IT→Настройка и безопасность MikroTik

Янв 22, 2022

Решил написать шпаргалку первичной настрои MikroTik, так как данная продукция является надежной и шустрой, проблема заключается в сложности настройки если давно не «трогал» подобные вещи.

• Главным FAQ является статья Xakep.Ru — «Защищаем MikroTik. Хитрости безопасной настройки роутера»
• WinBox для Windows — официальный дистрибутив
• WinBox для apple MacOs — скачай и запускай

Сброс настроек Mikrotik

Выключите роутер, лучше подождать пару секунд после выключения для разрядки конденсаторов, найти скрытую кнопку Reset.

Кратко

Кратко опишу действия которые я считаю необходимы для настройки безопасной работы Mikrotik после подключения кабеля WAN (internet) и сброса настроек.

1. System — Packeges — Check for Update. Channel: stable — check for Updates- Install and reboot. Перед всеми настройками советую обновить версию Rourer Board до последней.
2. System — Users — Сменить пароль Admin, а лучше добавить нового пользователя с правами FULL и после этого заблокировать (удалить пользователя Admin)
3. System — Clock — Настроить время на Mikrotik (необходимо для правильного вывода логов)
4. IP-Services — Советую выключить все сервисы кроме Winbox и SSH, в поле Avalibe From можете ввести ввести подсеть откуда этот сервис может быть доступен например 192.168.100.0/24. (соответсующий вашей уже настроенной подсети с маской 255.255.255.0)
5. System-NTP Client — автоматическая синхронизация времени NTP, сервера можно взять например на NTP SERVERS (ex: 88.147.254.234, 88.147.254.228)
6. Я не люблю WiFi от Mikrotik ввиду разных причин, поэтому просто отключаю интерфейс WiFi через меню Wireless.
7. IP — IP Pool — сместите диапазон выдачи IP адресов от статических, например вы знаете что ваши устройства, принтеры, серверы — будут с 10 по 20. поставьте IP POOL в конец списка 210-240.
8. IP — Neighbors — discovery list — отлючите/включите обнаружение Mikrotik через Winbox и протоколы CDP, LLDP, MNDP. Я ставлю LAN

Настройки FireWall

Есть всего одно правило которым должен руководствоваться сисадмин, закрыть все порты и банить всех кроме портов приносящих деньги.

IP — Firewall я забиваю на дефолтные настройки из 5-6 правил предлагаемых сами MikroTik и на самом верху создаю правило:

Вкладка General

• chain = input
• src. Adress = ! 192.168.xxx.0/24 — та сеть что за MIkrotik
• protocol = 6 (tcp)
• Dst. Port = ! 443, 80, 1723
• Connection State: new

Вкладка Action

• Action = drop

Суть правила заключается в том, что все кто НЕ (!) из сети XXX и НЕ (!) обращаются на порты WEB, HTTPS, PPP будут отброшены. Да конечно есть много методов бана адресов, черных списков и тд, но для чего мучать Flash и процессор если в конечном виде будет Drop соединения? Это дает наименьшую нагрузку CPU MikroTik не уменьшая ресурс флеш памяти. Правило стоит приоритетным сразу под правилом 0.

Update:

Вы конечно понимаете что Drop по не существующему порту не запретит нападающей стороны пробовать другие порты. если Флеш памяти все таки вам не «критична» взамен Action — Drop сделайте Action «add src to Address list» введите название Address List XXXYYYZZZ, и Timeout.

После этого создайте новое правило которое будет Action-Drop, из списка Advanced-Src. Address list — XXXYYYZZZ.

RDP, FTP и другие открытые порты

Возможно у вас есть открытые порты для дистанционного управления например Remote Desktop Protocol. Я долго сопротивлялся, но понял что RDP явно не является чем то публичным — поэтому верным решением было создать VPN подключение через которое уже можно будет соединятся с внутренней сетью и подключится к RDP. Да самое простое это изменить порт подключения со стандартного RDP 3389 на 33890 или что то типо это.

Если же порт необходимо открыть внесите его в список выше Dst. Protocol. А нагрузку на перебор пароля оставьте за приложением.