Запрос на новую функцию: Suricata

+1 за Suricata на Mikrotik CCR (и, наверное, на x86 тоже). Если получится интегрировать её в политики файрвола… типа «action=inspect» и так далее… Было бы просто отлично.

+1 Suricata в ROS 7. Многие мои корпоративные клиенты получают требования, чтобы во всех их филиалах стояли фаерволы с встроенным IDS/IPS. Мне пришлось перестать ставить MikroTik и заменить роутеры Mikrotik именно из-за этого. Я считаю, что если это не будет реализовано, Mikrotik слабо удержит позиции на этом рынке. Это большой козырь SonicWall и других производителей, который они с удовольствием демонстрируют и используют, чтобы унижать MikroTik перед своими партнерами в полевых условиях.

Еще две просьбы от корпоративных клиентов только за эту неделю — их заставляют менять фаерволы на модели с интегрированным IDS/IPS. По моему мнению, это должно быть практически в приоритете.

Хорошо, я понимаю, что Mikrotik сосредоточен на создании роутеров. Но с поддержкой Suricata для архитектуры Tilera Mikrotik мог бы уже сейчас использовать это, чтобы создать IPS. Я уверен, что это принесло бы дополнительный доход — люди будут покупать не просто роутер, а устройство с полноценным IPS. Что плохого в разработке легковесного продукта безопасности, который отвечает потребностям небольших компаний и филиалов, не убивая бюджет? Может ли Mikrotik оставаться только компанией по производству роутеров и коммутаторов? Я так не думаю. И не обязательно. Но это их выбор. Мы лишь говорим, что это была бы _настоящая_ полезная функция с большей функциональностью (и рыночной ценностью) в долгосрочной перспективе, чем поддержка, скажем, Samba или CUPS (по моему скромному мнению). Просто моё мнение.

Согласен, что это возможное решение, но я на самом деле хочу, чтобы это был ещё и IPS, а с помощью сниффера и удалённого устройства это не решишь, нужно именно ставить inline...

(Бьюсь об заклад, что производительность SonicWall просто ужасна, если одновременно включить слишком много его функций — у меня личная неприязнь к этим коробкам, потому что ими обычно управляют люди, которые вообще не понимают сети, их конфигурации выглядят так, будто над ними трудился математик, а не администратор, они ломают гораздо больше сервисов, особенно VoIP, и при этом лицензирование стоит космических денег.) Есть файрволы, а есть файрволы (как говорится на юге — не все они одинаковы). В RouterOS есть фильтрация пакетов, основанная на самых разных параметрах состояния и заголовков. На самом деле она довольно мощная, но в основном ограничивается только заголовками и состояниями. В правилах файрвола есть модули layer7, но увы, глубокий анализ содержимого пакетов и выявление закономерностей — это гораздо более затратная по ресурсам (процессору) задача, и именно тут ROS зачастую уступает устройствам, которые заточены под это. Даже Cisco сделали отдельные IDS/IPS-модули для линейки ISR… потому что это серьезная нагрузка. Если посмотреть на такие IDS-боксы, там почти никогда нет никакого полезного функционала в сетевой части — динамическая маршрутизация, MPLS и прочее — все по-другому. Думаю, что inline IDS, который бы находил угрозы и использовал "port knock" пакеты или API-соединение с Mikrotik для подачи сигналов о блокировке, — это была бы просто огненная связка.

Mikrotik, из-за того, что IDS, IPS или DPI до сих пор не полностью интегрированы в роутер, наша компания теперь планирует перевести клиентов на новые маршрутизаторы Ubiquiti EdgeOS с поддержкой DPI. Мне не хочется уходить с этой платформы, но мы не можем игнорировать потребительский спрос на эту функцию в корпоративной среде. Мы уже потеряли слишком много клиентов, которые ушли к другим консалтинговым компаниям, предлагающим эти возможности через Cisco и SonicWall, особенно после проверки сторонними аудиторами HIPAA. Я по-прежнему ваш поклонник и буду следить за вашим развитием. С уважением, Рассел

Лучший индикатор помех. Индикатор шума в статусе беспроводной сети бессмыслен, если он не учитывает помехи. (у ubiquity отличный индикатор: помехи + шум) Также, если среда очень шумная, routeros показывает шум -113, но это совсем не настоящий показатель...