[Alpha testing] MikroTik Management System

Здесь выкладываем скрипты
Правила форума
Уважаемые Пользователи форума, обратите внимание!
Ни при каких обстоятельствах, Администрация форума, не несёт ответственности за какой-либо, прямой или косвенный, ущерб причиненный в результате использования материалов, взятых на этом Сайте или на любом другом сайте, на который имеется гиперссылка с данного Сайта. Возникновение неисправностей, потерю программ или данных в Ваших устройствах, даже если Администрация будет явно поставлена в известность о возможности такого ущерба.
Просим Вас быть предельно осторожными и внимательными, в использовании материалов раздела. Учитывать не только Ваши пожелания, но и границы возможностей вашего оборудования.

Насколько полезен данный сервис?

Очень полезный и удобный
8
73%
Сойдёт, хотя мог и получше сделать
2
18%
Бесполезный и ненужный сервис
1
9%
Что за отстой? Куда я попал?
0
Голосов нет
Верните Линуса!
0
Голосов нет
 
Всего голосов: 11
Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

podarok66 писал(а):Меня Николаева работа уже сейчас выручает, а секреты не для меня.


Вы удобство ставите выше безопасности.
Думаю пароль на маршрутизатор вы меняете, но это же не удобно, без пароля куда проще. Так в чем же разница?


Александр
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

algerka писал(а):с чего у вас такая уверенность что доступ к вашему аккаунту телеграм будет только у вас? вы исключаете возможность что у вас могу украсть телефон или вы его не можете потерять?

Полностью уверен. Телефон после кражи вайпают, что гарантированно удалит все данные, более того, если вор будет глупый, то данные вайпну я сам, удалённо. Причём в обоих случаях, я буду иметь полный контроль над устройством, ибо в прошивке телефона встроен бекдор.
Более того мой аккаунт, это только управление ботом. Его могут только удалить, или сделать приватным, но получить хоть какую-либо информацию о пользователе - нет, ибо телеграм это просто чат, а данные хранятся у меня ан сервере.

algerka писал(а):а если взять во внимание все большую популярность вирусов которые получают доступ к телефону ?

См. выше.

algerka писал(а):а вы, как автор бота, разве не можете запустить что-то на чужом маршрутизаторе где стоит ваш скрипт ?

Нет. Из бота я даже не могу узнать сколько пользователей зарегистрировано. Я могу это сделать только посмотрев в БД.

algerka писал(а):или представьте себя на месте коллеги администратора, который устроился на работу где стоит микротик, и на котором не порядочный предыдущий админ оставил такую лазейку, через которую он может гадить. ведь если вы видите микротик первый раз в жизни, вряд-ли первым делом полезете смотреть какие на нем скрипты запускаются.

Первый пост, красные буквы. Я предоставляю только сервис, причём всё ответственность перекладываю на тех, кто решил воспользоваться им.
По Вашей логике нужно запретить продажи ножей кухонных, - это-же готовое холодное оружие....

algerka писал(а):Ни в коем случае не хочу вас обидеть, но пользы от вашего предложения меньше чем оно может принести вреда. Вы же прекрасно понимаете что основные пользователи этого скрипта это начинающие администраторы, которые не особо задумываются о последствиях.

Никаких обид. Конструктивная критика это полезно.

algerka писал(а):Все самое большое зло в мире было сделано из лучших побуждений :(

"За кражу Ваших личный кодов запуска ядерных ракет автор ответственности не несёт" :-)


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Dragon_Knight писал(а):За кражу Ваших личный кодов запуска ядерных ракет автор ответственности не несёт" :-)

Наличие чувства юмора это отлично.

Давным давно я что-то похоже сделал для управления маршрутизатором по смс.
Сначала был горд своим творением, но потом, осознал что это нельзя использовать на работе, а дома, немного поигрался и потом потерял весь интерес, т.к не нашел применения. Зато опыт работы с смс на микротик в будущем пригодился.


Александр
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

algerka писал(а):Давным давно я что-то похоже сделал для управления маршрутизатором по смс.

SMS это не вариант однозначно. Я могу со своего телефона отправить SMS на любой номер, и указать в качестве отправителя любой номер \ текст. Эта дырка в GSM известна уже лет 20, и никто её исправлять особо не хочет, а только прикрыли немного проверкой источника сообщения, но и это обходится. Но это уже совсем другая история.

Если серьёзно, то на данный момент я вижу только одну серьёзную уязвимость, которую буду решать, когда закончу альфа тест.
Но Ваши замечания я выслушал и внял, а так-же я радостью выслушаю и другие замечания.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

algerka писал(а):Думаю пароль на маршрутизатор вы меняете, но это же не удобно, без пароля куда проще. Так в чем же разница?

Разница очевидна для любого практика - пароль позволяет отсеять 999 любопытных из 1000, защищает от школоты и излишнего любопытства, в случае, если хранится в голове и достаточно серьезен (без паранойи и таких вот закидонов
password="T&☺gm[♠23" ;;-))) ) . Шифровать и ставить многоуровневые препоны - удел серьезных контор, где микротик никак не будет одной из этих преград. Там другие деньги и другие железки. Знакомый профессионально занимался шифрованием и защитой некоторое время. По его рассказам, там ну очень крупные суммы тратятся и на аппаратные и на программные решения.
А у нас в наличии что? Мосты между мелкими филиалами торгашей (кирпич, куриные окорочка, стеклобой, бытовая химия и тому подобное)? Школьная локалка с архивом речевок? Сеть микропровайдера с ночными ходоками на порнушные сайты? Студенческие общаги с помойкой в локалке? Вроде я все основные группы перечислил? Чего там боятся? И то провайдерам бы я конечно эту фишку не рекомендовал. Службу ТП надо иметь круглосуточную.
algerka писал(а):Вы удобство ставите выше безопасности.

А я этого и не скрывал ))) Я обычный местечковый разгильдяй, мне бы разгрести завалы побыстрее и по своим делам уехать. И если эта штука позволит мне прямо с улицы решить проблему за пяток километров за 10 секунд, я ЗА нее горячо и яростно.
Ну у каждого свои критерии. У вас в приоритете безопасность, у меня удобство и скорость. Главное, чтобы этот приоритет не создавал чрезмерных проблем и препонов. Соблюдаем баланс, так сказать :-)


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

podarok66 писал(а):мне бы разгрести завалы побыстрее и по своим делам уехать

К сожалению так многие считают, и не воспринимают безопасность как что-то серьезное.
Простой пример: контора предоставляющая услуги по охране помещений, целого города, не маленького. чтобы вы понимали, группы реагирования ездят с огнестрельным оружием, а не травматическими пукалками. более 50 маршрутизаторов объединенных в сеть через интернет. так на них admin был без пароля. хорошо хоть снаружи доступ был вообще закрыт. объяснение было простое: так удобнее.
видимо их админ также, когда начинал не особо предавал внимание безопасности. потом это вошло в привычку. а привычка.. сами понимаете...
по этому надо сразу приучать себя к хорошим манерам, я про настройку маршрутизаторов. чтобы потом не было стыдно, если кто-то увидит ваши настройки :)

в любом случае, всем спасибо, я рад что меня выслушали без обид и обвинений, а если кто-то еще и задумается, то вообще сам себе поставлю плюсик во вселенcкую карму :)


Александр
Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Кстати, для себя, чтобы оперативно решать возникшие проблемы и иметь доступ к маршрутизаторам, сделал себе микротик с внешним адресом, к которому по vpn подключены все маршрутизаторы которыми я управляю, и я так же через vpn подключаюсь к серверу и могу ими управлять. Плюс на нем dude стоит который мониторит и ведет статистику.
Понятно что это только для маршрутизаторов где не требуется защита. На остальных или из локальной сети или только через определенный порт при физическом подключении.


Александр
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

algerka писал(а):Кстати, для себя, чтобы оперативно решать возникшие проблемы и иметь доступ к маршрутизаторам, сделал себе микротик с внешним адресом, к которому по vpn подключены все маршрутизаторы которыми я управляю, и я так же через vpn подключаюсь к серверу и могу ими управлять. Плюс на нем dude стоит который мониторит и ведет статистику.

По моему это куда более значительная дырка в безопасности всех сетей. Если не уделить должного внимания на разграничивание сетей, то Вы можете стать посредником и заразить все сети разом, не говоря уже о том, что Вы собрали всё в одну точку. Вы уверены в своих паролях, а так-же Вы уверены в отсутствие дыр в RouterOS?


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

algerka писал(а):контора предоставляющая услуги по охране помещений, целого города, не маленького.

Ну вы мухи от котлет отделяйте :-) И уж точно данный пример никак не подпадает перед те категории, что я перечислил.
Во-первых, подразделения, занимающиеся безопасностью, должны в этой безопасности быть специалистами. И тут вина целиком и полностью лежит на руководстве ( неверный подбор кадров) и на админе ( полное небрежение к требованиям и реалиям предприятия либо полная некомпетентность).
Во-вторых, разве я хоть как-то хоть раз позволил себе даже намек на ситуацию с отсутствием пароля? Нет, пароль нужен, без него никак. Просто я имею ввиду, что меры безопасности должны соответствовать по уровню тому, что они защищают. Именно разумность и баланс между усложнением мер безопасности и простотой работы - вот мои критерии в повседневности.
Ведь ненормально видеть грузчика на складе с зарплатой в 25 т.р. и Iphone 7 за 70 т.р. в руке. Так же ненормально, когда игрок в World of Warcraft закрываясь от всех вводит 25-значный пароль от игры в общественный комп в каком-нить клубе. И тот и другой несбалансированы, на мой взгляд.
algerka писал(а): я рад что меня выслушали без обид и обвинений, а если кто-то еще и задумается, то вообще сам себе поставлю плюсик во вселенcкую карму :)

Я тоже очень рад, что вы так хорошо и приятно влились в нашу небольшую компанию. А плюсики, они сами поставятся, главное быть человеком всегда.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

algerka писал(а):Понятно что это только для маршрутизаторов где не требуется защита.

Пароль и вариант настройки VPN достаточно секурный для данной задачи.


Александр
Ответить