MikroTik — обеспечение безопасности маршрутизатора

Защита вашего маршрутизатора MikroTik — главное, что нужно сделать, чтобы защитить вашу сеть от вмешательства из вне.

Если вы в своей сети все полностью настроили, а кто-то извне получил доступ к вашему маршрутизатору и сбросил заводские настройки, вы, возможно, будете крайне недовольны.

Но не волнуйтесь! В этом уроке я дам вам 5 советов, чтобы защитить ваш маршрутизатор MikroTik.

1. Изменение имени пользователя по умолчанию

По умолчанию имя пользователя MikroTik — admin, а пароль пуст, поэтому другие люди могут легко сканировать вашу сеть и легко получить доступ к вашему маршрутизатору. Рекомендуется изменить свое имя пользователя и пароль по умолчанию. Если вы разрешаете кому-либо доступ к вашему маршрутизатору, вы должны назначить им разрешения через групповую политику или разрешить им доступ только с определенного IP-адреса.

Откройте Winbox > system > users и внесите необходимые изменения касаемо пользователей.

2. Измените порты служб по умолчанию

Как вы знаете, порт 22 — это порт службы SSH. Не используйте порт SSH по умолчанию. Хакер может попытаться получить доступ к вашему маршрутизатору через этот порт. Вы можете устранить эту проблему, изменив порт по умолчанию и отключив службы, которые вам не нужны, или включите службу только для одного доверенного IP-адреса.

Winbox > IP > service

3. Настройте Firewall

Вы можете защитить свой маршрутизатор, установив правило брандмауэра, чтобы разрешить доступ только c определенного IP-адреса к вашему маршрутизатору. Также обратите внимание в этом случае, если у вас есть другая служба для запуска, например, NTP, GRE-туннель или какой-либо протокол маршрутизации, такой как BGP, OSPF, то вам нужно добавить разрешающие правила

Winbox > IP > Firewall > Filter

4. Отключите MikroTik neighbour discovery

Firewall применяется только для 3-го уровень сетевой модели OSI и выше. Таким образом, эти правила брандмауэра не будут влиять на пользователя, который пытается получить доступ к вашему маршрутизатору через уровень 2. Именно поэтому в маршрутизаторе мы должны включить MikroTik Neighbor Discovery Protocol (MNDP) только для доверенного интерфейса.

Winbox > IP > Neighbor

5. Ведение логирования и NTP

После того, как вы настроите все, вы должны сохранить журнал мониторинга маршрутизатора, чтобы убедиться, что никто не может попасть в ваш маршрутизатор. Настройка времени также важна, чтобы сделать ваши логи значимыми и актуальными для устранения неполадок, когда что-то пошло не так. Таким образом, вы должны настроить NTP-клиент для автоматической синхронизации времени с сервером NTP.

Оставьте комментарий