| 1.1, Famman (ok), 20:23, 24/10/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 Когда я вижу подобные новости, у меня возникает один вопрос, они вообще мозги включают (писатели, внедрятели, использователи), когда что-то делают. Это какая-то уникальная способность в наши дни - думать на пару шагов вперед??? Сам по себе NAT-PMP не защищен by design, так вы еще и открываете возможность использовать его снаружи.
У Зюха железки не самые дешевые, что за быдло-кодо-сборщики там сидят...
Хотя чего я о Зюхеле, если у них, перейдя на Кинетиках с прошивки 1.Х на 2.Х, у меня сложилось впечатление, что меня за полного дауна держат, судя по интерфейсу.
| | |
| |
| 2.12, byu (?), 21:19, 24/10/2014 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Когда я вижу подобные новости, у меня возникает один вопрос, они вообще
> мозги включают (писатели, внедрятели, использователи), когда что-то делают.
Нет, за это не платят.
| | |
| 2.25, Аноним (-), 02:02, 25/10/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> за полного дауна держат, судя по интерфейсу.
Не нравится? Посмотрите на openwrt, там есть печеньки. И морда где не держат за дауна. И даже конфигурационный и-фейс UCI, которым довольно удобно наруливать все из командлайна.
| | |
| 2.27, Аноним (-), 02:06, 25/10/2014 [^] [^^] [^^^] [ответить]
| +/– |
Ну фаервол то обычно на внешнем интерфейсе все блокирует. Не знаю где они столько уязвимых устройств нашли.
Этот протокол вообще не нужен. Зачем везде пихают, да еще и включают по дефолту?
| | |
| |
| 3.34, DFX (ok), 04:31, 25/10/2014 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Тем, кто только разглядывает весёлых котиков и слушает пережатую ворованую музычку в социалках - может быть...
| | |
| |
| 4.37, Аноним (-), 11:34, 25/10/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Тем, кто только разглядывает весёлых котиков и слушает пережатую ворованую музычку в
> социалках - может быть...
Зиксели и длинки как раз для таких людей, но upnp там зачем-то вкючен
| | |
|
|
| 2.32, YetAnotherOnanym (ok), 03:07, 25/10/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > NAT-PMP не защищен by design
А как его защитить? Если юзер может прописать пароль в роутере и в ПО, использующем NAT-PMP, то ему NAT-PMP просто не нужен, ибо он с теми же усилиями может прописать на этом роутере port-forwarding, а в настройках ПО - прибить номер порта гвоздями (дать такую возможность в конфиге не сложнее, чем впихнуть NAT-PMP с паролем). Этот протокол придуман как раз для тех, у кого на это мозгов не хватает.
Можно, правда, сделать workaround - использовать тот же пароль, что и для доступа к устройству. Но тогда катастрофически повышается вероятность его спалить.
| | |
| 2.36, Аноним (-), 06:21, 25/10/2014 [^] [^^] [^^^] [ответить]
| +/– |
купил роутер. Подключил. Все работает.
Не ожидал что его надо сканером портов мучать (к тому же не очень это умею)
| | |
| |
| 3.70, Аноним (-), 00:03, 26/10/2014 [^] [^^] [^^^] [ответить]
| +/– |
Наивные хомяки тоже думали что по стройке можно ходить в галстуке и без каски. А тут обана - какой-то лох с дватцатого этажа болт уронил...
| | |
|
| 2.68, robux (ok), 21:47, 25/10/2014 [^] [^^] [^^^] [ответить]
| +/– |
 Это не баг. Это фича (для АНБ).
А безопасность быдла никого не интересует.
| | |
| 2.78, edwin3d (ok), 12:56, 27/10/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Добрый день.
Знаете, Вы задали правильный вопрос. Когда-то я также задал его, когда работал в очень большой компании и видел очевидные проблемы ...знаете что мне ответил большой дядя с MBA ?: "Как мы это отразим в отчетах ? Никак. Потому - пользователи не жалуются, проблемы не существует".
| | |
|
| 1.2, Нимо Ан (?), 20:25, 24/10/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
От MikroTik не ожидал, это всё-таки не то же самое, что SOHO-классика...
| | |
| |
| 2.4, Аноним (-), 20:45, 24/10/2014 [^] [^^] [^^^] [ответить]
| +/– |
Хаха, какая приятная досада владельцев [s]хипстероского[/s] распиаренного г, а также им сочувствющих.
| | |
| |
| 3.5, Нимо Ан (?), 20:55, 24/10/2014 [^] [^^] [^^^] [ответить]
| +/– |
А что Вы предлагаете? Какие есть альтернативы за человеческие деньги?
| | |
| |
| |
| |
| 6.29, Аноним (-), 02:16, 25/10/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
> На хороший вопрос -- хороший ответ:
>> There is no "best hardware", so stop asking. Purchase something that meets your requirements.
> http://wiki.openwrt.org/toh/buyerguide
Сравнивать лего, даже создатели которого неспособны назвать хотя бы 5 100% рабочих устройств, с искоробочным устройством по цене этого лего некорректно.
И все нормально там в микртике. По дефолту служба остановлена, а в службе по дефолту внешний интерфейс блокируется, + дефолтные же правила фаервола все блокируют из интернета.
| | |
| |
| 7.65, dimqua (ok), 14:45, 25/10/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > даже создатели которого неспособны назвать хотя бы 5 100% рабочих устройств
Наверное, это потому что их куда больше пяти. А так же потому что OpenWRT можно запустить хоть на чайнике, в отличии от.
> с искоробочным устройством по цене этого лего некорректно
Пффф. MikroTik'и -- это как раз то, что по ссылке называют "overhyped, overpriced products".
| | |
|
|
|
| |
| 5.71, Аноним (-), 00:05, 26/10/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Mikrotik+FreeBSD :)))
А оно хотя-бы загружается? А то на RouterStation уже портировали. Так портировали что девайс аж с конвеера снять успели быстрее чем появился внятный порт. Как обычно, в общем :).
| | |
|
|
|
| 2.6, Andrew (??), 21:00, 24/10/2014 [^] [^^] [^^^] [ответить]
| +5 +/– | |
В RouterOS, в общем случае, все инртерфейсы равноправны. Какой из интерфейсов WAN- решает администратор, а не ОС. В настройках UPnP есть возможность выбрать активные интерфейсы. По-умолчанию служба UPnP вообще отключена. Если криворукий админ включил ее на всех интерфейсах, не разбираясь, что и зачем он делает, это НЕ проблема вендора.
Вывод: Микротик в данном конкретном случае не виноват, и мне не понятно, зачем авторы этого исследования на него бочку катят.
| | |
| |
| 3.17, Аноним (-), 22:00, 24/10/2014 [^] [^^] [^^^] [ответить] | –2 +/– | В openwrt тоже Это правда еще от устройства железяки зависит Скажем железку с ... большой текст свёрнут, показать | | |
| |
| 4.28, bOOster (?), 02:13, 25/10/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
> группы, трафф между которыми - только через проц. А если у
> кого WAN выделенным портом - ну он выделенный порт, это на
> уровне подключения к процу так. Хотя свич при этом опять же
> можно порезать на дополнительные группы, это не совсем эквивалентно по скорости.
Да?
> В том плане что выделенный хардварный и-фейс - быстрее чем свич
Хыхы. То есть ты нам тут задвигаешь что Routing Layer 3 оказывается быстрее Layer 2/ARP по модели OSI? :)))
> распиленый вланами, где трафф в проц пхается.
То есть в хардварном варианте походу "Святой Дух" свитчеванием занимается, а в случае VLAN проц?? :)))))))
| | |
| |
| 5.31, Аноним (-), 02:24, 25/10/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
Вообще, там есть 1 или несколько свичей, которые могут что-то делать без отправки в ядро (в т ч маршрутизировать между своими портами, маркировать вланы или блокировать какой-то трафик (до 30 правил фаерфола)) Это все хардварно и естественно быстрее чем программно. Они там используют термин fibre speed вроде, т е скорость ограничена только каналом.
Между свичами связь уже через ядро. ееще можно 1 свчи разбить на сколько угодно поменьше со связью через ядро, т к вланы в обычном случае и не требуются.
| | |
| |
| 6.38, bOOster (?), 11:36, 25/10/2014 [^] [^^] [^^^] [ответить]
| +/– |
switch и там работают только на уровне Layer2 (VLAN тоже на этом уровне крутиться). Layer3 всегда идет через центральный проц. Выделенные интерфейсы в системе ethX (Linux) или (argeX) FreeBSD - это чисто виртуальные интерфейсы, работающие внутри switch кристалла на том-же VLAN принципе.
| | |
|
| 5.72, Аноним (-), 00:16, 26/10/2014 [^] [^^] [^^^] [ответить] | –1 +/– | Да Если к процу от свича идет такой же гигабитный линк как остальные порты - по... большой текст свёрнут, показать | | |
|
|
| 3.41, commiethebeastie (ok), 11:40, 25/10/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
 >В RouterOS, в общем случае, все инртерфейсы равноправны. Какой из интерфейсов WAN- решает администратор, а не ОС. В настройках UPnP есть возможность выбрать активные интерфейсы. По-умолчанию служба UPnP вообще отключена. Если криворукий админ включил ее на всех интерфейсах, не разбираясь, что и зачем он делает, это НЕ проблема вендора.
Наглое циничное враньё человека не разбирающегося в сабже. Там применяется обыкновенный soft switch, но при этом wan идёт отдельным чипом.
>Вывод: Микротик в данном конкретном случае не виноват, и мне не понятно, зачем авторы этого исследования на него бочку катят.
Микротик это такой же форк древнего wrt как и зюксель. Только микротик еще и наглые воры.
| | |
| |
| 4.46, zelfix (?), 12:44, 25/10/2014 [^] [^^] [^^^] [ответить]
| +/– |
микротик микротику рознь. В ccr ты точно выделенного wan порта не найдешь
| | |
| |
| |
| 6.52, Andrew (??), 13:13, 25/10/2014 [^] [^^] [^^^] [ответить]
| +/– |
В новости вообще не упоминаются конкретный железки, только вендоры. Операционка (RouterOS) на всех устройствах от Микротик одинаковая, только собрана для разных аппаратных платформ (каковых в настоящее время поддерживается пять). Различия в интерфейсе конфигурации и настройках по-умолчанию от железки к железке минимальны.
| | |
| |
| 7.55, commiethebeastie (ok), 13:26, 25/10/2014 [^] [^^] [^^^] [ответить]
| +/– |
Ты же однозначно написал про равноправность портов, а на том же 951-м микротике это не так. А то что вечно недоделанная поделка под названием routeros везде одинаковая это я знаю.
| | |
| |
| 8.57, Andrew (??), 13:31, 25/10/2014 [^] [^^] [^^^] [ответить] | +/– | Вы про какой именно 951й Их три разных есть В любом случае, в любом из этих тр... текст свёрнут, показать | | |
|
|
|
|
| 4.47, Andrew (??), 12:58, 25/10/2014 [^] [^^] [^^^] [ответить] | +2 +/– | Зато Вы, видимо, эксперт Начнем с того, что soft switch - это устоявшийся терм... большой текст свёрнут, показать | | |
| |
| 5.50, commiethebeastie (ok), 13:10, 25/10/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>Начнем с того, что "soft switch"- это устоявшийся термин из области VoIP. Что такое "soft switch" применительно к сетям передачи данных мне не ведомо.
Коммутатор на одном чипе, порты разделены вланами. А вот wan там как раз отдельным чипом.
>CCR, CRS
Вообще-то в новостях написано про soho железки, если вы не заметили.
>Эм... Я ничего не знаю про "зюксель", однако... Первый коммит в репозитории OpenWRT датирован 28 марта 2004 года. Первая версия RouterOS была выпущена в 1997 году, а в 2002 году Микротик начал выпускать железо под собственным брэндом.
unpacknpk.py вам в руки. И любуйтесь украденным. Но что характерно бизибокс они не положили, предпочли bash, наглые и трусливые воришки.
| | |
| |
| 6.53, Andrew (??), 13:17, 25/10/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Вообще-то в новостях написано про soho железки, если вы не заметили.
Повторюсь.
В новости вообще не упоминаются конкретный железки, только вендоры. Операционка (RouterOS) на всех устройствах от Микротик одинаковая, только собрана для разных аппаратных платформ (каковых в настоящее время поддерживается пять). Различия в интерфейсе конфигурации и настройках по-умолчанию от железки к железке минимальны.
> unpacknpk.py вам в руки. И любуйтесь украденным. Но что характерно бизибокс они не положили, предпочли bash, наглые и трусливые воришки.
В 6.20 именно BusyBox. Bash-ем там "и не пахнет". Лично проверял несколько недель назад (в процессе вот этого обсуждения: http://forum.mikrotik.com/viewtopic.php?f=2&t=89528).
| | |
|
| 5.80, edv (?), 20:02, 28/10/2014 [^] [^^] [^^^] [ответить]
| +/– |
 Спасибо за подборку информации, а то уж глаза округляться начали от этого троля.
| | |
|
|
|
| 2.16, Аноним (-), 21:56, 24/10/2014 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> не то же самое, что SOHO-классика...
Это обычное хомяковое железо, чаще всего атерос, на котором запустили опаскуженный вариант дебиана. Почему опаскуженный? А потому что сделать дебиан какой-то полупроприетарной системой на которую сорц получить гемор - редкое паскудство.
| | |
| |
| 3.45, commiethebeastie (ok), 11:45, 25/10/2014 [^] [^^] [^^^] [ответить]
| +/– | |
>полупроприетарной
100% проприентарной. С невозможностью делать сторонними модулями и подписями прошивок. Благо там tftp есть и устройства прошиваются в нужный тебе девайс.
| | |
| |
| 4.73, Аноним (-), 00:21, 26/10/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> 100% проприентарной.
Ну там вроде можно сорц запросить. Но без бинарных компонентов и максимально геморно. Уродская фирмочка, скажем прямо. В том плане что пересобрать их мегакостылище малой кровью не получится. Что впрочем к лучшему.
> Благо там tftp есть и устройства прошиваются в нужный тебе девайс.
Да бэкдорнутая система по сути. Какими-то лицензиями еще барыжат, куча фаготов. И кстати там проприетарный бутлоадер. Вообще-то с таким не поздравляют - а ты его код проверял? А то мало ли что он окромя tftp умеет...
| | |
|
| 3.49, Andrew (??), 13:06, 25/10/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Это обычное хомяковое железо, чаще всего атерос, на котором запустили опаскуженный вариант дебиана.
Очень разное железо (в том числе и "обычное хомяковое").
И что дает Вам основания утверждать, что RouterOS- это вариант Debian?
| | |
| |
| 4.51, commiethebeastie (ok), 13:13, 25/10/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Очень разное железо (в том числе и "обычное хомяковое").
> И что дает Вам основания утверждать, что RouterOS- это вариант Debian?
Вы абсолютно не понимаете откуда идут корни wrt, routeros и emdebian. Это наглые циничные воришки, которые еще умудряются утверждать, что routeros их разработка.
| | |
| |
| |
| 6.56, Andrew (??), 13:26, 25/10/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> История Embedian началась в 200 году
Пардон, опечатался. Имелось в виду в 2000 (двухтысячном), конечно же.
| | |
| 6.59, commiethebeastie (ok), 13:40, 25/10/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> Вы абсолютно не понимаете откуда идут корни wrt, routeros и emdebian.
> Проверяйте источники, уважаемый. История Embedian началась в 200 году (пруф: http://www.emdebian.org/about/history.html),
> а первая версия RouterOS, как я уже писал, увидела свет в
> 1997.
Ага, и uclibc случайно 2010 года там оказался? Только сейчас вы скажете "вы всё врети"! Ведь роутерос возникла раньше чем uclibc!
| | |
|
|
|
|
|
| 1.10, Нанобот (ok), 21:10, 24/10/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Таким образом мы в очередной раз убеждаемся, что роутеры д-линк защищены лучше, чем какой-то непонятный мокротык
| | |
| |
| 2.24, Аноним (-), 01:55, 25/10/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Таким образом мы в очередной раз убеждаемся, что роутеры д-линк защищены лучше,
> чем какой-то непонятный мокротык
Сравнили, блин, одно - навоз, другое - гуано. Разница, панимаишь!
| | |
| 2.81, anonymus (?), 03:14, 29/10/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Таким образом мы в очередной раз убеждаемся,
> что роутеры д-линк защищены лучше,
> чем какой-то непонятный мокротык
Ну да, у микротик защиты от дурака нет, он вообще не для них рассчитан. Напоминает новости о "взломах" линукс-прошивок, когда просканили сеть и нашли десятки тысяч роутеров с дефолтными паролями.
| | |
| |
| 3.84, Андрей (??), 23:42, 06/11/2014 [^] [^^] [^^^] [ответить]
| +/– | |
MikroTik проблеме не подвержен!!! читайте внимательно оригинал!
"MikroTik Not affected"
| | |
|
|
| |
| |
| 3.18, Аноним (-), 22:01, 24/10/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> nmap -sU -p5351 127.0.0.1
Сканить нмапом локалхост - это конечно очень показательно :).
| | |
| |
| 4.22, Аноним (-), 22:58, 24/10/2014 [^] [^^] [^^^] [ответить]
| +/– |
а ты хотел что бы я тебе свой айпи оставил?
я надеялся на твою смекалку, что ты сам удаленно просканишь сам себя
| | |
|
|
| 2.30, bOOster (?), 02:22, 25/10/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Онлайн сканер портов пишет, что 5351 закрыт. Значит у меня всё нормуль?
UPnP отключать сразу и навсегда. Тянет это за собой, правда проблемы с NAT Traversal, особенно для SIP девайсов, достаточно потом гимморно заставить их работать - но думаю безопасность дороже.
| | |
| |
| 3.33, YetAnotherOnanym (ok), 03:11, 25/10/2014 [^] [^^] [^^^] [ответить]
| +/– |
> UPnP отключать сразу и навсегда. Тянет это за собой, правда проблемы с
> NAT Traversal, особенно для SIP девайсов, достаточно потом гимморно заставить их
> работать - но думаю безопасность дороже.
В Linphone, емнип, номер порта для голоса можно задать руками, а на роутере - статичнвый форвардинг.
| | |
| |
| 4.39, bOOster (?), 11:39, 25/10/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> UPnP отключать сразу и навсегда. Тянет это за собой, правда проблемы с
>> NAT Traversal, особенно для SIP девайсов, достаточно потом гимморно заставить их
>> работать - но думаю безопасность дороже.
> В Linphone, емнип, номер порта для голоса можно задать руками, а на
> роутере - статичнвый форвардинг.
Ну ты не мне это объясняй, а домохозяйке какой-нибудь :)
| | |
|
|
|
| |
| 2.40, Аноним (-), 11:40, 25/10/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> openwrt данная проблема не затрагивает )))
Поди его и не проверяли т к неуловимый.
Лезть со своими перешитыми длинками и говорить, что у вас надежное устройство корп класса... Утомили уже...
| | |
| |
| 3.43, bOOster (?), 11:42, 25/10/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> openwrt данная проблема не затрагивает )))
> Поди его и не проверяли т к неуловимый.
> Лезть со своими перешитыми длинками и говорить, что у вас надежное устройство
> корп класса... Утомили уже...
кастомные прошивки, собранные с "любовью" под себя каким нибудь спецом НА 10 ПОРЯДКОВ надежнее рядовых поделок от производителей оборудования.
Или ты щас будешь говорить что спец, собирая под себя прошивку, гадить туда чтоли будет???
| | |
| 3.44, commiethebeastie (ok), 11:43, 25/10/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> openwrt данная проблема не затрагивает )))
> Поди его и не проверяли т к неуловимый.
> Лезть со своими перешитыми длинками и говорить, что у вас надежное устройство
> корп класса... Утомили уже...
Да тут в сабже вообще ни одного устройства корп класса нет. Зачем ты его приплел?
| | |
|
| 2.42, bOOster (?), 11:40, 25/10/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> openwrt данная проблема не затрагивает )))
Всех затрагивает. И openWrt с включенным UPnP
| | |
| |
| |
| 4.63, Andrew (??), 14:25, 25/10/2014 [^] [^^] [^^^] [ответить]
| +/– |
В RouterOS оно по-умолчанию вообще нигде не светится, тем не менее это не помешало Вам развести полемику на пару десятков сообщений о том, что кривые руки админов- это проблема вендора. Двойные стандарты, не находите?
| | |
|
|
|
| 1.21, Ivan_83 (?), 22:36, 24/10/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Ещё часто вешают на 49152
Проброс портов добавляется так:
POST /upnp/control/WANIPConn1 HTTP/1.1
HOST: 192.168.1.254:49152
CONTENT-LENGTH: 610
CONTENT-TYPE: text/xml; charset="utf-8"
SOAPACTION: "urn:schemas-upnp-org:service:WANIPConnection:1#AddPortMapping"
<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
<s:Body>
<u:AddPortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1">
<NewPortMappingDescription>DESCR</NewPortMappingDescription>
<NewLeaseDuration>0</NewLeaseDuration>
<NewInternalClient>192.168.1.18</NewInternalClient>
<NewEnabled>1</NewEnabled>
<NewExternalPort>20003</NewExternalPort>
<NewRemoteHost></NewRemoteHost>
<NewProtocol>TCP</NewProtocol>
<NewInternalPort>3389</NewInternalPort>
</u:AddPortMapping>
</s:Body>
</s:Envelope>
Там ещё есть xml файл со всякой инфой о девайсе.
| | |
| 1.23, ABATAPA (ok), 01:09, 25/10/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 В логах:
Oct 25 01:04:36 miniupnpd[236]: SSDP packet sender 198.23.193.50:43272 not from a LAN, ignoring
| | |
| 1.77, Xaionaro (ok), 09:56, 27/10/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Никто не подскажет ссылочку на список подверженных устройств? Конкретно меня интересуют Grandstream-ы.
| | |
| 1.83, Аноним (-), 12:49, 04/11/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Такая дыра, явно заказного характера.
Раз зделали значит комуто сильно надо было сию фичу...
| | |
|
