¬аш вопрос св€зан с хэштэгами # орпоративные сети, #Mikrotik? —просите в Telegram!

ћерион Ќетворкс

ћаршрутизаторы от производител€ Mikrotik приобретают все большую попул€рность благодар€ привлекательной цене и богатому функционалу. ѕожалуй, в SOHO сегмента Mikrotik €вл€етс€ лидером. —егодн€ хотим рассказать о полезных опци€х настройки, которые помогут укрепить устойчивость к внешним атакам и обеспечить стабильную работу дл€ вашего офисного Mikrotik.


«ащита Mikrotik

1. —мена логина и парол€ администратора

Ќачнем с первичной защиты нашего маршрутизатора Ц созданию стойкого к взломам логина и парол€ администратора. ѕо умолчанию, в Mikrotik используетс€ логин admin и пустой пароль. ƒавайте исправим это: подключаемс€ через Winbox к нашему маршрутизатору и переходим в раздел настройки SystemUsers. ¬идим пользовател€ admin, который настроен по умолчанию:

смена логина и парол€ от пользовател€ admin в Mikrotik

ƒобавим нового пользовател€, который будет обладать более строгими к взлому реквизитами (логин/пароль). ƒл€ этого, нажмите на значок Ђ+ї в левом верхнем углу:

Mikrotik: ѕолезные советы по настройке

ќбратите внимание, в поле Group необходимо выбрать full, чтобы предоставить администраторские привилегии дл€ пользовател€. ѕосле произведенных настроек удал€ем пользовател€ admin и отныне используем только нового пользовател€ дл€ подключени€ к интерфейса администрировани€.

2. —ервисные порты

¬ маршрутизаторе ћикротик Ђзашитыї некоторые службы, порты которых доступны дл€ доступа из публичной сети интернет. ѕотенциально, это у€звимость дл€ ¬ашего сетевого контура. ѕоэтому, мы предлагаем перейти в раздел настройки IPServices:

ќтключение сервисных портов на Mikrotik

≈сли вы используете доступ к Mikrotik только по Winbox, то мы предлагаем ¬ам отключить все сервисы, за исключением winbox и ssh (на вс€кий случай оставить ssh), а именно:

  • api
  • api-ssl
  • ftp
  • www
  • www-ssl

ƒл€ отключени€ нажмите красный значок Ђхї. “ак как мы оставили SSH доступ к серверу, давайте Ђзасекьюримї его, сменив порт с 22 на 6022. ƒл€ этого, дважды нажмите на сервисный порт SSH и в открывшемс€ окне укажите настройку:

—мена SSH порта на Mikrotik

Ќажимаем Apply и ќ .

3. «ащита от брут Ц форса (перебора)

Ќа официальном сайте Mikrotik существуют рекомендации о том, как защитить свой маршрутизатор от перебора паролей по FTP и SSH доступу. ¬ предыдущем шаге мы закрыли FTP доступ, поэтому, если ¬ы строго следуете по данной инструкции, то используйте только код дл€ защиты от SSH Ц атак. ¬ противном случае, скопируйте оба. »так, открываем терминал управлени€ маршрутизатором. ƒл€ этого, в правом меню навигации нажмите New Terminal. ѕоследовательно скопируйте указанный ниже код в консоль роутера:

/ip firewall filter

#Ѕлокируем атаки по FTP
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
comment="drop ftp brute forcers"

add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m

add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \
address-list=ftp_blacklist address-list-timeout=3h

#Ѕлокируем атаки по SSH
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute forcers" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=10d comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \
address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

—оздание резервной копии конфигурации

Ќа случай выхода из стро€ или аварии роутера, необходимо иметь под рукой его конфиг дл€ оперативного восстановлени€. —делать его крайне просто: открываем терминал, нажав в меню навигации New Terminal и указываем следующую команду:

export file=backup2017-11-18_13:13:49

‘айл можно обнаружить нажав в меню навигации на раздел Files. —качайте его себе на ѕ , нажав правой кнопкой мыши и выбрав Download

–езервна€ копи€ конфигурации Mikrotik
Ѕлокировка доступа к сайта

¬ рабочее врем€ сотрудники должны работать. ѕоэтому, давайте заблокируем доступ к развлекательным ресурсам, таким как Youtube, Facebook и ¬контакте. ƒл€ этого, перейдите в раздел IPFirewall. Ќажимаем на вкладку Layer 7 Protocol и затем нажимаем на значок Ђ+ї в левом верхнем углу:

Ѕлокировка доступа к сайтам на Mikrotik

ƒаем им€ нашему правилу, которое будет оперировать на 7 уровне модели OSI, а в разделе Regexp добавл€ем:

^.+(youtube.com|facebook.com|vk.com).*$

Ќажимаем OK и переходим к вкладке Filter Rules и нажимаем значок Ђ+ї:

ƒобавить Filter Rules в ћикротике

¬ разделе Chain выбираем Forward. ѕереходим в том же окне во вкладку Advanced и в поле Layer 7 Protocol выбираем созданное нами правило блокировки:

‘ильтраци€ на 7 уровне модели OSI в Mikrotik

ѕереходим во вкладку Action, и там выбираем Action = Drop:

«акрыть доступ к социальным сет€м Mikrotik

ѕо окончанию настроек нажимаем Apply и OK.


ѕолезна ли ¬ам эта стать€?

–аз в неделю мы отправл€ем дайджест с самыми интересными стать€ми.

P.S. ≈сли укажите свою дату рождени€, то мы об€зательно ¬ас поздравим и подарим небольшой подарок :)

Ќажима€ на кнопку "ѕодписатьс€", вы даете согласие на обработку своих персональных данных