Jump to content
Калькуляторы

Mikrotik и ЦРУ

Нет, stateless фаер не юзабелен, это фактически ACL в свичах.

Не юзабелен он на простом примере: ты захотел подключится по ssh. Фаер пропустил все пакеты от тебя (ну или не все а только 22 к указанному хосту, не суть)....хост ответил а пакет дропнулся, потому что правила чтобы пустить пакет с порта 22 на внутренний хост порт 1024-65535 нет.

В простейшем случае достаточно глобально пропускать внутрь те пакеты, которые по флажкам являются ответными пакетами соединения. Ну да, так файрволл будет немного дырявый и можно будет через него отправить пакет, который 'является ответом' для соединения, которого на самом деле не было. Но это более-менее все равно - хост-получатель не найдет у себя этого соединения и пакет проигнорирует.

Share this post


Link to post
Share on other sites
В простейшем случае достаточно глобально пропускать внутрь те пакеты, которые по флажкам являются ответными пакетами соединения. Ну да, так файрволл будет немного дырявый и можно будет через него отправить пакет, который 'является ответом' для соединения, которого на самом деле не было. Но это более-менее все равно - хост-получатель не найдет у себя этого соединения и пакет проигнорирует.

Это тебе для каждого UDP протокола придётся писать правила.

Допустим для DNS можно накорябать, а вот для uTP уже нет

 

Труднее понять нафига это всё, если держать таблицу стейтов не сильно напряжно, и железо это давно умеет и софт.

Share this post


Link to post
Share on other sites

хост-получатель не найдет у себя этого соединения и пакет проигнорирует

откуда такая уверенность что на хосте получателе не будет бота, который управляется через такие разрешенные протоколы

Share this post


Link to post
Share on other sites

Если есть бот, то он и сам запрос послать может. Так что в этом случае ничего не меняется.

И такой режим ну вот для самых крайних случаев, когда маршрутизатору ну совсем ресурсов не хватает.

Share this post


Link to post
Share on other sites

Какие блин правила, какой firewall. Ну найдут дырку в pppoe демоне, или хотспоте, или VPN, которые по определению должны быть открыты всем.

Есть еще масса протоколов где микротик изобретал велосипед, чтобы не раскрывать исходники по GPL.

Share this post


Link to post
Share on other sites

Там хотя бы диск можно снять и сверить содержимое с эталонным диском или тупо списком хэшей или ещё что то, в тике не судьба.

 

У микротика есть торч, можно посмотреть какие соединения и куда установлены.

Share this post


Link to post
Share on other sites
У микротика есть торч, можно посмотреть какие соединения и куда установлены.

И чо?

Если прошивка правленная далеко не факт что он тебе покажет как есть.

Share this post


Link to post
Share on other sites

Если прошивка правленная далеко не факт что он тебе покажет как есть.

 

Поэтому нужно поставить 2 микротика, и с одного смотреть какой трафик передает другой.

Share this post


Link to post
Share on other sites

Если прошивка правленная далеко не факт что он тебе покажет как есть.

 

Поэтому нужно поставить 2 микротика, и с одного смотреть какой трафик передает другой.

 

:-)))

 

NMIK=1
WHILE сомневаешся в работе последнего поставленного? AND бабки есть? DO
   Поставь еще один микротик для его контроля!
   NMIK++
DONE

Share this post


Link to post
Share on other sites

Ой, а если бы там был свободный lighthttpd, то... Да то же самое, http://www.securityfocus.com/bid/59495 (см страницу Solution - ну это же opensource, все уже все исправили сами, да?).

А это не тот lighttpd, это однофамилец под винду.

Share this post


Link to post
Share on other sites
Поэтому нужно поставить 2 микротика, и с одного смотреть какой трафик передает другой.

И что помешает с уже сломанного тика сломать все соседние?

Share this post


Link to post
Share on other sites

И что помешает с уже сломанного тика сломать все соседние?

 

вера !

Share this post


Link to post
Share on other sites

И что помешает с уже сломанного тика сломать все соседние?

 

вера !

:)

Share this post


Link to post
Share on other sites

Блин, мужики, вас родное государство насилует в особо извращенной форме а вы переживаете о том, что АНБ залезет в вашу говносеть и украдет все скрепы :) Пипец проблема! Я бы все секреты АНБ сдал, только боюсь они сдохнут со смеху если их узнают, а мне людей жалко :(

Share this post


Link to post
Share on other sites

...что АНБ залезет в вашу говносеть и украдет все скрепы...

Проблема не в том, что АНБ. А в том, что АНБ знает о дырах, но латанию их отнюдь не способствует.

 

А там, где знает один - через некоторое время знают все. Как пример - этот слив.

 

Как-то так. Мойте мозг с мылом. Читайте того-же Сноудена или Ассанджа - ои об этом говорят много и публично. :-)

Share this post


Link to post
Share on other sites

И что помешает с уже сломанного тика сломать все соседние?

 

Если правильно настраивать микротик - его не взламывают.

Указанная уязвимость работала через web - если он отключен или доступ извне закрыт (например только по IP адресам администратора) защита остается на высоте.

Share this post


Link to post
Share on other sites
Указанная уязвимость работала через web

И? У тебя даже на коммутаторах доступа веб-гуй включен.

Share this post


Link to post
Share on other sites

И? У тебя даже на коммутаторах доступа веб-гуй включен.

 

Туда доступ имеют только администраторы, поэтому нет проблем с безопасностью.

Share this post


Link to post
Share on other sites

Блин, мужики, вас родное государство насилует в особо извращенной форме а вы переживаете о том, что АНБ залезет в вашу говносеть и украдет все скрепы :) Пипец проблема! Я бы все секреты АНБ сдал, только боюсь они сдохнут со смеху если их узнают, а мне людей жалко :(

Как раз АНБ и ЦРУ лично меня беспокоит лишь в том плане, что весь их арсенал утек в свободное пользование. Соответственно воспользоваться им может кто попало, в т.ч. банальные жулики.

Share this post


Link to post
Share on other sites

Как раз АНБ и ЦРУ лично меня беспокоит лишь в том плане, что весь их арсенал утек в свободное пользование. Соответственно воспользоваться им может кто попало, в т.ч. банальные жулики.

Так я так понял их сейчас и ругают (в официальной части, а не публика) на родине не за то следят, а за то что после обнаружения дыр они должны были сообщить о них но сообщили. Но и за то что упустили это свое знание. И тем создали вот такую ситуацию, что владельцы всех этих устройств (в том числе и собственные граждане/фирмы) под угрозой оказались.

Share this post


Link to post
Share on other sites

АНБ ругали, когда их тулзы утекли, но ЦРУ почему-то опыт не переняло, только доработали утилиты до более опасного уровня, но не защитили от утечки.

Ибо сама схема работы с цивильными подрядчиками "дырявая", а по другому они не могут.

Share this post


Link to post
Share on other sites
Блин, мужики, вас родное государство насилует в особо извращенной форме а вы переживаете о том, что АНБ залезет в вашу говносеть и украдет все скрепы :) Пипец проблема! Я бы все секреты АНБ сдал, только боюсь они сдохнут со смеху если их узнают, а мне людей жалко :(

Унылый троленг.

Свои инфу не собирают просто так - им лень, а анб собирает всё что видит. Ещё и гадости делает, в виде ослабления крипты.

 

 

Если правильно настраивать микротик - его не взламывают.

Чувствую если его правильно настроить то действительно взлом не страшен - стол который он подпирает шататься не будет :)))

 

Указанная уязвимость работала через web - если он отключен или доступ извне закрыт (например только по IP адресам администратора) защита остается на высоте.

А как насчёт не указанных уязвимостей?

 

 

АНБ ругали, когда их тулзы утекли, но ЦРУ почему-то опыт не переняло, только доработали утилиты до более опасного уровня, но не защитили от утечки.

Это не научные фантазии. Всё утечет и всё сольют. Люди они такие.

Share this post


Link to post
Share on other sites
Если правильно настраивать микротик - его не взламывают.

Микротик - это одна сплошная дыра. Тут народ по ним кое-чего накопал, и ломает двумя десятками способов в особо извращённой форме.

Share this post


Link to post
Share on other sites
Если правильно настраивать микротик - его не взламывают.

Микротик - это одна сплошная дыра. Тут народ по ним кое-чего накопал, и ломает двумя десятками способов в особо извращённой форме.

 

Что-то нет массовых жалоб на форуме по этой теме.

Share this post


Link to post
Share on other sites

Ну как выложат на хабре - сразу и пойдут жалобы.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this