Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

Winbox 3.14RC

Oznámení a diskuse ke konkrétním verzím.
Uživatelský avatar
hapi
Příspěvky: 12989
Registrován: 16 years ago

Re: Winbox 3.14RC

Příspěvekod hapi » 5 years ago

ludvik píše:Trochu blbé, když HW šifrování je na CCR inzerované, ne? Reportoval jsi to?
hapi píše:s cpučkem když to jede přeš šifrování a máš otevřenej seznam s pravidly. Ty CPUčka šifrovanou komunikaci vůbec nedávaji.


to je jenom tvoje neznalost. Šifrování v cpu je pouze pro TUNELY. Ne pro SLUŽBY. A je jenom pro určitou sadu šifer. Ne pro všechny.

To máš jako na dvou silných serverech který si posílají soubory přes ssh tunel, se koukni jak to pěkně zatíží velký x86 procáky, co na to má pak říkat takový mips 400MHz. Samozřejmě to je špatný porovnání ale ukazuje to jak moc to rbčka nedávaji. Pro ssh ok, pro winbox kterej spolkne docela dost dat to už v pořádku neni.
Naposledy upravil(a) hapi dne 28 May 2018 15:16, celkem upraveno 1 x.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků

ludvik
Příspěvky: 4448
Registrován: 12 years ago

Příspěvekod ludvik » 5 years ago

Tak to se ti převelice klaním, že tuto informaci máš a že jsi se podělil i s amatéry.

Ale jinak je to neznalost mikrotiku, protože pokud umím akcelerovat AES-CBC a winbox konexi šifruji AES-CBC, tak jsem blbej, že to nepoužiju ...
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.

Uživatelský avatar
hapi
Příspěvky: 12989
Registrován: 16 years ago

Příspěvekod hapi » 5 years ago

winbox se šifruje AES-CBC? Moc rád bych vidět něco co šifruje hw vzdálený terminal. A vlastně je to fuk, wifi rbčko nemá žádný hw šifrování.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků

ludvik
Příspěvky: 4448
Registrován: 12 years ago

Příspěvekod ludvik » 5 years ago

What's new in v3.14:
* ) make all connections in secure mode (all data is encrypted with AES128-CBC-SHA);



Uvědom si, že to není podpora ve smyslu "z jedné strany stream plaintext, z druhé náhodná změť bitů". Je to podpora instrukční sadou. Nikdo asi nebude vyrábět čip, kterému bude říkat CPU a podporovat jen a pouze akceleraci ipsec.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.

radik
Příspěvky: 228
Registrován: 8 years ago

Příspěvekod radik » 5 years ago

To je tady zase diskuze...
A uplne nejhorsi je, ze vubec mikrotik podporuje SSH (a co mikrotik, ale i ostatni), kdyz vlastne telnet dela uplne to samy. No a naco https, vzdyt zadny rozdil neni a vsechno funguje stejne... Uplne stejna logika.
0 x

radik
Příspěvky: 228
Registrován: 8 years ago

Příspěvekod radik » 5 years ago

A jeste jeden trochu offtopic, tak v changelogu 6.43rc je zmena:
*) mac-telnet - require at least v6.43 MAC Telnet client when connecting to v6.43 or later version server;

a 6.42.3
*) btest - requires at least v6.43 Bandwidth Test client when connecting to v6.43 or later version server except when authentication is not required;

Takze predpokladam, ze pravdepodobne nejaky sifrovani je i u tohoto (nekdo muze otestovat) a proto to udelali i u winboxu. Pravdepodobne to nesifrovani nekdo zneuzil (pokud se tedy zacalo sifrovat).
0 x

Uživatelský avatar
hapi
Příspěvky: 12989
Registrován: 16 years ago

Příspěvekod hapi » 5 years ago

radik píše:To je tady zase diskuze...
A uplne nejhorsi je, ze vubec mikrotik podporuje SSH (a co mikrotik, ale i ostatni), kdyz vlastne telnet dela uplne to samy. No a naco https, vzdyt zadny rozdil neni a vsechno funguje stejne... Uplne stejna logika.


jako chápej, to že se vše přepne na šifrování aspoň tedy autorizace i u btestu, tak to neznamená že to opraví děravý služby jako byl winbox dll. To že vše přepnuly na šifrování je prostě jenom aktuální dobou kdy se vše na to přepne. Je to chválihodný a někdo se zdá se trefil do vosího hnízda že šifrujou i autorizaci na btest nicméně ssh daemon je taky šifrovaný a před 2 lety se "objevila" ta samá chyba jako u winboxu. Šifrovaný nešifrovaný, přístup se získal.
1 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků

radik
Příspěvky: 228
Registrován: 8 years ago

Příspěvekod radik » 5 years ago

No, zase jsi to nepochopil, ale to nevadi. A samozrejme, ze se neco sifruje je jasny, ze i tam muze byt dira. Jen jsem reagoval na to, proc nesifrovat, kdyz uz i dnes je to bez toho dira sama o sobe. Je jen dobre, ze to mikrotik udelal a bez sifrovani se nejde pripojit.
0 x

Uživatelský avatar
Myghael
Příspěvky: 1309
Registrován: 12 years ago

Příspěvekod Myghael » 5 years ago

Ano, proč nešifrovat, také to vítám, ale že se bez šifrování ani připojit nejde mi vadí, stejně jako ty moderní tendence všechno zabíjet/zakázat/omezit hned jakmile vyjde něco nového. Když nic jiného, kdo ví, kolik bugů tam zase mají.
0 x
Si vis pacem, para bellum.

MikroTik, UBNT, Cisco, TP-Link... rozhoduje vhodnost toho či onoho pro konkrétní použití, ne jaké logo nalepili v Číně na krabici. Na tomto fóru vystupuji jen a pouze sám za sebe.

radik
Příspěvky: 228
Registrován: 8 years ago

Příspěvekod radik » 5 years ago

Si myslim, ze to udelali, aby byla jistota, ze nikdo nemuze odchytit komunikaci a z ni heslo apod. Pripadne se naborit treba do session ktera bezi. Coz si myslim ze je naprosto rozumny. Spis byla chyba, ze se vubec v minulosti umoznilo nesifrovat.
0 x

Uživatelský avatar
honzam
Příspěvky: 5527
Registrován: 17 years ago

Příspěvekod honzam » 5 years ago

radik píše:Si myslim, ze to udelali, aby byla jistota, ze nikdo nemuze odchytit komunikaci a z ni heslo apod. Pripadne se naborit treba do session ktera bezi. Coz si myslim ze je naprosto rozumny. Spis byla chyba, ze se vubec v minulosti umoznilo nesifrovat.


Přesně tak. Otázka jestli kvůli "jistotě" a nebo to už někdo prolomil

Man in the middle attack is not possible, because*) WinBox now uses ECSRP for key exchange and authentication (requires new winbox version),both sides now verify that other side knows password (no man in the middle attack is possible anymore);
0 x