Păi la UBNT AP-urile nu au nici o interfață de management directă, îți trebuie fie aplicația controller fie un Cloud Key în LAN. Controllerul e cel care vede echipamentele și comunică cu ele, primește statistici etc. și identifică ce firmware au. Apoi, controllerul poate găsi firmware-urile noi la UBNT, le poate descărca în cache-ul propriu, și apoi le aplică în LAN. AP-urile nu fac asta singure, și nu descarcă firmware-urile direct din internet.
Controllerul îl poți ține oprit cam tot timpul și să-l pornești doar 30 minute pe lună pentru actualizări dacă vrei; AP-urile funcționează bine mersi complet independent. Tot ceea ce pierzi fără controller activ este 1) statistici de trafic și erori de la AP-uri, și 2) nu poți avea un guest network cu captive portal pentru autentificare în browser fără un controller.
Pentru simplitate în management, poți avea de fapt un singur controller, chiar ca aplicație virtuală într-un AWS sau unde vrei tu, pentru mai multe echipamente instalate în mai multe site-uri. În controller poți defini separat fiecare site cu propriile echipamente și setări, și atunci trebuie doar să te asiguri că acele echipamente pot comunica prin router direct cu controllerul tău, când ăsta e pornit. Dar altfel, AP-urile și switch-urile ar trebui să aibă propriile comunicații bine constrânse, nu așa să presupui că UBNT le va ține și în viitor configurate implicit într-un mod securizat.
Mai nașpa e când ți-ai făcut toată rețeaua cu UBNT-uri, inclusiv routerul, că atunci UBNT poate face firmware-ul routerului să ignore orice fel de regulă ai pune tu să blocheze traficul de telemetrie al celorlalte echipamente, și numa' gura lumii poate să țină asta în șah o vreme.
Și apropo de Mikrotik, zilele trecute am citit prima oară de câte bube are Winbox-ul și că ar trebui să fie oprit serviciul, că-s milioane de echipamente instalate în lume cu setări default + configurări minimale și neactualizate de ani de zile și vulnerabile, asta pe lângă ultimele probleme zero day pe Winbox. Am intrat de curiozitate pe VPN în Mikrotik-ul părinților și hopa, e cu setările default, avea active inclusiv serviciul FTP cu cont de guest, SSH, telnet, API, API-SSL și Winbox. Teoretic am avut bulan că nu erau expuse pe interfața WAN, da' ăsta a fost massive fuckup din partea mea să presupun că implicit e securizat de producător, așa că am luat frumos instrucțiunile
how to secure your mikrotik la rând și am dezactivat discovery și toate serviciile astea inutile, am rămas doar cu www pe LAN.