Чтение/Запись зашифрованных скриптов

Шифруемые скрипты? Да, это мне нужно. Я жду и ожидаю наличие этой функции в RouterOS.

Просто используйте API, чтобы создать программу, которая настраивает ваш роутер. Вы можете шифровать их в своем собственном программном обеспечении и использовать команды API, чтобы настраивать роутер как вам угодно. У нас нет планов по созданию зашифрованных скриптов.

Пример копирования и вставки с использованием моего PHP-клиента (просто отрегулируйте желаемое имя файла экспорта, пароль шифрования и учетные данные роутера вверху): <?php
use PEAR2\Net\RouterOS;

require_once 'PEAR2_Net_RouterOS-1.0.0b4.phar';

$filename = 'allsomeoneeleseshardwork';
$encryptionPassword = 'encryption password';
$util = new RouterOS\Util($client = new RouterOS\Client('192.168.0.1', 'admin', 'password'));

// Экспортируем конфигурацию
$exportRequest = new RouterOS\Request('/export');
$exportRequest->setArgument('file', $filename);
$client($exportRequest);

// Ждем, пока файл станет читаемым
sleep(2);

// Получаем содержимое файла
$fileContents = $util->getFileContents($filename . '.rsc');

// Удаляем оригинальный не зашифрованный файл
$util->changeMenu('/file');
$util->remove($filename . '.rsc');

// Шифруем ранее полученное содержимое с помощью OpenSSL
$encryptedFileContents = openssl_encrypt($fileContents, 'AES256', $encryptionPassword);

// Сохраняем файл на веб-сервере, в папке с PHP-файлом
file_put_contents($filename . '.rsc.encrypted', $encryptedFileContents);

А чтобы получить расшифрованный файл из зашифрованного: <?php

$filename = 'allsomeoneeleseshardwork';
$encryptionPassword = 'encryption password';

file_put_contents($filename . '.rsc', openssl_decrypt(file_get_contents($filename . '.rsc.encrypted'), 'AES256', $encryptionPassword));

Если PHP — это не ваше, всегда есть другие API-клиенты, но главное — иметь отдельное устройство, которое будет скачивать файл, шифровать его и, возможно, сохранять зашифрованную копию, удаляя при этом незашифрованную (ИЛИ сохранять зашифрованный файл на роутере… хотя это и бессмысленно, когда нет возможности импортировать его обратно).

Лично я считаю, что если вам нужно шифрование, стоит использовать что-то вроде TrueCrypt для создания и использования целого зашифрованного хранилища (будь то в виде «файла образа» или фактического зашифрованного раздела/диска), и просто размещать зашифрованные файлы там. Это удобнее, менее подвержено ошибкам, чем шифрование/расшифрование отдельных файлов (что делает приведенный выше код), и в каком-то смысле безопаснее.

Кстати, в вышеуказанном подходе есть небольшой временной промежуток (чуть более 2 секунды), в течение которого пользователь с доступом «read,ftp» к роутеру теоретически может создать копию файла, и ЭТА копия будет незашифрована. Это маловероятно на практике, но если вы абсолютно не доверяете кому-либо с такими разрешениями на роутере, возможно, вам также следует изменить API-скрипт, чтобы запретить входы для всех таких пользователей (отключив пользователей в меню «/user») до тех пор, пока вы не удалите файл, и снова включить их после этого.

+1 к скрипт-блоку, многие воруют наши работы.

Чтобы расшифровать скрипт, RouterOS требует ключ дешифрования. И если этот ключ хранится в роутере, любой сможет его получить.

А почему бы просто не заблокировать пользователю доступ к RouterOS вообще?

Заставь пользователей заходить только через веб-доступ и примени скины для них. Это не так уж и безопасно, но, по крайней мере, может немного помочь.