что такое mikrotik и для чего он нужен
МикроТик — что это такое, для чего нужен и есть ли что-то лучше для бизнеса?
MikroTik («Микротик») — это название латвийской компании производителя сетевого оборудования и программного обеспечения для развивающихся рынков с демократичной ценовой политикой.
Бренд предлагает продукты высокого качества наравне с компаниями первого уровня (Cisco, Juniper). Но при этом они требуют определённых познаний в компьютерных сетях для установки, настройки и эксплуатации. Ожидаемо решения «Микротик» оказались нужны и востребованы в рядах технических специалистов, щедро одаривших производителя своими позитивными экспертными откликами. Благодаря такому взаимодействию, популярность бренда распространилась далеко за пределы развивающихся рынков.
Обновлено: пользователь Андрей Швидков внёс интересное дополнение о происхождении слова «MikroTik» от прибалтийского (через «mikro-tikis»), которое переводится на русский как «Микро-Сеть».
Для чего нужен «МикроТик»?
При невысокой стоимости оборудование и программные комплексы MikroTik покрывают большую часть функциональности конкурентных решений в лице Cisco и Juniper, которые обходятся компаниям многократно дороже. При этом известные «домашние» решения вроде D-Link, Zyxell и TP-Link удаётся превосходить по спектру возможностей многократно.
«Микротик» за 30000 рублей, как правило, может делать тоже самое, что делает Cisco в несколько раз дороже.
«Микротик» нужен для экономии на сетевом оборудовании и ПО там, где на потребности заказчика найдётся достаточно опытный и профессиональный исполнитель. При должной настройке и тестировании, руководствуясь официальной документацией, продукты бренда надёжны и работают без перебоев. Считается, что это возможно по милости единой и масштабируемой фирменной операционной системы MikroTik RouterOS.
Чем хороши MikroTik?
MikroTik строит сетевое оборудование на основе собственной операционной системы RouterOS, исходный код которой доступен по лицензии. Любой компьютер может работать на базе платформы RouterOS и выполнять функцию маршрутизатора. Компания предлагает на её базе решения в виде линейки оборудования роутеров RouterBOARD, устройства сетевой коммутации SWOS и многое другое.
У MikroTik есть преданные последователи пользователей по всему миру, которые обнаружили, что могут пользоваться функциями из сетевых устройств высокого класса по удивительно низкой цене.
В бизнесе
При ограниченном бюджете на сетевое оборудование и когда нет возможности заключать контракты с китайскими поставщиками вроде Huawei, сэкономить с Cisco и Juniper, как с «Микротик», не получится. Этот факт делает выбор оборудования и ПО предопределённым. Правда, нужно иметь ввиду, что более дорогие конкуренты латвийцев могут быть единственным выбором крупных предприятий (если без соглашений о поддержке не обойтись).
Возможности
Всего за условные 5000 рублей маршрутизатор готов к запуску BGP, OSPF и многим другим функциям — имея продвинутую ИТ-аутсорсинговую компанию в партнёрах, вы получите всю концепцию большой масштабируемой сети.
Эргономика
Мы привыкли к отсутствию эргономики в бюджетных решениях. Но «Микротик» представляет собой великолепный интерфейс управления для дистрибутива Linux под любые протоколы связи с маршрутизатором (Web, «WinBox», а также SSH, Mac-Telnet и так далее).
Виртуализация
«Микротик» предлагает дистрибутив для запуска на VMware, Hyper-V, Xen и KVM, а также многих других. Виртуализируйте маршрутизаторы — идеальные возможности для снижения потерь на ИТ-инфраструктуре за счёт технологий латвийской компании.
Допуски
Сетевые инженеры по достоинству оценивают способности MikroTik быть гибким решением (собственный язык сценариев и API) с кропотливым подходом ко всем настройкам. При этом оборудование имеет одни из самых привлекательных температурных допусков, бесплатное управление в приложении, в целом более удобное и простое администрирование без условностей командной строки, как в Cisco.
Пытаясь разобраться, что лучше «Микротик», следует в первую очередь обратить внимание на Cisco и Juniper. Это подготовленные к серьёзному масштабированию продукты. Вы можете нагрузить сеть скоростью выше 10 Гбит/с и не упереться в возможности оборудования. Низкие цены на латвийский бренд не оправдают простой бизнеса в сезонные перегрузки и совершенно точно не должны быть причиной отказа от DHCP-опции 82 и ECMP на маршрутах MPLS. Следует правильно выбирать инструмент для работы.
Обратитесь в компанию ИТ-аутсорсинга для дальнейшей экспертной поддержки и консультации по этой теме и любым другим техническим вопросам.
Гигабитный роутер Микротик
Высокотехнологичный роутер Микротик представляет собой особый вид сетевого оборудования, которое с успехом может применяться при организации домашнего и офисного интернет-пространства.
Содержание
Высокотехнологичный роутер Микротик представляет собой особый вид сетевого оборудования, которое с успехом может применяться при организации домашнего и офисного интернет-пространства.
Что собой представляет Микротик
Под этим латвийским брендом сегодня можно встретить как различные модели устройств, так и программное обеспечение.
Модельный ряд Микротик включает такие разновидности оборудования:
На нынешний момент эта компания работает в 3 основных направлениях:
К программному обеспечению относят как полноценные операционные системы этой компании, так и различные дополнительные программы.
RouterBOARD представляет собой уникальную аппаратную платформу для роутеров, управляемых ОС RouterOS. Многофункциональный роутер Mikrotik может иметь различные виды конфигурирования, которые может настроить профессиональный мастер под различные нужды владельца.
В зависимости от модификации RouterBOARD, позволяет решать различные задачи:
Подобная функциональность позволяет решить множество задач с помощью одного оборудования.
Операционная система RouterOS обладает достаточной гибкостью, отлично подходит для работы в устройствах Микротик. Эта система автономна, и не зависит от RouterBoard. Может устанавливаться как на сервер, так и персональный компьютер.
RouterOS работает со многими протоколами и совместима с популярными сервисами, которые сегодня применяют в работе крупные операторы сотовой связи. Обучение проходит на базе собственной библиотеки, которая содержит различную документацию.
Маршрутизатор Микротик: обзор моделей для дома
Этот рейтинг лучших моделей маршрутизаторов Mikrotik, подходящих для домашнего использования, поможет каждому пользователю узнать основные характеристики устройств, важные особенности, а также функционал. Подобная информация позволит быстро выбрать оптимальную модель сетевого оборудования этого бренда.
Роутеры hAP lite и hAP lite classic
Эти модели относят к бюджетному варианту сетевого оборудования с базовым набором функций. Подобные WI-FI роутеры оптимальны для небольшой квартиры или частного дома. Устройство hAP lite отличается от hAP lite classic отличается только способом монтажа и внешним видом корпуса. В остальном эти модели одинаковы.
Плюсы устройств:
В комплект поставки входят удобный USB-блок питания. Обеспечивают скорость передачи данных до 300 Мбит/сек.
Маршрутизатор hAP
Mikrotik router модели hAP можно сравнить с предыдущими моделями устройств.
Отличается этот роутер такими характеристиками:
Удобный разъем USB позволяет подсоединить мобильный модем с поддержкой 3G или 4G сетей или внешний накопитель. Функциональные возможности не предусматривают подключение сетевого принтера. Оптимален для небольших квартир или домов, что легко объясняется наличием антенн с маленьким коэффициентом усиления.
Маршрутизатор hAP ac lite
Универсальный двухдиапазонный роутер Mikrotik, работающий на частоте 2,4 и 5 ГГц. Эта модель станет идеальным вариантом для использования в многоэтажном доме. Это объясняется перегруженностью частоты 2,4 ГГц, на которой работает основная масса стандартных роутеров.
Характеристики:
Наличие портов с пропускной способностью 100 Мбит/сек не позволит получить большую скорость в рамках стандарта АС.
Модель RB951Ui-2HnD
Mikrotik роутер для дома, поддерживающий частоту 2,4 ГГц. Отличается повышенной чувствительностью и мощностью. Подобное устройство обеспечит владельца стабильным соединением и хорошей скоростью даже при передаче сигнала через несколько преград. Оптимальное решение для многоквартирных домов.
Wi-Fi маршрутизатор RB951G-2HnD
Универсальный гигабитный роутер Микротик, предназначенный для подключения к высокоскоростному интернету. Отличный вариант при выводе видео на экран телевизора с медийного хаба. Благодаря продуманному внутреннему наполнению это устройство обеспечит владельца скоростью 800 Мбит/сек.
Сетевое оборудование Mikrotik RB2011UiAS-2HnD-IN
Наиболее популярная модель устройства, предназначенная как для домашнего, так и для офисного использования. Благодаря продуманному устройству сетевое оборудование Mikrotik этой модели позволяет без проблем подключить различное периферийное оборудование. Отличительной чертой этого роутера считают наличие SFP порта для подключения оптоволоконного кабеля.
Модель hAP ac
Двухдиапазонные модели роутеров Mikrotik, предоставляющие пользователю скорость беспроводного интернет-соединения 867 Мбит/сек при работе стандарта АС. В условиях кабельного подключения скорость составляет 1368 Мбит/с. Наличие SFP-порта позволяет подключать оптоволоконную интернет-линию. Отличное решение для любителей онлайн-игрушек.
Преимущества маршрутизаторов Микротик
Модельный ряд сетевого оборудования этого бренда обладает следующими плюсами:
В последнем случае уличные модели роутеров Микротик позволят покрыть необходимую территорию интернет-сигналом. Для этого сетевой кабель выводят на улицу и подключают точку доступа. Благодаря технологии PoE питание поставляется по этому кабелю. Подобное сетевое оборудование устанавливают внутри помещений с целью увеличения зоны действия беспроводной сети.
Роутеры MikroTik
Сетевое оборудование бывает разных категорий. Большинство популярных в нашей стране производителей предлагают универсальные решения для дома и малого офиса. А некоторые компании, наоборот, специализируются на выпуске устройств для создания сложных многоуровневых сетей. Ко второй категории можно отнести фирму MikroTik. Однако роутеры этого производителя пользуются спросом и у домашних пользователей. О плюсах и минусах такого оборудования мы расскажем в нашей статье.
Роутеры MikroTik
MikroTik – латвийская компания, созданная в 1995 году. Официальное название — Mikrotikls Ltd. А MikroTik – это торговая марка, под которой продаётся сетевое оборудование, в том числе роутеры, а также операционные системы для таких устройств. Да, у этого производителя есть мощное программное обеспечение – RouterOS на базе Linux. Эта операционная система расширяет возможности маршрутизатора, позволяет настраивать его под различные задачи и ставит MikroTik в один ряд с оборудованием Cisco и Juniper. Но стоит ли приобретать такой роутер для использования в домашней сети? Давайте разберёмся, какие плюсы у маршрутизаторов MikriTik в сравнение с другими роутерами. И каковы их недостатки.
Плюсы и минусы роутеров MikroTik
Сразу отметим, что сравнивать MikroTik с оборудованием TP-Link, D-Link или Asus некорректно. Это устройства совершенно другого уровня, стоящие в одном ряду с профессиональным сетевым оборудованием.
Рассмотрим основные плюсы:
При этом нет никаких проблем с обновлением и документацией. Все необходимые файлы можно скачать с сайта производителя.
Но, кроме плюсов, конечно же следует отдельно остановиться на недостатках, которые могут стать проблемой для домашнего пользователя:
Лучший роутер MikroTik в 2019-2020 году
В этой части статьи мы рассмотрим несколько актуальных на сегодняшний день маршрутизаторов MikroTik, расскажем об их возможностях, преимуществах и недостатках.
MikroTik hAP mini
Недорогой, компактный роутер от MikroTik. По своим параметрам подойдёт для использования в небольшой квартире. Несмотря на низкую цену, устройство оснащено процессором с частотой 650 мегагерц, что для бюджетных роутеров редкость.
Эта модель оснащена тремя LAN-портами, работающими на скорости до 100 Мбит/сек. Устройство поддерживает одновременное подключение к двум разным провайдерам. Правда, в этом случае остаётся свободным только один сетевой порт. И если у вас дома больше одного компьютера, использующего кабельное подключение, придётся докупать свитч.
Беспроводная сеть работает на частоте 2,4 ГГц и обеспечивает передачу данных на скорости до 300 Мбит/сек. Wi-Fi антенны встроенные, как у большинства моделей роутеров этого производителя. Устройство поддерживает технологию WPS, которая включается через веб-интерфейс.
Питание роутер получает по USB-кабелю.
Недостатки – маркий корпус, сигнал Wi-Fi плохо пробивает стены, мало сетевых портов.
MikroTik hAP Lite Classic
Ещё одна недорогая модель для новичков. Внутри корпуса процессор Atheros QCA9533 650 МГц и 32 мегабайта оперативной памяти. Операционная система RouterOS 4.
У этого роутера четыре сетевых порта, работающих на скорости 100 Мбит/сек. Беспроводной интерфейс поддерживает только частоту 2,4 ГГц. Скорость по Wi-Fi заявлена 300 Мбит/сек. Антенны встроенные с коэффициентом усиления 1,5 dBi. Присутствует кнопка WPS на корпусе. В отличие от предыдущей модели, не нужно входить в веб-интерфейс, чтобы включить эту функцию.
Из недостатков – слабоваты антенны Wi-Fi. Если у вас на пути сигнала пара бетонных стен, скорость заметно падает.
MikroTik hEX lite
Модель подороже и помощнее предыдущей. Роутер оснащён мощным процессором QCA9533 с частотой 850 МГц и 64 МБ оперативной памяти. Устройство компактное, не занимает много места и может быть установлено в любом положении. Присутствуют крепления для размещения на стене. Функция MPLS (Multiprotocol Label Switching) – маршрутизация на основе меток, позволяет оптимизировать трафик. Поддерживается одновременная работа до 200 пользователей.
На корпусе расположен разъем для подключения блока питания, кнопка перезагрузки, индикаторы активности и питания. Роутер может раздавать питание по PoE.
Маршрутизатор оснащён 5-ю LAN-портами работающими на скорости 100 Мбит/сек. Зато беспроводные возможности этой модели обрезали. Wi-Fi здесь отсутствует. Так что для создания беспроводной сети понадобится дополнительное оборудование.
Для тех, кому интерфейс настройки роутера может показаться сложным, доступна функция Quick Setup. С её помощью очень просто настраивается подключение к интернету и базовый функционал.
MikroTik hEX RB750Gr3
Для тех, кому нужны дополнительные возможности в сочетании с высокой производительностью предыдущей модели, рекомендуем обратить внимание на это устройство.
Роутер оснащён двухъядерным процессором с частотой 880 мегагерц и 256 мегабайтами ОЗУ. Он легко справится с любыми задачами по маршрутизации трафика. Поддерживается одновременная работа сразу с несколькими провайдерами на разных интерфейсах устройства.
Маршрутизатор оснащён пятью гигабитными портами. Беспроводной интерфейс отсутствует.
Из дополнительных плюшек – наличие универсального порта USB, к которому можно подключить 4G модем для организации резервного доступа к интернету, принтер, флешку или жёсткий диск. Ещё есть microSD-слот для хранения данных на карте памяти.
MikroTik hAP AC2 RBD52G
Этот роутер оснащён четырёхъядерным процессором CPU ARMv7 716 мегагерц и 128 мегабайтами оперативной памяти. У него имеются пять гигабитных портов и универсальный USB-порт. Роутер поддерживает стандарт Passive PoE и может получать питание как из сети 220 В, так и через сетевой кабель.
Беспроводной интерфейс представлен двумя радиомодулями 2.4GHz и 5GHz диапазона. Таким образом, устройство поддерживает современный стандарт связи 802.11 a/b/g/n/ac. Скорость передачи данных на частоте 2,4 ГГц до 300 Мбит/сек, в диапазоне 5 ГГц – до 867 Мбит/сек.
Существенных недостатков в этой модели не обнаружено.
MikroTik hAP ac (RB962UiGS-5HacT2HnT)
Беспроводной маршрутизатор с SFP портом для подключения оптоволоконной линии. Эта модель оснащена процессором Atheros QCA9558, 720 МГц и 128 мегабайтами ОЗУ. 5 гигабитных сетевых портов позволяют в полной мере воспользоваться преимуществами высокоскоростного интернета. Беспроводная сеть работает в диапазоне 2,4 и 5 ГГц. В дополнение ко всему перечисленному есть универсальный USB-порт.
WAN-порт можно привязать к любому сетевому порту. Питание роутер получает как через адаптер, так и по сетевому кабелю.
Производительности роутера будет достаточно для обеспечения работы сети на 30-40 клиентов.
Недостаток – не слишком шустрый Wi-Fi. Но в роутерах MikroTik это не ключевая опция, они заточены под другие задачи.
Этим наш обзор ограничится. Мы не будем рассматривать здесь топовые роутеры MikroTik, во-первых, по причине того, что такие устройства вряд ли пригодятся даже требовательному домашнему пользователю. А, во-вторых, цена их высока, и приобретать такой маршрутизатор имеет смысл только в том случае, если его возможности будут полноценно задействованы. Покупать его ради любопытства или «потому что это круто» не стоит.
Какой роутер MikroTik выбрать?
Если вы начинающий пользователь и роутер нужен вам для дома, рекомендуем остановить свой выбор на одной из бюджетных моделей с Wi-Fi. В этом случае вам подойдёт MikroTik hAP mini или MikroTik hAP Lite Classic.
Для тех, кому важно наличие гигабитных портов и порта USB, подойдёт MikroTik hAP AC2 RBD52G.
Приобретать MikroTik hAP ac (RB962UiGS-5HacT2HnT) имеет смысл только в том случае, если вы планируете подключаться к интернету через оптоволокно.
Мой MikroTik – моя цифровая крепость (часть 1)
1. Введение
В комментариях опубликованной ранее статьи один из пользователей спросил: «А можно добавить раздел про то, как нужно защитить свой, микротик чтобы управление им не ушло на сторону?». Один из пользователей написал на это следующее: «Универсальных принципов для любого сетевого устройства два – администрирование только с внутреннего интерфейса (снаружи закрыто все) и регулярно обновлять прошивку» (сохранена авторская орфография). А мы сразу поняли, что одним коротким ответом здесь не обойтись, и этот вопрос заслуживает полноценного отдельного рассмотрения с учётом широких возможностей операционной системы RouterOS, а также сопрягаемых с ней opensource решений, комплексно завершающих проблемный вопрос информационной безопасности. Кроме непосредственно настройки безопасности доступа до маршрутизатора, необходимо использовать его как полноценный барьер для разноуровневых атак, которые могут быть нацелены на защищаемую сеть. Технологий реализации этого достаточно много, поэтому разделим применяемые возможности на логические уровни и представим предметные рекомендации по администрированию сетей на базе оборудования MikroTik.
2. Общие рекомендации
Первое, что мы всегда делаем с железкой — это обновляем прошивку:
Далее смотрим, сколько создано пользователей, лишних удаляем. Ставим пароли, соответствующие политике информационной безопасности компании, если такая есть, если нет, тогда просто посильнее:
Если паранойя зашкаливает, тогда используем SSH вход без ввода пароля (и пользователя admin можно заменить на другого). Сгенерим пару RSA ключей, размер укажем 4096 бит, что уж мелочиться:
На выходе будет закрытый ключ test_user:
И открытый ключ test_user.pub:
Привяжем открытый ключ к пользователю RouterOS:
Добавляем хардкор, запретив логиниться по паролю:
Важно отметить, что если есть пользователь, для которого не импортирован публичный ключ, то, несмотря на вышепоказанную настройку, RouterOS сохраняет возможность логиниться под ним с помощью пароля. С учётными записями разобрались, далее выключаем серверы различных протоколов управления, в том числе небезопасные, разумеется, есть ли они вам не нужны:
Можно поменять прослушиваемый порт для SSH сервера. Особенно на значение, не входящее в сканируемые по умолчанию nmap-ом, но мы в этом защиты не видим, скорее маскировка:
Сканируем роутер и видим, что всё работает корректно. Сервер SSH будет недоступен, пока на роутер не пройдут попытки установления соединения на 28 порт, затем в течение 30 секунд на 29 порт, затем в течение 30 секунд на 30 порт. Если последовательность обращений верна и временные лимиты соблюдены, то IP адрес источника сможет в течение 30 секунд установить SSH сессию, а иначе drop:
Необходимо отметить, что если вы укажете порты стука примерно в таком порядке: 21, 80, 443, а прослушиваемый SSH порт перенесете на значение 8080 (все четыре входят в список по умолчанию для сканирования nmap), то ваш секретный порт 8080 определится при первом же сканировании. Если вы действительно хотите использовать технологию port knocking, то выбирайте порты в порядке уменьшения, а сами значения портов на «не сканируемые» nmap-ом: ни в режиме top 100, ни в режиме top 1000. Кроме этого, можно ограничить IP адреса, с которых доступны протоколы управления, на диапазон доверенных:
Таким образом, несмотря на то, что 22 порт готов принимать TCP соединение, однако с не доверенных IP адресов оно будет сброшено SSH сервером:
Как общие рекомендации, лучше не использовать протоколы, не имеющие шифрования для передачи защищаемой информации. Если такой возможности нет, тогда старайтесь пускать трафик по шифрованным VPN туннелям. Но лучше даже внутри таких соединений использовать безопасные протоколы, ведь VPN сеть может уходить далеко за пределы периметра, контролируемого вами. Если есть возможность, не используйте протоколы pap, http (в том числе при реализации API), ftp, smtp и т.д. Всегда используйте их безопасные аналоги: chap, mschap2, https, smtps.
Делайте регулярные резервные копии конфигураций ваших устройств. В RouterOS есть два типа backup: бинарный *.backup
и текстовый конфигурационный файл *.rsc
Первый рекомендуется откатывать только на полностью идентичных устройствах, и не подлежит редактированию (при откате восстанавливается точный образ операционной системы). Второй же, наоборот, можно вручную контролируемо построчно обрабатывать (до получения необходимо результата), однако он может содержать чувствительную информацию (если не делать /export hide-sensitive), поэтому рекомендуем обезопасить хранение такого рода backup файлов. Ставить ли регулярный backup в планировщик заданий, или нет, тут уже каждый решает сам. Главное — не запутаться во всех резервных копиях и не передавать их на удалённый сервер по открытому интернет каналу посредством ftp.
3. Защита L1
Писать правила про установку сетевого оборудования в серверных помещениях, в защищённых телекоммуникационных ящиках, сейфах и т.д. мы не будем, это не тема статьи. Для защиты L1 на оборудовании MikroTik будет достаточно программно отключить не используемые сетевые интерфейсы:
Сюда же пойдёт организация безопасности беспроводных соединений. В идеале, конечно, следует настроить WPA2-Enterprise (подробно о настройке RADIUS сервера мы напишем во второй части статьи), так как реальных угроз безопасности таких сетей пока не известно:
Если такой вариант вам не подходит, тогда используйте WPA2-PSK со словарно неподбираемым паролем, который держите в тайне от третьих лиц, и отключённый PMKID:
Ещё можно запретить подключаться к точке доступа с низким уровнем сигнала, т.е. физически удалённым пользователям, которые, можно предположить, находятся за контролируемым периметром и не легитимны:
На этом свои рекомендации по поводу L1 безопасности остановим и перейдём к более интересным вещам.
4. Защита L2
Для начала ограничим работающие сервисы уровня L2:
Первый скрипт позволяет осуществлять mac-ping только для внутренней сети. Второй ограничивает L2 подключение посредством службы Winbox:
RouterOS поддерживает работу таких протоколов, как CDP, LLDP и MNDP. Чтобы не осуществлять широковещательную рассылку пакетов указанных протоколов во все стороны, ограничиваем их работу:
Чтобы со стороны провайдера не догадывались, что у вас стоит роутер MikroTik, можно сменить MAC адрес WAN интерфейса, но это скорее баловство:
Если в вашем L2 сегменте появится второй или более незаконный DHCP сервер, то это может здорово навредить работе всей сети. Так в примере видно, что работают две указанные службы (192.168.1.1 и 192.168.3.1), раздавая по факту разные сетевые настройки:
Для защиты от такого рода атак (ведь хакер может назначить и своё устройство в качестве шлюза) существует технология «DHCP snooping». После её активации бридж пропускает DHCP пакеты только в доверенную сторону:
Защита оконечных устройств выходит за рамки данной статьи, но декларируем, что многие антивирусы справляются с этой задачей, детектируя манипуляции с ARP пакетами. На скрине видно, что действиями выше мы организовали MITM для хоста 192.168.1.3 и перехватили его HTTP запросы:
В следующем примере показаны ложные записи ARP таблицы маршрутизатора, а ведь так намеренно можно заполнить весь имеющейся пул и втупить работу легитимного DHCP сервера:
Для защиты от таких действий в RouterOS необходимо, первым делом, настроить DHCP сервер, что позволит активировать функцию заполнения ARP таблицы, либо в результате его работы, либо в ручном режиме:
После этого настраиваем бридж, переводя маршрутизатор в режим только ответа на ARP запросы (если у вас работает hotspot, то от этой идеи придётся отказаться, так как он перестанет нормально функционировать), таким образом, сторонние манипуляции будут бессильны:
Дополнительно следует выключить режим обучения портов MAC адресам:
Если ваш маршрутизатор гоняет пакеты для логически разделённых сетей, в том числе с точки зрения безопасности, то их следует разнести по различным VLAN. Важно понимать, что если через ваше устройство проходят несколько VLAN, то в случае несанкционированного доступа к роутеру или коммутатору, могут быть скомпрометированы устройства во всех этих подсетях. Здесь всё понятно. Дополнительно можно указать устройству проверять tag трафика и дропать пакеты, у которых VLAN ID не найден в его таблице VLAN:
5. Заключение
На этой админской ноте прервём наши рассуждения, которые отображают подходы, применяемые нами в построении реальных сетей и обеспечении их информационной безопасности. Никакие ноухау статья не раскрывает, но в определённой мере систематизирует имеющиеся возможности и показывает их практическое применение. Дальше будет интереснее…