В последнее время Микротик чаше других производителей на слуху в плане обнаруженных уязвимостей, которые так или иначе решаются частично обновлением bugfix прошивкой. Обновление прошивки вещи полезная, но не является гарантией, что вы полностью защищены от внешних, внутренних факторов.
На нашем канале на Youtube , мы сделали видеообзор о мерах, которые помогут вам защитить Mikrotik.
Пришло время продублировать инструкцию в текстовый вид. Начнем от самого простого, банального к сложному.
1. Меняем пароль на учетной записи admin на Mikrotik.
Не редко ,пользователи совсем забывают после завершения всех настроек поменять стандартный пароль от учетной записи admin на более сложный.
Переходим в меню System — Users.
По умолчанию мы должны увидеть только одну учетную запись admin, кликнув на которую мы можешь поменять пароль в открывшемся окне через кнопку Password.
Где в строках New Password и Confirm Password указываем новый пароль.
Если у вас кроме учетной записи admin есть еще какая-то неизвестная вам, убедитесь, что она на самом деле не используются вашими коллегами или кем-то из знакомых в добрых целях. В случае, если вы не знаете историю происхождения левой учетной записи, можете просто отключить ее или удалить.
Итак, первый урок мы закончили, перейдем ко второму.
2. Закрываем, ограничиваем ненужные внешние сервисы Mikrotik, через которые можно получить доступ к оборудованию.
Перейдем в меню Микротик IP — Services.
Видим IP Service List — список из сервисов, которые частично по умолчанию включены.
Нам придется разобраться, что оставить включенным, что из этого списка ограничить для доступа только с определенного ip или определенной локальной сетки.
Для 90 процентов пользователей достаточно оставить активными Winbox и WWW (доступ через Web- браузер).
При двойном клике на выбранный сервис мы увидим окно для подробной настройки где в строке:
Port — можем изменить стандартный порт на любой другой свободный (если решите менять порт на другой, убедитесь, что он не используется как стандартный каким-либо сервисом или приложением).
Available From — указываем только те адреса, с которых будет открыт доступ к выбранному сервису Микротика. Вы можете указать как конкретный адрес, так и подсеть в формате 1.1.1.0/24, или несколько адресов через запятую.
3. Переходим к защите Микротик через Firewall.
В видеоролике мы рассказывали про атаку на DNS, которая проходит через 53 порт UDP. Атака ощущается низкой скоростью интернета и зачастую из-за высокой нагрузки воздаются определенные затруднениями с входом на Микротик. Если Микротик «тормозит» при подключении к нему через Winbox или WWW можете временно отключить кабель интернета и сделать данную настройку.
IP — Firewall — Filter Rules — «+».
Вкладка General.
Chain: Input.
Protocol: UDP.
Dst. Port: 53.
In. Interface: Eth1 (порт, в который воткнут кабель провайдера).
Вкладка Action:
Action: drop.
Если у вас уже есть какие-нибудь другие правила в Filter Rules, то вновь созданное правило рекомендуется поставить выше всех.
4. Продолжаем работать с Firewall.
4.1. Закрываемся от «плохого» пинговальщика.
IP — Firewall — Filter Rules — «+».
Вкладка General.
Chain: Input.
Protocol: icmp.
In. Interface: Eth1 (порт, в который воткнут кабель провайдера).
Вкладка Extra.
Limit: Rate 50/5.
Burst 2.
Mode packet.
Вкладка Action:
Action: accept.
4.2. Разрешаем уже установленные подключения. Пакет относится у уже установленному соединению, обрабатываемому в данный момент маршрутизатором.
add action=accept chain=input comment="Allow Established connections" connection-state=established,related
5. Отключаем SNMP на Микротик.
Находим сервис SNMP в меню IP -SNMP, по-умолчанию он не работает. Если он вам не нужен, то галочку убираем, если нужен, то ставим галочку и придумываем хороший пароль.
6.Scripts Mikrotik.
Злоумышленникам по последней информации часто интересен раздел Scripts, через который они могут использовать ваше оборудование, интернет канал в своих целях. Что бы проверить , что все в порядке, переходим в раздел System — Scripts.
Проверяем вкладку Scripts на отсутствие каких-либо непонятных вам записей, по умолчанию он чистый. Если вы что-то подозрительное обнаружили, можете смело удалить или же загуглить строчку, понять что выполняется данным скриптом и удалить.
7. Ну и не забывает устанавливать последние обновления с меткой bugfix, инструкцию можно посмотреть в нашей статье https://adminwin.ru/kak-obnovity-oborudovanie-mikrotik/.
Как итог: Данные настройки не защитят на 100 процентов вас от каких-либо уязвимостей, но помогут не допустить 90 процентов всех действующих попыток сломать работу вашей сети, устройства.
Что за бред?
Зачем менять пароль админа? Чтобы те кто на входе подбирали уже чисто пароль? Пользователь создается новый с другим логином и сложными паролем, а админ просто отключается.
Разрешили established,related на Input, а forward куда делся? А закрывающие правила где? Смысл делать разрешающее правило если итак ничего не запрещено?!
Bugfix в продакшен? Это извращение, туда даже не stable, а longterm ставится.
Статья так себе, по верхам и то отдельным