Не успели Mikrotik закрыть уязвимости, выявленные с публикацией Wikileaks Vault 7, как 28-го марта была опубликована новая уязвимость CVE-2017-7285, причем для самой актуальной версии RouterOS 6.38.5.

Впрочем, не стоит думать, что проблемы с безопасностью только у Mikrotik, они бывают и у Ubiquiti, не говоря о таких брендах как TP-Link и т.д. Совсем иное дело, что не все уязвимости в публичном доступе, да и не все компании быстро устраняют проблемы.

В период с 30 по 31 марта в Милане (Италия) проходит очередная ежегодная конференция Mikrotik User Meeting (MUM 2017). В рамках текущей встречи представлено огромное количество новинок в модельном ряду оборудования латвийской компании. Пожалуй, это крупнейший анонс за всё время проведения MUM.

Ранее, в рамках Newsletter 75, компания уже анонсировала ряд новинок, среди которых точка cAP lite (RBcAPL-2nD) и коммутатор CSS326-24G-2S+RM. На упомянутых моделях останавливаться не будем, кому интересно – почитайте предыдущую публикацию, там всё есть.

Сегодня в мое распоряжение попала презентация с MUM 2017, проходящего в Милане, собственно в рамках этой публикации мы об этом и поговорим.

В версии ROS 6.39 разработчики приготовили несколько интересных изменений: 1) добавлена поддержка более быстрой разновидности Fastpath, которая будет называться «fast-forward». Соответственно в ROS внесены необходимые параметры. Данная возможность будет использоваться по-умолчанию только для новых бриджей с двумя интерфейсами. Пока только через CLI; 2) для L2TP добавлена поддержка Fastpath при включенном MRRU...

7 марта на ресурсе Wikileaks был опубликован набор документов под названием «Vault 7». Vault 7 – большая подборка документов, имеющих отношение к Центру кибернетики Центрального разведывательного управления США.

Если верить Wikileaks, данная подборка документов является первой частью и в ближайшее время ожидается публикация большего количества документов.

Согласно опубликованным документам, ЦРУ располагает инструментами (в частности, эксплоит ChimayRed), которые могут быть использованы для несанкционированного доступа к устройствам Mikrotik под управлением RouterOS. Уязвимость может быть использована в том случае, если файрволл не содержит правил защиты 80-го порта.

В рамках предыдущей публикации мы рассматривал пример ручной настройки беспроводной сети. Под ручной настройкой подразумевалась индивидуальная настройка каждой точки доступа. Такой метод имеет как свои преимущества, так и свои недостатки. Один из главных недостатков предыдущего метода состоит в том, что при необходимости изменить пароль или создать дополнительный SSID (Virtual AP) вам потребуется выполнить правку настроек каждого устройства. К тому же, в случае «ручной» настройки вы будете лишены возможности просматривать список всех подключенных клиентов из единого меню.

В данной публикации мы рассмотрим процесс настройки беспроводной сети при помощи контроллера CAPsMAN. Помните, CAPsMAN может работать на устройствах, у которых беспроводного интерфейса нет вообще. Это означает, что CAPsMAN можно использовать на любых маршрутизаторах Mikrotik.

Процесс настройки мы опишем на примере все того же hEX PoE, а также точек доступа wAP и wAP ac. Ранее мы уже обновили RouterOS в наших устройствах до версии 6.38.1, поэтому дальнейшая настройка будет выполняться на актуальной, на момент написания, версии.