понедельник, 15 апреля 2013 г.

Вышло обновление для Router OS

Обновлены 3 ветки до версий:
v6.0rc13v5.24
v4.17
Обновление доступно для моделей:
RB400 series, RB700 series, RB900 series, RB2011 series, SXT, OmniTik, Groove, METAL
PC / X86, RB230 series
RB100 series, RB500 series, RB Crossroads
CCR series
Изменения в последней версии:

 pppoe, l2tp, pptp server - уселичено lcp retransmit count до 10;
 pptp, l2tp & pppoe clients - добавлена ​​возможность указания keepalive timeout;
 graphing - исправлен баг с пропаданием графиков при перезагрузке;
 dhcpv6 - добавлен IPv6 relay;
 sstp server - восстановлен(отключен в rc12) тестовый резим который позволяет стартовать сервер без сертификата;
 lcd - Добавлена ​​опция для включения подсветки вкл / выкл;
 bgp - исправлена бага работы с iBGP пирами.Осправлен баг с очередями.
 
Качайте новый Router OS и обновляйтесь.

четверг, 11 апреля 2013 г.

PicoStation M2 HP тестирование

Получил на этой неделе 2 точки доступа Ubiquiti PicoStation M2 HP. Общее впечатление PicoStation оставил хорошее.
Сам маленький, я даже удивился, вытащив из коробки такого малыша.В комплекте идет сам PicoStation  антенна, PoE, и кабель питания.  Администрирование  точки сделано в лучших традициях Ubiquiti. Air OS без проблем обновилась до последней версии (5.5.4).  По настройке практически  не отличается ни от NanoStation  ни от Power APN.  Главное не забыть выключить Airmax  если используете PicoStation M2 как точку доступа WI-FI.
Это все таки ISP решение.
Короткие итоги тестирования:
10 метров 1 стена (кирпич пол камня без  метала)  -54 db  35 mbps Возможно больше не тянет мой телефон.
30 метров 2 стена (кирпич пол камня без  метала)  -65 db  21 mbps
50 метров 3 стены (кирпич пол камня без  метала)  -79-82 db  8 mbps

Не плохой результат для точки стоимостью до 100$.
На сколько стабильно работает Ubiquiti PicoStation M2 HP можно будет рассуждать осенью, когда он хотя бы пол года проработает.
И на последок немного скринов.



Спасибо компании IT-Service Crimea за предоставленное оборудование.

четверг, 4 апреля 2013 г.

Вышел UniFi 3.0 c поддержкой 802.11ac

В конце марта компания Ubiquti обновил линейку точек доступа UniFi. В новой версии нам обещают полную поддержку  802.11ac, а это гигбитный Wi-Fi для 5 ггц (1300mbps если быть точным) и 450mbps для 2.4 ггц . Улучшеный Zero-Handoff - технолошияя бесшовного роуминга, которая позволяет переключатся между точками доступа без задержек и разрыва соединения. Это позволит вывести на новый уровень качество доступа к VoIP и потоковому видео.Обновилось так-же и програмное обеспечение, для управления и мониторинга точкек доступа UniFi. Добавлен функционал для создания WLAN груп. Это упрощает администрирование больших и средних сетй и ускоряет процесс развертывания сети.
Згрузка обновленного ПО будет доступн на сайте Ubiquti с 15 апреля. Сами точки уже сейчас доступны для предзаказа у большинства реселеров. Цена в США 299$. В продажу  UniFi AC поступят в конце мая. Но зная политику Ubiquti ограниченых поставак для первых партий товара, свободно купить  UniFi AC можно будет только в июне-июле. Я надеюсь мне повезет и получится провести тестирование в мае, тогда и поделюсь с вами впечатлением.

среда, 3 апреля 2013 г.

Защита от DoS атак на роутерах Mikrotik и Router OS


DoS (отказ в обслуживании) атаки могут привести к перегрузке маршрутизатора. Это означает, что загрузка процессора возрастает до 100%, а маршрутизатор может стать недоступным.

Вообще нет идеального решения  для защиты от атак DoS. Каждый сервис может стать перегруженым от слишком дольшого колличества запросов. Но есть некоторые методы для сведения к минимуму последствий атаки.

Установить более мощный маршрутизатор или сервер.
Расширить входящий канал.
Уменьшите количество правил брандмауэра, очереди и другие действия обработки пакетов
Отслеживание пути атаки и блокировать его ближе к источнику (на стороне вышестоящего провайдера).

Диагностика DoS атаки на роутере миротик. (TCP SYN flood)



Проверяем  не слишком ли много связей с SYN-SENT настоящее время?

/ip firewall connection print

Проверфем не слишком ли много пакетов в секунду происходит через интерфейс?

/interface monitor-traffic ether2

Проверяем загрузку процессора 100%?

/system resource monitor

Проверяем колличество подозрительных соединений.

/tool torch

Защита от таких атак.


Лимит входящих соединений.


Если с одного IP адреса подключений больше лимита, то этот IP попадает в "черный список" и в дльнейшем блокируется.
/ip firewall filter add chain=input protocol=tcp connection-limit=LIMIT,32  \
action=add-src-to-address-list  address-list=blocked-addr address-list-timeout=1d 

Где LIMIT - максимальное количество соединений в определенного IP. Предел должен быть от 100 и выше, так как многие услуги, используют несколько соединений (HTTP, Torrent, и другие P2P-программы).

Опция tarpit

Вместо того чтобы просто удалять пакеты атакующего, маршрутизатор может захватить и удерживать соединения и с достаточно мощным маршрутизатором это может замедлить скорость атаки.


/ip firewall filter add chain=input protocol=tcp src-address-list=blocked-addr \
connection-limit=3,32 action=tarpit 


SYN Фильтрация

Некоторые расширенные возможности фильтрации может влиять на состояние пакетов TCP.


/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new \
action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=yes
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new \
action=accept comment="" disabled=no
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new \
action=drop comment="" disabled=no

«syn limit = 400" является лимитом пакетов, просто включите правило в цепочке первым для пакетов SYN, чтобы пакеты удалялись (для избежания чрезмерного количества новых подключений)


SYN cookies

/ip firewall connection tracking set tcp-syncookie=yes





вторник, 2 апреля 2013 г.

Снят с производства мою любимый роутер Ubiquiti Power AP N

Этой зимой компания Ubiquiti перестала выпускать Power APN. Предложив как замена менее мощьный AirRouter HP. Сейчас запасы Power APN у всех украинских поставщиков закончились имн придется искать нового притендента на звание лучшего роутера. Если сожете что-либо посоветовать в качестве замены отпишитесь плз в коментах. Так как замета от Ubiquiti и выглядит хуже, и антенна всего одна, и мошьность меньше.