwarded from NetDevOps Space
"Как мы проверяли конфигурацию, хороша она или нет? Никак. Просто на глазок, вносим изменения напрямую через CLI и молимся. Даже функция отката конфигурации была недоступна."- интересная история о том как развернули автоматизацию сети в компании Hostinger.
Часть1
Часть2
Круто, спасибо!- 🔥
На будущее пригодится!-👍
Мне не интересно!- 😏
Хотите обсудить? Айда в чат - https://news.1rj.ru/str/automate_devnet
Больше ресурсов вы можете найти по хештегам:
#netdevops #success_story
Часть1
Часть2
Круто, спасибо!- 🔥
На будущее пригодится!-👍
Мне не интересно!- 😏
Хотите обсудить? Айда в чат - https://news.1rj.ru/str/automate_devnet
Больше ресурсов вы можете найти по хештегам:
#netdevops #success_story