В хранителе паролей LastPass для Android обнаружены трекеры, сливающие аналитические данные использования приложения, включающие рекламный идентификатор Google, оператора мобильной связи, количество запусков приложения и др.

Новое видео на канале bozza "Проброс порта RDP на Mikrotik". Описан пример настройки DST-NAT и способов защиты RDP-сервера с помощью только Mikrotik (белый список, VPN, подсчет количества SYN), не используя возможности самого RDP-сервера.

Второе видео на канале bozza по настройке VLAN на Mikrotik на примере настройки trunk и access портов на двух устройствах. Как и в первом видео, описан так называемый Bridge VLAN Filtering, когда VLAN привязывают к bridge, а не к конкретному порту.

Команда md5sum в Linux используется для вычисления хеша файлов, что может быть полезно при проверке корректности скачанного файла, чтобы убедиться, что файл не был изменен.

В этой инструкции описана настройка VPN сервера IKEv2 на Mikrotik на базе ключей, без паролей. Это максимально безопасный вариант VPN, подбирать пароль в этом случае бессмысленно. Это затрудняет начальную настройку сервера, требует отправки клиенту сформированных сертификатов, что в некоторых случаях может быть менее удобным. Но, как и всегда, действует правило "вам шешчки или ехать?" - больше безопасности - меньше удобства. Это верно почти всегда.

Прекрасная новость для тех, кто шифрует переписку по электронной почте - Thunderbird c версии 78.2.1 имеет встроенную поддержку OpenPGP и S/MIME. Теперь Enigmail и GnuPG больше не нужены, если речь идет исключительно про Thunderbird. Это еще один шаг на пути защиты своих данных.

В видео описан пример настройки VLAN на роутере Mikrotik 951-й серии. VLAN софтовый, не использует switch чип, описан так называемый Bridge VLAN Filtering. Универсальный, так сказать, способ.

Я так кратенько, особо не вдаваясь. Сейчас рынок наполнен недорогими и надежными маршрутизаторами и точками доступа Mikrotik. Предлагаются услуги по пуско-наладке простых решений (одна-две точки доступа) и посложнее (радиомосты, покрытие WiFi зданий). Но часто заказчики не знают, а интеграторы не парятся о том, что может получить заказчик. А получить он может вот что:

Для защиты трафика DNS от подмены (атака посредника) или от просмотра (например, на промежуточном сетевом оборудовании) можно отправлять запросы DNS в HTTPS (т.н. DNS over HTTPS, DoH). При этом исходящий трафик пойдет не на 53/udp, а на стандартный порт HTTPS: 443. В Mikrotik начиная с версии 6.47 DNS over HTTPS поддерживается.

В нормальной ситуации postfix должен проверять корректность передаваемых ему данных, таких как адрес получателя и отправителя, IP-адрес и соответсвие ему имени хоста и множество других проверок. Но в жизни часто бывает, что приходит письма от конкретного домена не проходят проверку (например криво настроены PTR-записи). В таких случаях надо сделать исключение, например, разрешив конкретному отправителю присылать письма, несмотря на плохо настроенный почтовик. Под адресом отправителя почти всегда имеется ввиду IP-адрес/hostname почтового сервера отправителя.