Из статьи вы узнаете, из каких элементов состоит Интерпретатор Python, как он работает и на каком языке он написан.
Архив рубрики: Публикации
MikroTik CAPsMAN – дополнение.
Это дополнение к описанию настроек диспетчера (контроллера, менеджера) для сети из точек доступа wi-fi. Первую часть настроек можно посмотреть на этой странице.
В данном случае рассматривается дистанционное обновление RouterOS у точек доступа CAPs, а так же их дистанционная перезагрузка и вопрос безопасности подключения к wi-fi.
Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Дистанционная перезагрузка CAP.
Информационная безопасность CAP.
Проверить версию ОС (прошивки) CAP можно в CAPsMAN на вкладке Remote CAP.
У роутера с CAPsMAN версия прошивки 6.49.7. Поэтому для примера обновим точки доступа с прошивкой ниже 6.49.7.
Определяем архитектуру точек доступа. Её можно увидеть в верхней левой части окна WinBox подключившись к одной из CAP.
Переходим на сайт mikrotik.com и в разделе загрузок находим нужную прошивку.
Прошивка архитектуры smips из ветки Stable (стабильные).
Если точек wi-fi очень много и требуется повышенная стабильность, то лучше выбрать прошивку из ветки Long-term.
Прошивку можно повышать (Upgrade) или понижать (Downgrade). Понижение выполнимо только при подключении к точке доступа.
Скачиваем файл .npk, и переносим в роутер CAPsMAN в папку c удобным названием, например CAPS.
Переходим в настройку CAPs Manager. Указываем путь к скаченной прошивке и политику обновления.
Package Path: /CAPS – путь к файлу обновления.
Upgrade Policy:
require same version – требуется та же версия, т.е. у точки доступа (CAP) должна быть прошивка такой же версии как у диспетчера (CAPsMAN) иначе передача информации управления к точкам (provisioning) прекратится;
Все точки будут видны в Remote CAP, но данные от CAPsMAN получат только те, у которых прошивка такая же, как у самого CAPsMAN.
suggest same version – предлагается та же версия, но не обязательно, выбираем этот вариант.
Первоначальная настройка – none.
Через командную строку терминала.
|
1
| /caps—man manager set enabled=yes package—path=/CAPS upgrade—policy=suggest—same—version |
После нажатия кнопки «Apply» еще некоторое время точки были с прежней прошивкой, минут 5, а потом начали автоматически обновляться до прошивки 6.49.7.
Разные модели и архитектура CAP.
Если точки доступа разных моделей и архитектуры. Например, CAP06 и CAP09 на картинке ниже.
В этом случае скачиваем разные прошивки для разных архитектур и размещаем в папке CAPS. Точки доступа сами разберутся кому какой файл.
Для ускорения процесса начала обновления можно выбрать CAP и нажать кнопку Upgrade.
Через некоторое время видим, что точки доступа обновились каждая своей прошивкой.
Обновление загрузчика в RouterBOARD.
Подключаемся к любой CAP. Переходим в меню System >> RouterBOARD
Нас интересуют строки:
Current Firware – установленная в настоящее время версия.
Upgrade Firmware – версия на которую можно обновиться.
Нажимаем кнопку Settings.
Отмечаем галочкой авто обновление. Сохраняем настройку.
После обновления прошивки загрузчик обновится автоматически. Но есть одна особенность – требуется перезагрузка точки доступа.
Перезагружать дистанционно CAPsMAN не умеет. Значит, это нужно делать через расписание, SSH, Telnet или MAC-telnet.
Дистанционная перезагрузка CAPs.
Перезагрузка через расписание со скриптом.
Создаем новое задание для расписания.
System >> Schedule >> +
Name – любое понятное имя латиницей.
Start Time: startup – время запуска скрипта – при включении.
Policy: reboot, read, write, policy, test – разрешения необходимые для выполнения скрипта.
On Event – скрипт для выполнения.
|
1 2 3 4 5
| :delay 60s; /system routerboard :if ([get current—firmware] != [get upgrade—firmware]) do={ /system reboot } |
Логика такая.
Выполняется дистанционное обновление прошивки CAP и последующая перезагрузка.
CAP включается и далее запускается расписание. Выполняется скрипт, по которому с задержкой в 60 сек.(чтоб точка доступа смогла полностью загрузиться) происходит проверка. Если версия Upgrade Firmware не соответствует Current Firmware, то выполняется перезагрузка.
Следует убедиться что, установлена галочка в RouterBOARD >> Settings >> Auto Upgrade, иначе точка доступа будет перезагружаться бесконечно.
Через командную строку терминала.
|
1 2 3 4 5 6 7
| /system scheduler add name=FW—UPDATE—REBOOT on—event= «:delay 60s;r n/system routerboardr n:if ([get current-firmware] != [get upgrade-firmware]) do={r n/system rebootr n}» policy=reboot,read,write,policy,test start—time=startup |
Схема проверена несколько раз, работает стабильно.
Перезагрузка через MAC—Telnet.
По первоначальной настройке MAC-Telnet активирован и разрешен на всех интерфейсах.
В роутере CAPsMAN переходим в перечень соседних устройств.
IP >> Neighbor.
Выбираем нужную точку доступа и нажимаем кнопку MAC-Telnet.
Вводим логин, пароль.
После удачного подключения выполняем команду перезагрузки.
|
1
| /system reboot |
Можно повысить безопасность в CAPs и указать с каких интерфейсов разрешено подключение.
Создаем список доверенных интерфейсов и указываем в нем ether1 – интерфейс направленный в сторону CAPsMAN.
|
1 2
| /interface list add name=TRUST /interface list member add interface=ether1 list=TRUST |
Разрешаем MAC-Telnet только для интерфейсов из списка доверенных.
Tools >> MAC Server.
|
1
| /tool mac—server set allowed—interface—list=TRUST |
Для выполнения перезагрузки нужно подключатся к каждой точке wi-fi вручную через терминал, вводить логин, пароль и команду на перезагрузку. Это долго и неудобно. Такой метод можно использовать как частный случай.
Перезагрузка через SSH.
При использовании SSH можно автоматизировать процесс и создать скрипт перезагрузки для всех CAPs одновременно.
Предварительно нужно создать и разместить на точках доступа сертификаты.
Так же публичный и приватный сертификаты нужно разместить на роутере управления CAPsMAN.
Создание сертификатов.
Сертификаты созданы в Putty Key Generator.
Чтоб не возникало проблем с импортом приватного сертификата его нужно экспортировать из генератора через Export OpenSSH key. 
Публичный сертификат нужно копировать и вставлять в текстовый файл.
Импорт сертификатов.
Переносим сертификаты с компьютера на роутер CAPsMAN.
Импортируем сертификаты для указанного пользователя.
System >> Users
Импортируем публичный ключ в точку доступа (CAP).
System >> Users
|
1
| user ssh—keys import public—key—file=1—PUBLIC—CAPS.txt |
В терминале роутера (CAPSMAN) выполняем команду.
|
1
| /system ssh address=192.168.111.50 user=admin command=«/system reboot» |
Точка доступа доступа wi-fi перезагрузится.
Добавляем публичные сертификаты на другие точки доступа (CAPs).
Перезагрузка через скрипт.
System >> Scripts
Создаем скрипт, в котором указываем все CAPs, которые нужно перезагрузить.
Name: CAPS REBOOT – любое понятное имя латиницей.
Policy: read, write, policy, test.
Cource: текст скрипта
|
1 2 3 4
| /system script add dont—require—permissions=no name=«CAPS REBOOT» owner=Heimdallr policy=read,write,policy,test source= «/system ssh-exec address=192.168.111.40 user=admin command=»/system reboot»r n/system ssh-exec address=192.168.111.50 user=admin command=»/system reboot»» |
Если несколько CAPs подключено последовательно (гирляндой) то перезагружать нужно ближнюю к CAPsMAN или к коммутатору с PoE питанием, последующая точка выключится при выключении первой.
Далее, когда требуется, (например, после обновления прошивок) запускаем скрипт и все указанные в нем точки доступа перезагрузятся.
Разрешение доступа по SSH и WinBox.
На CAPs указываем в правиле firewall с каких IP-адресов разрешено подключатся по SSH.
Создаем список доверенных IP-адресов в IP >> Firewall >> Address Lists
Можно указать сеть или конкретный адрес.
|
1
| /ip firewall address—list add address=192.168.1.0/24 list=MANAGEMENT |
Создаем правило для входящего трафика, отбрасывающее подключения по 22 порту для всех IP-адресов, кроме тех, кто в списке.
|
1
| /ip firewall filter add action=drop chain=input port=22 protocol=tcp src—address—list=!MANAGEMENT comment=«SSH MANAGEMENT» |
Так как иногда может понадобиться подключится к точке доступа по WinBox, добавим правило для его порта.
|
1
| /ip firewall filter add action=drop chain=input port=8291 protocol=tcp src—address—list=!MANAGEMENT comment=«WINBOX MANAGEMENT» disabled=yes |
Можно указать два порта в одном правиле через запятую.
Сервисы доступа.
Все не используемые сервисы в CAPs необходимо отключить для повышения безопасности. Оставить нужно только ssh и winbox.
IP >> Services
|
1 2 3 4 5 6
| /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set api disabled=yes set api—ssl disabled=yes |
После выполнения этих действий к точкам доступа возможно подключение только из доверенных IP-адресов.
Пользователь и пароль.
Создаем нового пользователя, одинакового для всех CAPs. Задаем ему полный доступ.
|
1
| user add name=Heimdall password=Password12345 group=full |
Указываем сложный пароль из букв разного регистра, цифр и спецсимволов.
Если требуется, импортируем для него сертификат, для доступа по SSH.
|
1
| user ssh—keys import public—key—file=1—PUBLIC—CAPS.txt user=Heimdall |
Нового пользователя нужно исправить в скриптах, если они используются.
Пользователя admin удаляем, предварительно зайдя в настройку под новым созданным пользователем.
|
1
| user remove admin |
Правило подключения клиентов wi—fi.
Так как беспроводная сеть предназначена для конкретных производственных целей, а не для личных телефонов сотрудников или гостей, в специальном списке перечислены все устройства которым можно подключаться к wi-fi. Для всех остальных подключение невозможно. Такая настройка называется иногда подключение по белому списку.
Настройка выполняется в CAPsMAN.
Первоначально клиентский планшет подключается к wi-fi без всяких запретов, это нужно чтоб не переписывать вручную его MAC-адрес.
На вкладке Registration Table выбираем подключенного клиента и копируем в Access List (ACL).
Переходим в Access List, выбираем нужного клиента и указываем ему разрешающее действие при подключении.
Таким способом добавляем все клиентские устройства.
В самом низу списка Access List создаем правило с отклоняющим (reject) действием без указания MAC-адреса.
В итоге, к любой точке доступа всей сети wi-fi смогут подключаться только те устройства, чей MAC-адрес добавлен в список ACL.
Новогодний бонус.
Можно настроить SSID у CAPs в виде симпатичных emoje. Это будет выглядеть так.
Для создания такого SSID нужно:
1.Выбираем emoje какие понравятся, на сайте.
2.Копируем код emoje в генератор Mikrotik Unicode SSID Generator.
3.Получившийся код переносим в MikroTik (CAPsMAN) через команду в терминале.
Например при создании конфигурации.
|
1 2
| /caps—man configuration add channel=CH—2GHZ country=belarus datapath=DATAPATH—1 installation=indoor m ode=ap name=CONFIG—1 security=SECURITY—1 ssid=«F09F8E84F09F8E85F09F8C9FE29883EFB88FF09F8DB0F09F8E89F09F8E81» |
Или при редактировании конфигурации.
|
1
| /caps—man configuration set CONFIG—1 ssid=«F09F8E84F09F8E85F09F8C9FE29883EFB88FF09F8DB0F09F8E89F09F8E81» |
Если это отдельная точка wi-fi без управления CAPsMAN то просто изменяем SSID.
|
1
| /interface wireless set [find name=«wlan1»] ssid=«F09F8E84F09F8E85F09F8C9FE29883EFB88FF09F8DB0F09F8E89F09F8E81» |
Всем успехов в Новом году!
Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
2022-12-18T14:24:06
MikroTik
Firefox 108 включает поддержку WebMIDI API и многое другое.
Firefox — популярный веб-браузер
В новой версии Firefox 108 уже выпущен и этот выпуск представляет собой обновление безопасности, которое также включает в себя некоторые изменения и улучшения браузера, не связанные с безопасностью.
Una из новинок, которые он представляет Эта новая версия Firefox является Поддержка веб-MIDI API и новый экспериментальный механизм контроля доступа к опасным возможностям.
PeerTube 5.0 уже выпущен, и это его новости
PeerTube — это бесплатное децентрализованное федеративное программное веб-приложение, использующее технологию одноранговой связи для снижения нагрузки на отдельные серверы при просмотре видео.
Запущена децентрализованная платформа для организации видеохостинга и стриминга Пир Туб 5.0, версия, которую разработчики отмечают как «важную», потому что это запуск, который отмечает все достижения своей дорожной карты и особенно рост, который имела платформа.
В этой новой версии, которая представлена, повысить защиту видео внутренние и конфиденциальныеи изменил организацию хранения видео в файловой системе.
QEMU 7.2 поставляется с длинным списком новых функций
QEMU — эмулятор процессора, основанный на динамической двоичной трансляции.
Анонсирован запуск новой версии проекта QEMU 7.2, версия, в которой добавлены различные улучшения поддержки к различным эмуляторам, из которых наиболее выдающимся является реализация «virt» в OpenRISC, а также улучшения для ARM и многое другое. Эта новая выпущенная версия QEMU 7.1 содержит более 1800 коммитов от 205 авторов.
Для тех, кто плохо знаком с QEMU, следует знать, что он позволяет запускать программу, созданную для одной аппаратной платформы, в системе с совершенно другой архитектурой, например, запускать ARM-приложение на x86-совместимом ПК.
Что такое Flipper Zero?
Привет всем! Одним из моих хобби является реверс инжиниринг электронных устройств. После небольшой задержки мой Flipper Zero наконец-то прибыл по почте. Давненько я хотел затестить его, а, заодно, рассказать вам, что с его помощью можно сделать.
Вот так выглядит упаковка после вскрытия. Он содержит устройство, USB-кабель, руководство по быстрому запуску (в основном указывающее на веб-сайт Flipper Zero) и наклейку Flipper «Взломай планету».
Несмотря на то, что над программным обеспечением все еще работают, оно уже кажется довольно отточенным и интуитивно понятным.
Имейте в виду, что вам нужна карта microSD для обновления до последней версии прошивки и хранения ваших данных.
Некоторая информация в этом посте быстро устареет из-за текущей скорости обсуждений и создаваемых хаков.
qFlipper — настольное приложение-компаньон
Flipper Zero поставляется с сопутствующим приложением для установки прошивки.
Обновление прошивки прошло очень гладко. Совсем скоро появятся приложения для Android и iOS.
Также доступны бета-версии, которые включают будущие обновления функций, такие как файловый менеджер для копирования файлов.
Скорее всего, когда вы это читаете, последняя версия qFlipper уже включает файловый менеджер.
NFC
Первой особенностью, которую я исследовал, были возможности NFC, протестировав следующие устройства:
- Физическая карта — вау, я вижу номера своих кредитных карт!
- Apple Watch — вау, я вижу номера карт!
- Airtags — удалось прочитать идентификатор устройства
- Ски-пассы и другие случайные вещи — захватывает NFC UID без проблем
Все они работали. Существует также режим эмуляции, который позволяет вам эмулировать сохраненное устройство — будьте осторожны и осознайте риски, связанные с этим (также, очевидно, не делайте ничего незаконного).
Для дебетовых/кредитных карт и Apple Watch (после открытия для сканирования карты в кошельке) можно было прочитать номер карты с устройств!
На приведенном выше снимке экрана показан пример старой карты предоплаты. Несмотря на то, что очевидно, что это возможно, довольно страшно осознавать, насколько это просто на самом деле.
Это действительно заставляет задуматься о том, чтобы инвестировать в рукава, которые защищают карты, чтобы предотвратить считывание номеров ваших кредитных карт произвольными устройствами.
RFID
Flipper Zero без проблем считывает брелоки и карты. Он также может эмулировать ранее отсканированный брелок, что очень удобно. Существует также функция записи, которая позволяет, например, записывать информацию о сканированном RFID-чипе с одного брелока на другой.
Одна вещь, которую я узнал, это то, что на самом деле есть люди, у которых под кожей есть RFID-имплантаты! Я не шучу!
Инфракрасный
Инфракрасная функция очень проста в использовании. Например, легко захватывать и записывать команды с вашего собственного пульта дистанционного управления. После этого вы можете переиграть их.
Плохой USB
Bad-USB — это функция, которая превращает Flipper Zero в USB-устройство, такое как клавиатура, и можно отправлять заранее определенную последовательность команд.
Пример сценария по умолчанию, поставляемый с устройством, просто открывает блокнот и записывает следующий текст:
Если вы знакомы с BashBunny или Rubber Ducky, это будет выглядеть довольно знакомо, и вы также можете использовать сценарии из первого для запуска на Flipper Zero.
Радио
Эта функция поставляется с частотным анализатором, который я нахожу очень удобным. Я попытался клонировать свой брелок для ключей от машины и смог проанализировать и записать последовательность, но мне еще не удалось воспроизвести ее, чтобы действительно открыть двери. Это, вероятно, означает, что у моего брелока есть средства защиты (например, подвижный ключ) — это полезно знать.
Кроме того, будьте осторожны, делая такие вещи, потому что современные брелки имеют вращающиеся ключи, и вы можете заблокировать свой собственный брелок, рассинхронизировав его! В конце концов, помните, что Flipper Zero — это образовательное устройство, поэтому не используйте его для плохих дел или чего-то важного, на что вы действительно полагаетесь.
Есть видеоролики, в которых люди открывают крышку зарядки своего Tesla, потому что все Tesla используют один и тот же ключ для ее открытия.
Разное и пользовательский код
Flipper Zero имеет несколько других функций и уловок! Например, вы можете сыграть в Snake или использовать устройства как устройство U2F+множество других вещей.
Вывод
В целом, продукт очень хорош и уже отполирован, и будущие обновления программного обеспечения и прошивки должны улучшить его.
2022-12-15T16:35:10
Вопросы читателей