Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
Каталог
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Страницы: 1
RSS
Unifi L3 управление — риски безопасности?, UniFi Network
 
Все примеры управления L3 показаны с использованием http://ip_or_fqdn:8080/inform.  
Какие риски безопасности связаны с использованием обычного HTTP?  
Можно ли использовать HTTPS-порт (например, https://ip_or_fqdn:8443/inform)?  
Заранее спасибо за помощь.  
– i
 
@jdtemple911, как я уже отметил, сам контроллер якобы может передавать FQDN на точки доступа. Гораздо удобнее было бы, если бы опция 43 DHCP в роутере производителей позволяла использовать FQDN вместо IP-адреса, чтобы точки доступа могли изначально находить контроллер по FQDN. Это определённо недостаток DHCP. Альтернатива, если на объекте есть собственный внутренний DNS-сервер — создать CNAME, который указывает «unifi» на ваш FQDN для контроллера. Грегг.
 
При настройке DHCP-сервисов на Edgerouter НЕЛЬЗЯ указать FQDN в качестве контроллера в пулах DHCP. Он принимает только IPv4-адрес. Вот что пытались сделать в командной строке для DHCP-сервисов конкретной подсети: set unifi-controller Your-FQDN.Doesnt.work  
"Your-FQDN.Doesnt.work" не является допустимым значением типа "ipv4". Так что если разворачиваешься в удалённой локации, надеюсь, можно указать статический адрес для Edgerouter, чтобы он раздавал информацию о контроллере.
 
@jdtemple911

«Есть ли в контроллере Unifi опция, чтобы указать FQDN контроллера для принятых устройств, и чтобы оно отправлялось на любое устройство, которое он принимает?» Да, как я описал в своем предыдущем ответе. Начните со второго предложения второго абзаца. Грегг
 
Я успешно использовал SSH-метод. Возможно, я неправильно сформулировал свой вопрос. Есть ли в контроллере UniFi опция, позволяющая указать FQDN контроллера для принятых устройств, чтобы оно автоматически передавалось на каждое новое устройство при его принятии? Избежать прямого SSH-подключения к точке доступа было бы неплохо.
 
@jdtemple911

«Можно ли указать FQDN в программном обеспечении контроллера и задать его до установки на объекте?» Да, можно настроить устройство локально, а затем отвезти его клиенту. Я использую FQDN в своей команде set-inform, если подключаюсь по SSH, чтобы задать URL для inform. В контроллере есть настройка «Controller hostname/IP», которая задает URL inform на точке доступа — по крайней мере, в моем опыте. У меня в этой настройке указан публичный FQDN. Я настроил новые UAP-AC-LITE и UAP-AC-LR дома для тестирования (с контроллером Cloud Key в домашнем офисе), а затем отвез оба устройства в дом моего шурина для тестов. Они включились и появились в моем контроллере. Грегг
 
Настройка stunnel поможет смягчить эту проблему.
 
Я знаю, что эта тема старая. Как новичок в продуктах Ubiquiti, который разбирается с их работой, я нашёл этот тред очень полезным. Я рассматриваю развёртывание и первоначальное принятие устройств со стороны WAN. Исходя из этого треда, трафик будет уязвим только в момент согласования или передачи ключа между контроллером и точкой доступа при принятии. Самый безопасный способ — принять контроллер в LAN, затем развернуть устройства и ждать, пока они свяжутся с ним. В случаях, когда это невозможно, согласно этому треду, риск при первоначальном принятии минимален. Если на объекте для DHCP недоступна опция 43, можно ли указать FQDN в ПО контроллера и задать его до того, как устройство привезут на место? Спасибо!
 
Джим абсолютно прав, когда говорит, что это зашифрованный трафик и всё такое. Вот ещё несколько деталей в дополнение.  
Почитай http://en.wikipedia.org/wiki/TR-069 — это метод, используемый для управления точками доступа (AP). Каждая AP использует свой ключ шифрования, который генерируется во время принятия в сеть (выполняется через SSH от контроллера к AP). Inform — это способ аутентификации AP с контроллером, отсюда и периодические inform (да, этот запрос зашифрован).
 
Мы используем tinc или pptp, чтобы объединить management VLAN всех наших локаций в контроллер через VPN. Настраивается очень просто, и большинство ADSL/VDSL-модемов умеют это делать из коробки, а для остальных подключений обычно используем Raspberry Pi — решение за 25$, которое подключается к роутеру через USB 😀 Это гарантирует, что весь трафик зашифрован (включая запросы RADIUS).
 
Я вовсе не уверен, что это так. Насколько я понимаю, протокол управления зашифрован, даже если HTTP-трафик — нет, так что перехватить таким образом точку доступа — задача отнюдь не тривиальная. На мой взгляд, сначала нужно преодолеть ряд других препятствий... Во-первых, нужно вообще найти эту точку доступа. Поскольку многие из них находятся за NAT или чем-то подобным, это непросто. Затем нужно каким-то образом установить связь с точкой доступа — и снова, из-за NAT или аналогичных преград, это тоже нетривиально. Допустим, вам это удалось — тогда нужно подделать зашифрованный протокол управления Unifi и, предположительно, убедить точку доступа переключиться на контроллер под вашим управлением. В лучшем случае вы скомпрометируете данные платежей нескольких пользователей, но это не будет долгосрочной атакой, так как оригинальный контроллер тут же начнет сообщать, что пропавшая точка доступа недоступна. Опять же, на мой взгляд, уровень усилий, риска и навыков, необходимых для осуществления подобного, настолько высок, что это крайне маловероятно. Впрочем, если кто-то знает то, что я упустил, дайте знать. Джим
 
Привет Джим, полагаю, изменить конфигурацию точки доступа, перехватив трафик inform, не так уж сложно? И как только конфигурация меняется, получаешь полный доступ к сети, где находятся эти точки доступа? С уважением, Мартин
 
Я не преуменьшаю значение, но можешь ли ты точно量化ить, какой именно риск ты видишь в незашифрованном трафике inform? Подмена или мониторинг inform-трафика кажется мне слишком большим геморроем ради минимальной выгоды, но, возможно, я что-то упускаю — если так, дай знать, потому что мы уже используем контроллер через L3. Спасибо, Джим
 
Привет! Какие-нибудь новости по этой теме? Хочу запихнуть контроллер UniFi в «облако» (на наш собственный сервер в интернете), но пока управляющий трафик между точками доступа не зашифрован (или неизвестно, шифруется ли он), это НЕ вариант. Вижу, что есть даже видео, как установить контроллер на Amazon AWS. http://community.ubnt.com/t5/UniFi-Controller-Installation/How-to-Install-the-UniFi-controller-in-Amazon-AWS/ta-p/455785 Но ничего про меры безопасности? Буду рад услышать информацию от парней из UBNT? :-) Спасибо большое, Мартин
Страницы: 1
Читают тему (гостей: 1)