Вадим, Да, пробовал, но в рамках офиса многие пользователи используют старую технику для подключения по Wi-Fi, -многие устройства отказываются видеть и работать с сетью 5 GHz.
Те немногие устройства, что способны подключиться к такой сети, имеют приблизительно ту же скорость, что и в сети 2.4 GHz
AlexVWill, Пока думал над логами, вспомнил, что у одного из L2TP-пользователей стоит пароль из десяти символов, включая специальные. Вручную его перебрать не выйдет, но различные онлайн-тестеры говорят, что ботами он ломается от минуты до трёх недель. Но ведь также требуется и логин.
В связи с этим возник вопрос: как считаете, при условии, что IPSec-ключ однажды будет скомпрометирован, существует ли шанс, что бот подберёт не просто пароль этого юзера, а связку логин-пароля?
Akina, Akina, Да, лабораторные сервера на Windows. Смущает то, что последнюю неделю ежедневно просматривал логи маршрутизатора, т.к. боролся с настройкой Wi-Fi, который постоянно отваливался у некоторых юзеров. И как минимум на протяжении этой недели сообщений о конфликтах ARP на MikroTik не было.
Попробую посмотреть сами сервера и продолжу мониторить логи маршрутизатора. Может, что-то обнаружится.
Оказалось, MAC и IP с первого скриншота принадлежат пяти серверам из лабораторного стенда, это объясняет, почему их данные не мелькали ранее в логах МикроТик - устройства постоянно в сети и работают 24/7. Всё ещё остаётся неясным, из-за чего возникли конфликты в логах и почему возникли именно сейчас - на них задана статика, к оборудованию в последнее время никто не прикасался, новых юзеров в сети не появлялось. Но приятно, что хотя бы на работе оборудования это никак не сказалось и нет угрозы безопасности.
Благодарю за уделенное время.
Valentin Barbolin, От Apple - разве что несколько телефонов пользователей, логично, подключающихся к сети по Wi-Fi (в "Wireless Clients" этих IP и MAC нет). Все стационарные станции и ноутбуки от иных производителей.
Что ещё необычно - я эти MAC-адреса вижу впервые. В сети такого размера MAC постоянных юзеров помню почти наизусть, но те, что на скриншотах, к ним не относятся
Valentin Barbolin, Думал об этом, но есть два "но"
1) Сеть очень маленькая - на постоянной основе работа ведётся с 12-15 ПК, в большинстве своём, пользователями, которые знают разве что как открыть Word и почту. Вряд ли кто-то из них смог бы пролезть в настройки интерфейсов и для чего-то изменить свой IP, к тому же, вряд ли сразу пять юзеров решили бы этим заняться в течение 30 секунд;
2) IP/ARP смотрел, ничего подозрительного не увидел. Те MAC, о которых Микротик выдавал конфликты, по итогу спокойно присвоили себе те же адреса, что и в логах выше
Valentin Barbolin, Не помог. Мог бы понять, если бы ошибка возникла с одним конкретным MAC - можно было бы грешить на то, что конкретное устройство пытается получить уже занятый IP-адрес. Меня же смущает то, что конфликт возник у пяти разных MAC в короткий промежуток времени
Подключение настраивается по общему ключу IPsec, состоящему из 12 символов. Когда производил настройку L2TP+IPsec, посудил, что если создать сложный общий ключ и такие же логины-пароли пользователей, этого должно быть достаточно для того, чтобы противостоять атакам извне.
Не подскажите, имеет ли описанный выше подход какие-либо ощутимые минусы по сравнению с использованием сертификатов?
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
/ip firewall filter
add action=add-dst-to-address-list address-list=L2TP_Blacklist address-list-timeout=none-static chain=output \
comment=L2TP_Bruteforce_Protection_STAGE3 content="M=bad" dst-address-list=L2TP_Stage2
add action=add-dst-to-address-list address-list=L2TP_Stage2 address-list-timeout=3d chain=output comment=\
L2TP_Bruteforce_Protection_STAGE2 content="M=bad" dst-address-list=L2TP_Stage1
add action=add-dst-to-address-list address-list=L2TP_Stage1 address-list-timeout=3d chain=output comment=\
L2TP_Bruteforce_Protection_STAGE1 content="M=bad"
add action=add-src-to-address-list address-list="Honeypot Hacker" address-list-timeout=4w2d chain=input \
comment="Honeypot TCP" connection-state=new dst-port=21,22,23,25,135-139,445,1723,3389,5060,8291 \
in-interface=ether1 protocol=tcp
add action=add-src-to-address-list address-list="Honeypot Hacker" address-list-timeout=4w2d chain=input \
comment="Honeypot UDP" connection-state=new dst-port=3389,5060 in-interface=ether1 protocol=udp
add action=add-src-to-address-list address-list=Port_Scanners address-list-timeout=4w2d chain=input comment=\
"Port Scanners" in-interface=ether1 protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=Port_Scanners address-list-timeout=4w2d chain=input comment=\
"NMAP FIN Stealth scan" in-interface=ether1 protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=Port_Scanners address-list-timeout=4w2d chain=input comment=\
"SYN/FIN scan" in-interface=ether1 protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list=Port_Scanners address-list-timeout=4w2d chain=input comment=\
"SYN/RST scan" in-interface=ether1 protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list=Port_Scanners address-list-timeout=4w2d chain=input comment=\
"FIN/PSH/URG scan" in-interface=ether1 protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=Port_Scanners address-list-timeout=4w2d chain=input comment=\
"ALL/ALL scan" in-interface=ether1 protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=Port_Scanners address-list-timeout=4w2d chain=input comment=\
"NMAP NULL scan" in-interface=ether1 protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \EF\EE\F0\F2\EE\E2 VPN" dst-port=\
500,1701,4500 in-interface=ether1 protocol=udp src-address-list=CountryIPBlocks
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \EF\EE\F0\F2\EE\E2 VPN" in-interface=\
ether1 protocol=ipsec-esp src-address-list=CountryIPBlocks
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \E2\F1\E5\F5 \ED\E0\E4\E5\E6\ED\FB\F5 \E2\
\F5\EE\E4\FF\F9\E8\F5 \EF\E0\EA\E5\F2\EE\E2" connection-state=established,related
add action=drop chain=input comment=\
"\D1\E1\F0\EE\F1 \E2\F1\E5\F5 \E2\F5\EE\E4\FF\F9\E8\F5 \E1\E8\F2\FB\F5 \EF\E0\EA\E5\F2\EE\E2" \
connection-state=invalid
add action=accept chain=forward comment="\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \E2\F1\E5\F5 \ED\E0\E4\E5\E6\ED\FB\F5 \
\F2\F0\E0\ED\E7\E8\F2\ED\FB\F5 \EF\E0\EA\E5\F2\EE\E2" connection-state=established,related ipsec-policy=\
out,ipsec
add action=drop chain=forward comment=\
"\D1\E1\F0\EE\F1 \E2\F1\E5\F5 \F2\F0\E0\ED\E7\E8\F2\ED\FB\F5 \E1\E8\F2\FB\F5 \EF\E0\EA\E5\F2\EE\E2" \
connection-state=invalid
add action=drop chain=input comment="\D1\E1\F0\EE\F1 \E2\F1\E5\F5 \E2\F5\EE\E4\FF\F9\E8\F5 \EF\E0\EA\E5\F2\EE\
\E2 \E8\E7 \E2\ED\E5\F8\ED\E5\E9 \F1\E5\F2\E8" in-interface-list=!LAN
add action=drop chain=forward comment="\D1\E1\F0\EE\F1 \E2\F1\E5\F5 \ED\EE\E2\FB\F5 \F2\F0\E0\ED\E7\E8\F2\ED\FB\
\F5 \EF\E0\EA\E5\F2\EE\E2 \EA\F0\EE\EC\E5 \F2\E5\F5, \F7\F2\EE \F0\E0\E7\F0\E5\F8\E5\ED\FB \EF\F0\EE\E1\F0\
\EE\F1\EE\EC \EF\EE\F0\F2\EE\E2" connection-nat-state=!dstnat connection-state=new connection-type="" \
in-interface-list=WAN
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward comment="\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \F2\F0\E0\ED\E7\E8\F2\ED\FB\F5 \EF\E0\
\EA\E5\F2\EE\E2, \E8\F1\F5\EE\E4\FF\F9\E8\F5 \E8\E7 \ED\E0\F8\E5\E9 \CB\C2\D1" connection-state=\
established,related connection-type=""
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 Ping \F0\EE\F3\F2\E5\F0\E0" disabled=yes \
protocol=icmp