Вариант с астериском с точки зрения безопасности имеет несколько изъянов: 1. Не усложняет подбор пароля, если в варианте с multifactor злоумышленник не пойдет, что основной пароль правильный если пользователь не подтвердит. С Астериском он поймет, что все ок и начнет изучать сеть на предмет варианта обхода фаервола. 2. Multifactor активирует конкреное подключение, OTP аналогично работает в конкретный момент времени. При звонке злоумышленник может подключиться и ждать пока подключится пользователь и своим звонком активирует оба подключения (не смотрел скрипт, может и не 2, а одно, но в любом случае это не точечное разрешение) 3. В логах понять, что подключился злоумышленник, максимум, если есть 2 подключения. то одно может быть "плохим", но это и не точно
Третье видео с использованием связки ssh и asterisk, третий раз не понятно, как это сделать и с каждым видео описание всё пространнее. Были ж времена, когда по твоим видео можно было протыкать и сделать, понятно, что лежат скрипты, для 16 астера, ты сам им пользуешься или 21 стоит, 22? 7 лет как поменялся драйвер sip. Железяку за 12к... мини пк можно купить за эти деньги с 2гб оперативки и диском, взрослыми возможностями линукса и под задачки как-то больше подойдёт, нежели wi-fi роутер. Последний же 4000 сдох через неделю, с 5009 экспериментировать опасаюсь уже. Мини пк по 3нм техпроцессу сделан, в отличии от микротиков, которые вечно любят процы 2013 года использовать. В 2017 ещё можно было это понять как-то, но в 2024 совсем сложно становится.
Кстати отп на пк можно добавить в keypassxc, тот умеет даже подставлять на тех сайтах к аккаунтам которых забит, но можно хранить и отдельные для впн в том числе
с астериском наверное лучше было инициировать звонок клиенту и там просить нажать цифру к примеру и потом активировать его. Ну опять таки это доп затраты
Попробовал новый WINBOX 4.0 linux. при попытке войти по MAC адресу вываливается ошибка Could not connect MacConnection syn timeout Эта ошибка появляется при попытке доступа с хост системы на виртуальный роутер под Virtualbox Спасает только возможность зайти по Link-Local адресу IPv6. Подобной фигни нет при доступе с виндовой виртуалки
Вдохновившись рассказом Романа, полез пробовать RADIUS. Столкнулся с проблемой которую не смог нагуглить, может кто прояснит! Настроил User Manager на CHR ROS 7.16. Пока пробую просто логинится. Сам на себя захожу. С еще одного микрота на ROS 7.16 тоже захожу! С других микротов на ROS 6.49 получаю ошибку timeout ! Но вроде нигде не написано, что есть какая-то проблема совместимости.... Куда копать?
Вводить просто отп ключ без пароля это плохая идея.... Нужно пользовать пароль все равно... просто пароль будет - и да, это становится мультифактором .. потому что таки пароль тоже надо знать ) И знак равно очень даже прекрасно прожевывается и микротом и любым генератором ...
@@Dmitriy_Zima либо безопасность, либо удобство. Токен может быть виртуальный на ТПМ модуле пк локального. Установка сертификата или ключа так же не составляет проблемы. В общем, два момента. Повышение безопасности обратно пропорционально удобству. Кто хочет решить вопрос - ищет способы решения. Кто не хочет - ищет оправдания почему этого сделать нельзя и это неудобно.
@@MikrotikTraining ну есть еще вариант вирт смарт карта на тпм. сейчас уже несколько лет все компы с ТПМ поставляются насколько я понимаю .. потому что тупо винда 11 требует его ... но ОТП как вариант решает вопрос дороговизны, и в общем то не сказал бы что повышает требование к грамотности технической.... в общем безопасно и дешево - в одном предложении я бы не стал пользоваться.. )
@@KonstantinovAG да тут не про удобство вовсе речь. В видео конкретный пример - операторы колцентра, и таких примеров много очень бывает, когда удаленщики меняются намного быстрее, чем токен доедет к ним. Страна большая очень
![Blox Fruits Dragon Rework Update [Full Stream]](http://i.ytimg.com/vi/EqDAp8udhm0/mqdefault.jpg)
Спасибо. Благодоря твоим видосам я полюбил микротик и активно его внедряю -)
Вариант с астериском с точки зрения безопасности имеет несколько изъянов:
1. Не усложняет подбор пароля, если в варианте с multifactor злоумышленник не пойдет, что основной пароль правильный если пользователь не подтвердит. С Астериском он поймет, что все ок и начнет изучать сеть на предмет варианта обхода фаервола.
2. Multifactor активирует конкреное подключение, OTP аналогично работает в конкретный момент времени. При звонке злоумышленник может подключиться и ждать пока подключится пользователь и своим звонком активирует оба подключения (не смотрел скрипт, может и не 2, а одно, но в любом случае это не точечное разрешение)
3. В логах понять, что подключился злоумышленник, максимум, если есть 2 подключения. то одно может быть "плохим", но это и не точно
Здравствуйте Дмитрий нет у вас видеоролика как настроить Macwlani?
я делал 2FA для впнщиков с отправкой кода в телеграмм, также на микротик с обвязкой по апи
а как это делать, есть статья инструкция
25:04 )). Параллельно чёт навеело "бородатый" анекдот про прапорщика и ломы.
Третье видео с использованием связки ssh и asterisk, третий раз не понятно, как это сделать и с каждым видео описание всё пространнее. Были ж времена, когда по твоим видео можно было протыкать и сделать, понятно, что лежат скрипты, для 16 астера, ты сам им пользуешься или 21 стоит, 22? 7 лет как поменялся драйвер sip. Железяку за 12к... мини пк можно купить за эти деньги с 2гб оперативки и диском, взрослыми возможностями линукса и под задачки как-то больше подойдёт, нежели wi-fi роутер. Последний же 4000 сдох через неделю, с 5009 экспериментировать опасаюсь уже. Мини пк по 3нм техпроцессу сделан, в отличии от микротиков, которые вечно любят процы 2013 года использовать. В 2017 ещё можно было это понять как-то, но в 2024 совсем сложно становится.
Кстати отп на пк можно добавить в keypassxc, тот умеет даже подставлять на тех сайтах к аккаунтам которых забит, но можно хранить и отдельные для впн в том числе
Когда 16 астериск был в 2015? Посвежее ничего не пробовали?
с астериском наверное лучше было инициировать звонок клиенту и там просить нажать цифру к примеру и потом активировать его. Ну опять таки это доп затраты
Попробовал новый WINBOX 4.0 linux. при попытке войти по MAC адресу вываливается ошибка Could not connect MacConnection syn timeout
Эта ошибка появляется при попытке доступа с хост системы на виртуальный роутер под Virtualbox
Спасает только возможность зайти по Link-Local адресу IPv6. Подобной фигни нет при доступе с виндовой виртуалки
WG+2FA ?
с рутокена даже винда умеет брать ключ ....
про линупс уж полчу ....
макось насколько помню тоже умеет прекрасно )
Вдохновившись рассказом Романа, полез пробовать RADIUS.
Столкнулся с проблемой которую не смог нагуглить, может кто прояснит!
Настроил User Manager на CHR ROS 7.16. Пока пробую просто логинится. Сам на себя захожу. С еще одного микрота на ROS 7.16 тоже захожу! С других микротов на ROS 6.49 получаю ошибку timeout ! Но вроде нигде не написано, что есть какая-то проблема совместимости....
Куда копать?
Включите логи usermanager и radius - timeout нет связи с radius.
Схема с астериск подойдёт для ovpn? Или только pptp, l2tp?
Любой ppp
Вводить просто отп ключ без пароля это плохая идея....
Нужно пользовать пароль все равно... просто пароль будет - и да, это становится мультифактором .. потому что таки пароль тоже надо знать )
И знак равно очень даже прекрасно прожевывается и микротом и любым генератором ...
Нам схема не подошла из-за сложности для пользователей - даже просто с otp
@@MikrotikTraining странно, но у нас внедрили это даже для обычных бухов.
Наверняка слышал про систему RSA SecureID
Все освоили ... ))
Пора бы уже про ключи RSA забыть. ED25519 намного компактнее при той же надёжности и нет таких тормозов как при использовании RSA
чтобы не украли впн - нужно на токене держать серт и по нему авторизоваться....
удаленно его не утащишь ... а вы как то поленились ....
Для массы пользователей становится очень дорого
мало того что пользователю нужн купить этот токен, Но проблема даже не в этом, а в том что как удаленщикам эти токены доставлять и забирать
@@Dmitriy_Zima либо безопасность, либо удобство.
Токен может быть виртуальный на ТПМ модуле пк локального.
Установка сертификата или ключа так же не составляет проблемы.
В общем, два момента.
Повышение безопасности обратно пропорционально удобству.
Кто хочет решить вопрос - ищет способы решения. Кто не хочет - ищет оправдания почему этого сделать нельзя и это неудобно.
@@MikrotikTraining ну есть еще вариант вирт смарт карта на тпм. сейчас уже несколько лет все компы с ТПМ поставляются насколько я понимаю .. потому что тупо винда 11 требует его ... но ОТП как вариант решает вопрос дороговизны, и в общем то не сказал бы что повышает требование к грамотности технической.... в общем безопасно и дешево - в одном предложении я бы не стал пользоваться.. )
@@KonstantinovAG да тут не про удобство вовсе речь. В видео конкретный пример - операторы колцентра, и таких примеров много очень бывает, когда удаленщики меняются намного быстрее, чем токен доедет к ним. Страна большая очень
Лютый рассинхрон звука и видео :(
Только в самом начале
А на х2 вообще незаметно 😂
Пару минут в начале