Приветствую! Есть несколько удаленных объектов. На них стоят rb951ui-2hnd. Все они подключаются к другому объекту с rb4011 по vpn. На каждом объекте есть ip-камеры. Если использовать pptp туннели. То всё ок, нагрузка на процессоры небольшая. Если l2tp+ipsec то роутеры удаленные уже пыхтят и под 100% нагружают проц. pptp вроде как небезопасен. Дак вот насколько он небезопасен? Если злобный хакер нападёт, что он может сделать с pptp? Как вариант наверное можно для камер выделить свои подсети и гонять их трафик по pptp, а весь остальной по l2tp. Посоветуйте пожалуйста как грамотнее поступить в подобной ситуации!
Для IPSec нужны роутеры с аппаратным шифрованием. hAP AC2 и hEX как наиболее дешевые На атаке вида man in the middle можно перехватить пароль. Я бы повесил PPTP/L2TP без IPSec, ограничил подключения по IP или Port Knocking и спал относительно спокойно. Ваше видеонаблюдение вряд ли кому-то нужно. Если с филиалов идут по RDP то он сам неплохо шифруется. Если вас захотят сломать, то ломать будут не туннель )
Злобным ботнетам только ) Если захотят сломать, то сломают уж точно. Одинаково ненадежны? Вообще я тут смотрю что когда люди проектируют сети, они там разное оборудование разным вланам отдают и т.д. Вообще имеет ли смысл какой-то практический тем же камерам например отдельную подсеть выделить? Чтоб из неё никуда нельзя было лезть, или слишком заморачиваюсь?
Я бы L2TP использовал. Он легче и не поднимает дополнительного соединения. Вроде как более устойчив к взлому. У учетом того, что на камерах как правило Linux и ботнеты на них делают - имеет. Кроме того формально вместо камеры можно воткнуть и что-нибудь другое. Так же выделение подсети позволяет более просто настраивать QoS.
Спасибо) Я тут форум полистал. Надо было эту ветку назвать не "Вопросы начинающих", а "Отвечает Илья Князев" ))
Настроил port knocking для l2tp между микротиками! А злоумышленник потенциально может размер пинг пакетов которые ко мне прилетают отследить как-нибудь?
