Stiri - noi aparitii in domeniu

miahi

Wizzard
Sugar daddy
Joined
Aug 1, 2004
Location
Unreal Estate, Ankh-Morpork, Discworld
Și dacă sunt crash dumps, probabil sunt cu hălci de memorie și ce mai trece pe-acolo. Asta la 2 săptămâni după scandalul gitlab, care vroiau să facă același lucru (instalat telemetrie obligatorie) și le-a sărit lumea în cap :smile:.
 

ipman

Membru Senior
Joined
Nov 7, 2003
Location
Stockholm
In ziua de astazi toti vor sa faca asta, nu e de mirare. Si cat mai low-profile sa nu se prinda vreunul mai destept.
 

puterfixer

Administrator
Sugar daddy
Joined
Oct 30, 2003
Din discuțiile de pe reddit, se pare că nu colectează doar crash dump-uri, ci telemetrie periodică cu ce device-uri sunt conectate și adresele MAC (cel puțin parțiale) și alte date de localizare, semnal, bla bla bla. Ce să zic, noroc că-s alții suficient de experți încât să înțeleagă chestii de-astea, și cu coloană vertebrală cât să deschidă public problema. Tre' să mă uit în pi-hole dacă pot să identific ce destinații caută AP-urile în sine. Păcat că echipamentele sunt faine, da' încă un motiv în plus să chill the fuck out cu actualizările de la UBNT, nu instalați nimic până nu confirmă comunitatea că totul funcționează ok, lăsați-i pe alții să fie beta testeri și cobai pe banii lor.
 

IceCub

Membru Senior
Sugar daddy
Joined
Jun 27, 2005
Location
/dev/urandom
Ei zic ca le transmit criptat... acum nu-mi dau seama exact cum au determinat astia exact in ce consta telemetria. Poate au scormonit prin Linux-ul de pe device-uri...
Acum nu stiu ce device-uri sunt afectate si de la ce firmware (am mai multe device-uri de la ei), dar ca sa fiu sigur le tai la toate accesul la site-ul de telemetrie. :damn:
 

puterfixer

Administrator
Sugar daddy
Joined
Oct 30, 2003
Probabil trimit HTTPS, în link spun că datele sunt criptate și în stocare, da' e clar damage control după ce au fost prinși.

Good practice ar fi ca echipamentele astea să nu aibă acces propriu la internet. Nu e nici un motiv ca IP-ul unui AP să aibă permisiuni în router să acceseze de capu' lui vreo destinație din internet. Principiul minimului acces, nu? Doar de-aia am ales să NU îmi instalez un Cloud Key și nici să activez funcția de Cloud în controller.
 

miahi

Wizzard
Sugar daddy
Joined
Aug 1, 2004
Location
Unreal Estate, Ankh-Morpork, Discworld
Da, da' pe urmă e mai mult de muncă să instalezi firmware. Eu la mikrotik am pus schedule să verifice și să-și instaleze automat versiunile stable. Au o opțiune și pentru lucru offline, un fel de server unde să se conecteze (în LAN) să-și ia de acolo updates, dar e mai mult de muncă la configurat (și trebuie să stea cineva să pună versiuni pe serverul ăla). Plăcut când ai 50 de device-uri pe care vrei să le ții la aceeași versiune (testată manual), dar eu am doar vreo 5, așa că nu e la fel de interesant.
 

puterfixer

Administrator
Sugar daddy
Joined
Oct 30, 2003
Păi la UBNT AP-urile nu au nici o interfață de management directă, îți trebuie fie aplicația controller fie un Cloud Key în LAN. Controllerul e cel care vede echipamentele și comunică cu ele, primește statistici etc. și identifică ce firmware au. Apoi, controllerul poate găsi firmware-urile noi la UBNT, le poate descărca în cache-ul propriu, și apoi le aplică în LAN. AP-urile nu fac asta singure, și nu descarcă firmware-urile direct din internet.

Controllerul îl poți ține oprit cam tot timpul și să-l pornești doar 30 minute pe lună pentru actualizări dacă vrei; AP-urile funcționează bine mersi complet independent. Tot ceea ce pierzi fără controller activ este 1) statistici de trafic și erori de la AP-uri, și 2) nu poți avea un guest network cu captive portal pentru autentificare în browser fără un controller.

Pentru simplitate în management, poți avea de fapt un singur controller, chiar ca aplicație virtuală într-un AWS sau unde vrei tu, pentru mai multe echipamente instalate în mai multe site-uri. În controller poți defini separat fiecare site cu propriile echipamente și setări, și atunci trebuie doar să te asiguri că acele echipamente pot comunica prin router direct cu controllerul tău, când ăsta e pornit. Dar altfel, AP-urile și switch-urile ar trebui să aibă propriile comunicații bine constrânse, nu așa să presupui că UBNT le va ține și în viitor configurate implicit într-un mod securizat.

Mai nașpa e când ți-ai făcut toată rețeaua cu UBNT-uri, inclusiv routerul, că atunci UBNT poate face firmware-ul routerului să ignore orice fel de regulă ai pune tu să blocheze traficul de telemetrie al celorlalte echipamente, și numa' gura lumii poate să țină asta în șah o vreme.

Și apropo de Mikrotik, zilele trecute am citit prima oară de câte bube are Winbox-ul și că ar trebui să fie oprit serviciul, că-s milioane de echipamente instalate în lume cu setări default + configurări minimale și neactualizate de ani de zile și vulnerabile, asta pe lângă ultimele probleme zero day pe Winbox. Am intrat de curiozitate pe VPN în Mikrotik-ul părinților și hopa, e cu setările default, avea active inclusiv serviciul FTP cu cont de guest, SSH, telnet, API, API-SSL și Winbox. Teoretic am avut bulan că nu erau expuse pe interfața WAN, da' ăsta a fost massive fuckup din partea mea să presupun că implicit e securizat de producător, așa că am luat frumos instrucțiunile how to secure your mikrotik la rând și am dezactivat discovery și toate serviciile astea inutile, am rămas doar cu www pe LAN.
 
Last edited:

miahi

Wizzard
Sugar daddy
Joined
Aug 1, 2004
Location
Unreal Estate, Ankh-Morpork, Discworld
Eu folosesc doar winbox, dar e clar accesibil doar pe LAN activ (nici măcar din VPN) și restul serviciilor sunt oprite. Asta cu neactualizările e nasoală, am impresia că-s mulți ISP care au pus device-uri de-astea și n-au mai modificat nimic la ele de când le-au pus. Iar utilizatorii nici nu știu ce au în casă :smile:. Dar asta e valabil la multe echipamente.

La câte device-uri poți conecta acum la LAN, cu firmware de la chinezi simpatici, încep să mă gândesc la VLAN-uri prin casă...
 

puterfixer

Administrator
Sugar daddy
Joined
Oct 30, 2003
Yeap, Mikrotik-urile au fost multă vreme swiss army knife-ul isepeilor, echipamente relativ ieftine, puternice și stabile pe care le puteai cocoța și-n vârf de stâlp de antenă și mergeau cu anii „fără mentenanță”. Ei bine... actualizarea de firmware ESTE o mentenanță necesară în zi de azi, nu mai merge cu plug in and forget. Și atunci intervine problema 2 - să zicem că te ia hărnicia să actualizezi firmware-ul la ce Mikrotik-uri ai instalat prin teritoriu pe la mama naibii, și la unele crapă actualizarea, echipamentul e mort, serviciul a picat pe o rază de kilometri. Ai echipe în teren gata să se ducă unde e ăla montat, de multe ori greu accesibil fizic, și să-i facă swap sau debugging in-place? N-ai, sau costă. Așa că stai pe fundul tău și nu faci nici o actualizare, și dacă e să treacă niște trafic rusesc prin ele, aia e, să-și bată capul alții.
 

IceCub

Membru Senior
Sugar daddy
Joined
Jun 27, 2005
Location
/dev/urandom
Eu am 18 routere de la Ubiquiti impanzite in locatii prin tara si m-am lecuit cu update-ul de firmware de la distanta - la un moment a crapat unul in urma unui update si a trebuit sa fac o deplasare neprevazuta. Acu nu mai fac update decat cand ajung efectiv in locatie.
 

ipman

Membru Senior
Joined
Nov 7, 2003
Location
Stockholm
Bullet-urile de la Ubiquiti au propria lor interfata web si sunt complet independente de controller. Sigur, daca ai controller le recunoaste cu setarile corecte, dar nu ai nevoie de obicei.
In schimb Unifi AP nu au propria interfata si depind de controller intr-adevar.
 
Top Bottom