Доступ к веб-интерфейсу даже, если он запрещён

[3-50]

На одном из роутеров установлен запрет на открытие веб-интерфейса через доменное имя

но если нажать на "Web interface" у этого роутера, то он не только (веб-интерфейс в смысле) без проблем откроется, но и авторизуется заодно. С одной стороны я понимаю, что происходит обращение по адресу заданному на заводе по умолчанию, а с другой возникает вопрос "какого хрена", и возникает вопрос как избавиться от такого поведения.

[T@rkus]

Вопрос действительно актуален.  Если будет украден пароль от аккаунта считай доступ открыт на все устройства добавленные в RMM. Считаю,что нужно включить авторизацию для устройств при входе в вэб из RMM для большей безопасности.

[3-50]

3 часа назад, T@rkus сказал:

Если будет украден пароль от аккаунта считай доступ открыт на все устройства добавленные в RMM.

К слову, двухфакторную авторизацию в профиле можете настроить.

[T@rkus]

11 минуту назад, 3-50 сказал:

К слову, двухфакторную авторизацию в профиле можете настроить.

Пробовал. Не очень удобно.  Дабы войти в аккаунт нужен смартфон. А если его под рукой нет?  К тому же если на смартфон заглючит и придется переустановить приложения.. Как потом все это дело восстанавливать в Google Authenticator ?

[Julia Rybakova]

Добрый день! Мы понимаем этот вопрос про safety и security, сейчас обсуждаем решение и дальнейшие шаги. 

[Flashwrd]

Прикольно. Вы СНАЧАЛА делаете, а потом думаете и обсуждаете?

[realAndrei]

В 26.06.2021 в 17:07, T@rkus сказал:

Пробовал. Не очень удобно.  Дабы войти в аккаунт нужен смартфон. А если его под рукой нет?  К тому же если на смартфон заглючит и придется переустановить приложения.. Как потом все это дело восстанавливать в Google Authenticator ?

У меня RMM, как и остальные сервисы Keenetic, стали требовать авторизацию чуть ли не через час простоя... Только думал о двухфакторной авторизации, но нет, на такое я не готов.

Если бы мобильное приложение выступало в качестве второго фактора, было бы проще.

[Evgeny Korytov]

On 6/25/2021 at 1:04 AM, 3-50 said:

но если нажать на "Web interface" у этого роутера, то он не только (веб-интерфейс в смысле) без проблем откроется, но и авторизуется заодно. С одной стороны я понимаю, что происходит обращение по адресу заданному на заводе по умолчанию, а с другой возникает вопрос "какого хрена", и возникает вопрос как избавиться от такого поведения.

Разработка уровней доступа в процессе и не возможность перейти бесшовно в админку тоже в процессе, после этого такая возможность будет.

 

On 6/26/2021 at 1:21 PM, T@rkus said:

Вопрос действительно актуален.  Если будет украден пароль от аккаунта считай доступ открыт на все устройства добавленные в RMM. Считаю,что нужно включить авторизацию для устройств при входе в вэб из RMM для большей безопасности.

У вас всегда могут украсть KeenDNS и логин и пароль, у вас всегда могут сбросить роутер к заводским настройкам и т.п. Человеческий фактор никто не отменял. Двухфакторная аутентификация должна частично решить эту проблему. А если вам она не удобна, тут уж вам решать, "Вам шашечки или ехать?" Текущая реализация бесшовного перехода была более востребованная, поэтому реализована сначала она, а уже в дальнейшем будут дополнительные уровни доступа и настройки. Надписать BETA и большой дисклеймер на главной странице об этом прямо говорит. Вы всегда можете дождаться релизной версии продукта, вас никто не заставляет

On 7/5/2021 at 2:13 AM, Flashwrd said:

Прикольно. Вы СНАЧАЛА делаете, а потом думаете и обсуждаете?

Надписать BETA и большой дисклеймер на главной странице об этом прямо говорит. Вы всегда можете дождаться релизной версии продукта, вас никто не заставляет

On 7/9/2021 at 6:58 PM, realAndrei said:

У меня RMM, как и остальные сервисы Keenetic, стали требовать авторизацию чуть ли не через час простоя... Только думал о двухфакторной авторизации, но нет, на такое я не готов.

Если бы мобильное приложение выступало в качестве второго фактора, было бы проще.

При аутентификации через Keenetic Account ставите галочку "Запомнить меня?"

 

On 6/26/2021 at 5:07 PM, T@rkus said:

Пробовал. Не очень удобно.  Дабы войти в аккаунт нужен смартфон. А если его под рукой нет?  К тому же если на смартфон заглючит и придется переустановить приложения.. Как потом все это дело восстанавливать в Google Authenticator ?

Ну тут либо максимальная защита со всех сторон, либо удобство. Двухфакторная в принципе не удобная штука, но больше безопасности. А ноутбук и телефон у вас с разными паролями и не синхронизированы приложения? Уведомления на телефоне выключены? 

[Evgeny Korytov]

Еще добавлю, для большего контроля безопасности, мы добавили уведомления в Телеграм о новых юзерах в вашей команде и поэтому если вы переживаете про перехват постоянной ссылки на инвайт людей, то телеграм уведомление вам поможет быстро среагировать на внештатную ситуацию и в будущем перегенерировать ссылку и удалить участника команды

[realAndrei]

В 13.07.2021 в 01:13, Evgeny Korytov сказал:

При аутентификации через Keenetic Account ставите галочку "Запомнить меня?"

Конечно. Только и остается нажимать на вход.

Сама ситуация, что часто заканчивается сессия, не нормальная.

Изменено 14 июля, 2021 пользователем realAndrei

[Flashwrd]

Полагаю, что в целом вход без пароль это удобно... Сейчас попробовал пробежаться по нескольким роутерам - быстро.

Думаю что после допиливания уровней доступа все будет. Ок.

Где-то прочитал тут что доступ без пароля это потому что "если вас есть еще админы, то это для них". Но, тут могу возразить ) Мы ж ведь про SOHO- сегмент тут собрались? В SOHO не бывает (почти) нескольких админов. Как раз наоборот. Один админ, как правило, обслуживает несколько бизнесов/офисов/домов/квартир. И ему ощень-ма нужно доступ хазявам дать (для чего-нибудь) но так чтоб ничего не сломали. )

И приведу Вам еще свой реальный кейс : есть на обслуживании домофонная сеть и лифты. Мне для мониторинга в диспетчерской такой сервис как RMM - лучше не придумаешь. Но страшно представить что от нечего делать могут "натыкать" дипетчера наблюдающие за тем кто быстрее: мухи или тараканы. Так что права View ONLY очень надо.

[Evgeny Korytov]

On 7/14/2021 at 10:01 PM, Flashwrd said:

Мы ж ведь про SOHO- сегмент тут собрались?

Не только. На текущий момент есть много администраторов, которые используют наши роутеры на своем рабочем месте и в компании несколько админов. Пока сценарий больше на этот случай

 

On 7/14/2021 at 10:01 PM, Flashwrd said:

И ему ощень-ма нужно доступ хазявам дать (для чего-нибудь) но так чтоб ничего не сломали. )

Да, это другой сценарий – шеринг отдельных сетей и только для чтения. Такой сценарий еще не реализован

 

On 7/14/2021 at 10:01 PM, Flashwrd said:

Так что права View ONLY очень надо.

Работаем над этим, но точных дат пока не могу обещать