classic.ISPforum.cz

ludvik píše:Trochu blbé, když HW šifrování je na CCR inzerované, ne? Reportoval jsi to?

hapi píše:s cpučkem když to jede přeš šifrování a máš otevřenej seznam s pravidly. Ty CPUčka šifrovanou komunikaci vůbec nedávaji.

to je jenom tvoje neznalost. Šifrování v cpu je pouze pro TUNELY. Ne pro SLUŽBY. A je jenom pro určitou sadu šifer. Ne pro všechny.

To máš jako na dvou silných serverech který si posílají soubory přes ssh tunel, se koukni jak to pěkně zatíží velký x86 procáky, co na to má pak říkat takový mips 400MHz. Samozřejmě to je špatný porovnání ale ukazuje to jak moc to rbčka nedávaji. Pro ssh ok, pro winbox kterej spolkne docela dost dat to už v pořádku neni.

Tak to se ti převelice klaním, že tuto informaci máš a že jsi se podělil i s amatéry.

Ale jinak je to neznalost mikrotiku, protože pokud umím akcelerovat AES-CBC a winbox konexi šifruji AES-CBC, tak jsem blbej, že to nepoužiju ...

winbox se šifruje AES-CBC? Moc rád bych vidět něco co šifruje hw vzdálený terminal. A vlastně je to fuk, wifi rbčko nemá žádný hw šifrování.

What's new in v3.14:
* ) make all connections in secure mode (all data is encrypted with AES128-CBC-SHA);

Uvědom si, že to není podpora ve smyslu "z jedné strany stream plaintext, z druhé náhodná změť bitů". Je to podpora instrukční sadou. Nikdo asi nebude vyrábět čip, kterému bude říkat CPU a podporovat jen a pouze akceleraci ipsec.

To je tady zase diskuze...
A uplne nejhorsi je, ze vubec mikrotik podporuje SSH (a co mikrotik, ale i ostatni), kdyz vlastne telnet dela uplne to samy. No a naco https, vzdyt zadny rozdil neni a vsechno funguje stejne... Uplne stejna logika.

A jeste jeden trochu offtopic, tak v changelogu 6.43rc je zmena:
mac-telnet - require at least v6.43 MAC Telnet client when connecting to v6.43 or later version server;

a 6.42.3
btest - requires at least v6.43 Bandwidth Test client when connecting to v6.43 or later version server except when authentication is not required;

Takze predpokladam, ze pravdepodobne nejaky sifrovani je i u tohoto (nekdo muze otestovat) a proto to udelali i u winboxu. Pravdepodobne to nesifrovani nekdo zneuzil (pokud se tedy zacalo sifrovat).

radik píše:To je tady zase diskuze...
A uplne nejhorsi je, ze vubec mikrotik podporuje SSH (a co mikrotik, ale i ostatni), kdyz vlastne telnet dela uplne to samy. No a naco https, vzdyt zadny rozdil neni a vsechno funguje stejne... Uplne stejna logika.

jako chápej, to že se vše přepne na šifrování aspoň tedy autorizace i u btestu, tak to neznamená že to opraví děravý služby jako byl winbox dll. To že vše přepnuly na šifrování je prostě jenom aktuální dobou kdy se vše na to přepne. Je to chválihodný a někdo se zdá se trefil do vosího hnízda že šifrujou i autorizaci na btest nicméně ssh daemon je taky šifrovaný a před 2 lety se "objevila" ta samá chyba jako u winboxu. Šifrovaný nešifrovaný, přístup se získal.

No, zase jsi to nepochopil, ale to nevadi. A samozrejme, ze se neco sifruje je jasny, ze i tam muze byt dira. Jen jsem reagoval na to, proc nesifrovat, kdyz uz i dnes je to bez toho dira sama o sobe. Je jen dobre, ze to mikrotik udelal a bez sifrovani se nejde pripojit.

Ano, proč nešifrovat, také to vítám, ale že se bez šifrování ani připojit nejde mi vadí, stejně jako ty moderní tendence všechno zabíjet/zakázat/omezit hned jakmile vyjde něco nového. Když nic jiného, kdo ví, kolik bugů tam zase mají.

Si myslim, ze to udelali, aby byla jistota, ze nikdo nemuze odchytit komunikaci a z ni heslo apod. Pripadne se naborit treba do session ktera bezi. Coz si myslim ze je naprosto rozumny. Spis byla chyba, ze se vubec v minulosti umoznilo nesifrovat.

radik píše:Si myslim, ze to udelali, aby byla jistota, ze nikdo nemuze odchytit komunikaci a z ni heslo apod. Pripadne se naborit treba do session ktera bezi. Coz si myslim ze je naprosto rozumny. Spis byla chyba, ze se vubec v minulosti umoznilo nesifrovat.

Přesně tak. Otázka jestli kvůli "jistotě" a nebo to už někdo prolomil

Man in the middle attack is not possible, because*) WinBox now uses ECSRP for key exchange and authentication (requires new winbox version),both sides now verify that other side knows password (no man in the middle attack is possible anymore);