Безопасность с Mikrotik

Обсуждение роутеров, свичей, точек доступа и другого сетевого оборудования.
Аватара пользователя
holpa
Admin
Сообщения: 669
Зарегистрирован: 04 сен 2014, 14:00

Безопасность с Mikrotik

Непрочитанное сообщение holpa » 14 янв 2019, 11:17

1. Меняем пароль на учетной записи admin на Mikrotik.
Не редко ,пользователи совсем забывают после завершения всех настроек поменять стандартный пароль от учетной записи admin на более сложный.
Переходим в меню System – Users.
По умолчанию мы должны увидеть только одну учетную запись admin, кликнув на которую мы можешь поменять пароль в открывшемся окне через кнопку Password.
Где в строках New Password и Confirm Password указываем новый пароль.

Если у вас кроме учетной записи admin есть еще какая-то неизвестная вам, убедитесь, что она на самом деле не используются вашими коллегами или кем-то из знакомых в добрых целях. В случае, если вы не знаете историю происхождения левой учетной записи, можете просто отключить ее или удалить.

Итак, первый урок мы закончили, перейдем ко второму.

2. Закрываем, ограничиваем ненужные внешние сервисы Mikrotik, через которые можно получить доступ к оборудованию.
Перейдем в меню Микротик IP – Services.
Видим IP Service List – список из сервисов, которые частично по умолчанию включены.
Нам придется разобраться, что оставить включенным, что из этого списка ограничить для доступа только с определенного ip или определенной локальной сетки.
Для 90 процентов пользователей достаточно оставить активными Winbox и WWW (доступ через Web- браузер).
При двойном клике на выбранный сервис мы увидим окно для подробной настройки где в строке:
Port – можем изменить стандартный порт на любой другой свободный (если решите менять порт на другой, убедитесь, что он не используется как стандартный каким-либо сервисом или приложением).
Available From – указываем только те адреса, с которых будет открыт доступ к выбранному сервису Микротика. Вы можете указать как конкретный адрес, так и подсеть в формате 1.1.1.0/24, или несколько адресов через запятую.

3. Переходим к защите Микротик через Firewall.
В видеоролике мы рассказывали про атаку на DNS, которая проходит через 53 порт UDP. Атака ощущается низкой скоростью интернета и зачастую из-за высокой нагрузки воздаются определенные затруднениями с входом на Микротик. Если Микротик “тормозит” при подключении к нему через Winbox или WWW можете временно отключить кабель интернета и сделать данную настройку.

IP – Firewall – Filter Rules – “+”.

Вкладка General.
Chain: Input.
Protocol: UDP.
Dst. Port: 53.
In. Interface: Eth1 (порт, в который воткнут кабель провайдера).

Вкладка Action:
Action: drop.

Если у вас уже есть какие-нибудь другие правила в Filter Rules, то вновь созданное правило рекомендуется поставить выше всех.

4. Продолжаем работать с Firewall.
Закрываем от “плохого” пинговальщика.
IP – Firewall – Filter Rules – “+”.
Вкладка General.
Chain: Input.
Protocol: icmp.
In. Interface: Eth1 (порт, в который воткнут кабель провайдера).

Вкладка Extra.
Limit: Rate 50/5.
Burst 2.
Mode packet.

Вкладка Action:
Action: accept.

5. Отключаем SNMP на Микротик.
Находим сервис SNMP в меню IP -SNMP, по-умолчанию он не работает. Если он вам не нужен, то галочку убираем, если нужен, то ставим галочку и придумываем хороший пароль.

6.Scripts Mikrotik.
Злоумышленникам по последней информации часто интересен раздел Scripts, через который они могут использовать ваше оборудование, интернет канал в своих целях. Что бы проверить , что все в порядке, переходим в раздел System – Scripts.
Проверяем вкладку Scripts на отсутствие каких-либо непонятных вам записей, по умолчанию он чистый. Если вы что-то подозрительное обнаружили, можете смело удалить или же загуглить строчку, понять что выполняется данным скриптом и удалить.

7. Ну и не забывает устанавливать последние обновления с меткой bugfix, инструкцию можно посмотреть в нашей статье http://ithelp21.ru/kak-obnovity-oborudovanie-mikrotik/.

Готово: Данные настройки не защитят на 100 процентов вас от каких-либо уязвимостей, но помогут не допустить 90 процентов всех действующих попыток сломать работу вашей сети, устройства.

Ответить