Wi-Cat / Wive-NG
319 subscribers
63 photos
14 files
56 links
Wireless Cat LLC (https://wi-cat.ru , https://wikidevi.wi-cat.ru).

Новости, статьи, анонсы относительно операционной сиcтемы Wive-NG, беспроводного оборудования, а так же темы затрагивающие Wi-Fi (802.11) в общем.
Download Telegram
Что поддерживают адаптеры Intel под W10 из K/R/V можно глянуть у них на сайте https://www.intel.com/content/www/us/en/support/articles/000021562/wireless.html

Стоит отметить что интел говорит что Windows 10 хоть и научился R и V но не умеет R в Personal сетях (только Enterprise). Благо интелы как из пушки мигрируют где угодно ;)

Но если честно этот весь адовый бардак уже реально так поднадоел. Не пора ли R для всех вариантов аутентификации и шифрования в Mandatory? Но не дождусь чую. ;(
4.4.8 Released:
1) Драйвер MT7615 обновлён до 5.1.0.0 в котором MTK провёл работу над ошибками касательно реализации криптографии, часть правок так же портирована и для других чипов в их драйвера
2) Отрефакторен код iappd. Это демон реализующий 802.11f и используемый для обмена сообщениями между AP в multiap сетях (в т.ч. для дистрибуции ключей в 802.11r) . Давно планировал т.к. накопилась стопка грязных хаков. Как результат выявлена стопка шероховатостей которые могли приводить к проблемам миграции в ряде хоть и редко возможных, но всё же вполне реальных случаев.
3) Доработан механизм престиринга в bndstrg
4) Затянут ряд фиксов из апстрима busybox,dnsmasq,kernel,uclibc-ng
5) в web добавлена возможность принудительно перезагрузить USB модем по питанию. Хотя обычно и достаточно автоматики в виде ватчдога.
6) переработана сводная (главная) страница в части индикаторов, например реализованы индикаторы утилизации портов коммутатора

И множество других мелких изменений.

P.S. 13 марта, за окном -15... ;(
На злобу дня....
Участились жалобы на якобы взломы домашних роутеров. Цель взлома - использование как узлы бот сетей и/или для амплификации DDOS.

Давайте всё же повторим простые правила что бы этого избежать от более критичных к менее:
1) web/ssh иные службы не следует разрешать с WAN без необходимости, либо делать это только с конкреnных IP
2) все пароли должны быть сложными (анализ данных в репортах показал что 99,9999% случаев либо были пароли по умолчанию, либо словарные). Не стоит думать, что если вы не разрешили доступ с WAN то можно не менять реквизиты доступа к админке.
3) Большинство "взломов" роутеров осуществляется со скомпроментированных устройств под управлением Windows уже из локальной сети. Т.е. просто смотрят адрес шлюза и стучатся туда на Web или SSH... Поэтому реквизиты доступа должны быть изменены при настройке в обязательном порядке!
4) пароль на WiFI должен быть весьма сложным. Особенно если вам пришлось (в силу кривости клиентов) отключить PMF.
5) Ни разу не обновлённое ПО. Тут всё просто. Не смотря на то что уязвимости критичные находят достаточно редко, всё же стоит как минимум в момент установки обновить софт. Это в сотни раз снизит вероятность взлома ботами (никто не будет вас ломать вручную ибо это ну ооочень дорого, а вот автоматом...).
6) Никаких WEP/WPA1 от слова НИКОГДА. В 2022г это аналогично сетям без пароля вообще

Список не полный. То что бы не взрывать мозг ограничимся хотя бы этим.

P.S. Ни одного именно взлома (в полном смысле слова) пока выявлено не было.Во всех случаях были проблемы именно с паролями (либо дефолт либо словарные) и чаще всего доступ разрешённый с WAN без фильтрации. На вопросы зачем и почему - ответа не последовало.
Прилетело и нашей площадке на которой хостятся DNS и Wi-Cat.RU.

Поэтому если у вас возникли проблемы с доступом к сервисам Wi-Cat просьба просто подождать. Уверен админы площадки отобьются от атак. На худой конец перенесу хостинг DNS на личные сервера где уже всё тихо. ;)

#DDOS
В связи с полным адом в части рынка в РФ приходится вернуться к уже забытой старой идеи предоставлении возможности использования Wive на стороннем железе. В связи с чем запускаем опрос на пару недель.

Железяк подходящих на рынке не очень много (требования таки жёсткие в т.ч. к исполнению фабричных процедур типа калибровки), но всё же реалистичнее чем покрыть дефицит без адового завышения ценника.

Насколько интересно была бы покупка Wive-NG-HQ для установки на стороннее, массово выпускаемое железо?

Оптовые варианты обсуждаются.
Ценники, ориентировочно:
1) 100Мбит устройства - $8 (без USB)
2) 1GE без USB - $10 3) 1GE USB - $15 Саппорт в пределах существуюшего функционала с обновлениями на пол года (продление обновлений $5) Кто что думает? P.S. Сорри плющит клиента ;(
Anonymous Poll
42%
1) Куплю обязательно
32%
2) Дороговато , но лучшее что доступно
26%
3) Ну спасибо....
Добавил тему на форуме с расширенной инфой. Так же там можно предложить какие модели и каких вендоров стоит поддержать в первую очередь исходя из критериев. https://wi-cat.ru/forums/topic/757/#postid-10295
Продолжается адовый DDOS на NIC.RU где расположены наши DNS сервера.

Во избежание потери доступа к системе обновлений, викидеви и сайту wi-cat стоит в настройках DNS сервера в UI Wive прописать (как локальные записи) минимальный набор:

up1.wi-cat.ru - 188.44.109.70
wi-cat.ru - 91.189.114.7
wikidevi.wi-cat.ru - 5.172.21.43

Если до понедельника админы NIC.RU не победят, придётся уносить DNS сервера...
Wi-Cat / Wive-NG pinned «Ценники, ориентировочно:
1) 100Мбит устройства - $8 (без USB)
2) 1GE без USB - $10 3) 1GE USB - $15 Саппорт в пределах существуюшего функционала с обновлениями на пол года (продление обновлений $5) Кто что думает? P.S. Сорри плющит клиента ;(
»
Финализируем 4.4.х ветку.

Релиз 4.4.10:
1) обновлены openssl, dropbear chillispot, ipt_netflow
2) бэкпорт ряда исправлений из текущего мэинлайна ядра (сеть/память)
2) добавлен профиль для поддержки hotspot сервиса от WiFly
3) в график на странице информации о радио интерфейсе добавлена возможность отображения SNR
4) ряд других мелких исправления в web интерфейсе

Кстати, DNS у хостера вроде отпустило, будем надеяться не повториться.
4.4.11
1) устранена уязвимость в библиотеке zlib CVE-2018-25032
2) в драйверах всех поддерживаемых радиочипов исправлена установка WMM очереди по умолчанию

zlib в wive используется например трансмишн, ntfs-3g, nginx и т.д.

Не смотря на то, что эту уязвимость будут пытаться эксплуатировать (а главное смогут это сделать удалённо например атакуя nginx), лучше всё же обновиться.

Тем более никаких действий кроме как нажать кнопку обновить от пользователя не требуется. ;)

Обновление не требует каких-либо дополнительных действий от пользователя кроме собственно нажатия кнопки обновить.
Упс. Забыл обещанный одному из постоянных клиентов фикс актуальный только для pptp/l2tp на доступе, когда адрес сервера задан как ip. Да и то не всегда.

В командировке релизится всегда так, вот что значит работа в не приспособленном для этого месте (записочек с заметочками перед глазами нет и склероз во всей красе =))).

3 строчки кода в ините. Тем кто обновился на 4.4.12 или у кого на доступе не PPTP/L2TP (что скорее всего так ибо эти протоколы нынче большая редкость на доступе) или просто всё работает как нужно можно игнорировать 4.4.13. Правка достаточно специфичная, просто если сейчас не войдёт в релиз потом долго придётся человеку ждать (выделяется 4.5.х ветка). Потому собираю микро 4.4.13 релиз сейчас.

Готово ;)
Плановый 4.5.7 релиз.

1. обновлен uclibc-ng, бэкпорт некоторых правок из текущего mainline ядра (5.17.3)
2. продолжена переделка инита, избавились от необходимости в service скрипте (подготовка к интеграции ENT функционала)
3. получен и задействован PEN (58734) для snmp
4. для упрощения конфигурирования страницы с базовыми настройками сетевых интерфейсов объединены в одну (будет ещё дорабатываться)
5. временно убрано требование к минимальной версии протокола в SMB (вылезли проблемы совместимости с некоторыми системами)

Да и вообще весна... 😸
Пора открывать сезон....
Релиз 4.6.13.
1) исправлена уязвимость в Uclibc-NG позволяющая «отравить» локальный кэш DNS (ICS-VU-638779, CERT/CC VU#473698)
2) обновлены до последних версий openssl/dnsmasq/dropbear/lldpd/zabbix
3) произведена миграция на net-snmpd для реализации требования поддержки SNMPv3. Поддержка пока начальная. Специфичные для Wive MIB будут реализованы в процессе подготовки ENT устройств в ближайшие несколько месяцев.
4) доработки WEBUI для сокращения числа необходимых применений настроек
5) реализован софтовый оффлоад операций Linux Bridge (bridge fastpath)
6) бэкпорт исправлений в сетевой подсистеме из mainline ядра
В ближайшие пол года основная работа по Wive будет сосредоточена в направлении SMB и Enterprise устройств и связанного с этим функционала.

Домашние устройства так же будут получать обновления компонентов и исправления уязвимостей. Изменения в функционале домашнего оборудования будут приостановлены, что бы избежать потенциальных регрессий, да и в общем-то всё запрашиваемое заказчиками в ключе SOHO уже сделано.