Защита вашего маршрутизатора MikroTik – главное, что нужно сделать, чтобы защитить вашу сеть от вмешательства из вне.
Если вы в своей сети все полностью настроили, а кто-то извне получил доступ к вашему маршрутизатору и сбросил заводские настройки, вы, возможно, будете крайне недовольны.
Но не волнуйтесь! В этом уроке я дам вам 5 советов, чтобы защитить ваш маршрутизатор MikroTik.
1. Изменение имени пользователя по умолчанию
По умолчанию имя пользователя MikroTik – admin, а пароль пуст, поэтому другие люди могут легко сканировать вашу сеть и легко получить доступ к вашему маршрутизатору. Рекомендуется изменить свое имя пользователя и пароль по умолчанию. Если вы разрешаете кому-либо доступ к вашему маршрутизатору, вы должны назначить им разрешения через групповую политику или разрешить им доступ только с определенного IP-адреса.
Откройте Winbox > system > users и внесите необходимые изменения касаемо пользователей.
2. Измените порты служб по умолчанию
Как вы знаете, порт 22 – это порт службы SSH. Не используйте порт SSH по умолчанию. Хакер может попытаться получить доступ к вашему маршрутизатору через этот порт. Вы можете устранить эту проблему, изменив порт по умолчанию и отключив службы, которые вам не нужны, или включите службу только для одного доверенного IP-адреса.
Winbox > IP > service
3. Настройте Firewall
Вы можете защитить свой маршрутизатор, установив правило брандмауэра, чтобы разрешить доступ только c определенного IP-адреса к вашему маршрутизатору. Также обратите внимание в этом случае, если у вас есть другая служба для запуска, например, NTP, GRE-туннель или какой-либо протокол маршрутизации, такой как BGP, OSPF, то вам нужно добавить разрешающие правила
Winbox > IP > Firewall > Filter
4. Отключите MikroTik neighbour discovery
Firewall применяется только для 3-го уровень сетевой модели OSI и выше. Таким образом, эти правила брандмауэра не будут влиять на пользователя, который пытается получить доступ к вашему маршрутизатору через уровень 2. Именно поэтому в маршрутизаторе мы должны включить MikroTik Neighbor Discovery Protocol (MNDP) только для доверенного интерфейса.
Winbox > IP > Neighbor
5. Ведение логирования и NTP
После того, как вы настроите все, вы должны сохранить журнал мониторинга маршрутизатора, чтобы убедиться, что никто не может попасть в ваш маршрутизатор. Настройка времени также важна, чтобы сделать ваши логи значимыми и актуальными для устранения неполадок, когда что-то пошло не так. Таким образом, вы должны настроить NTP-клиент для автоматической синхронизации времени с сервером NTP.