IT→Настройка и безопасность MikroTik

Янв 22, 2022


Решил написать шпаргалку первичной настрои MikroTik, так как данная продукция является надежной и шустрой, проблема заключается в сложности настройки если давно не «трогал» подобные вещи.

Сброс настроек Mikrotik

Выключите роутер, лучше подождать пару секунд после выключения для разрядки конденсаторов, найти скрытую кнопку Reset.

Кратко

Кратко опишу действия которые я считаю необходимы для настройки безопасной работы Mikrotik после подключения кабеля WAN (internet) и сброса настроек.

  1. System — Packeges — Check for Update. Channel: stable — check for Updates- Install and reboot. Перед всеми настройками советую обновить версию Rourer Board до последней.
  2. System — Users — Сменить пароль Admin, а лучше добавить нового пользователя с правами FULL и после этого заблокировать (удалить пользователя Admin)
  3. System — Clock — Настроить время на Mikrotik (необходимо для правильного вывода логов)
  4. IP-Services — Советую выключить все сервисы кроме Winbox и SSH, в поле Avalibe From можете ввести ввести подсеть откуда этот сервис может быть доступен например 192.168.100.0/24. (соответсующий вашей уже настроенной подсети с маской 255.255.255.0)
  5. System-NTP Client — автоматическая синхронизация времени NTP, сервера можно взять например на NTP SERVERS (ex: 88.147.254.234, 88.147.254.228)
  6. Я не люблю WiFi от Mikrotik ввиду разных причин, поэтому просто отключаю интерфейс WiFi через меню Wireless.
  7. IP — IP Pool — сместите диапазон выдачи IP адресов от статических, например вы знаете что ваши устройства, принтеры, серверы — будут с 10 по 20. поставьте IP POOL в конец списка 210-240.
  8. IP — Neighbors — discovery list — отлючите/включите обнаружение Mikrotik через Winbox и протоколы CDP, LLDP, MNDP. Я ставлю LAN

Настройки FireWall

Есть всего одно правило которым должен руководствоваться сисадмин, закрыть все порты и банить всех кроме портов приносящих деньги.

IP — Firewall я забиваю на дефолтные настройки из 5-6 правил предлагаемых сами MikroTik и на самом верху создаю правило:

Вкладка General

  • chain = input
  • src. Adress = ! 192.168.xxx.0/24 — та сеть что за MIkrotik
  • protocol = 6 (tcp)
  • Dst. Port = ! 443, 80, 1723
  • Connection State: new

Вкладка Action

  • Action = drop

Суть правила заключается в том, что все кто НЕ (!) из сети XXX и НЕ (!) обращаются на порты WEB, HTTPS, PPP будут отброшены. Да конечно есть много методов бана адресов, черных списков и тд, но для чего мучать Flash и процессор если в конечном виде будет Drop соединения? Это дает наименьшую нагрузку CPU MikroTik не уменьшая ресурс флеш памяти. Правило стоит приоритетным сразу под правилом 0.

Update:

Вы конечно понимаете что Drop по не существующему порту не запретит нападающей стороны пробовать другие порты. если Флеш памяти все таки вам не «критична» взамен Action — Drop сделайте Action «add src to Address list» введите название Address List XXXYYYZZZ, и Timeout.

После этого создайте новое правило которое будет Action-Drop, из списка Advanced-Src. Address list — XXXYYYZZZ.

RDP, FTP и другие открытые порты

Возможно у вас есть открытые порты для дистанционного управления например Remote Desktop Protocol. Я долго сопротивлялся, но понял что RDP явно не является чем то публичным — поэтому верным решением было создать VPN подключение через которое уже можно будет соединятся с внутренней сетью и подключится к RDP. Да самое простое это изменить порт подключения со стандартного RDP 3389 на 33890 или что то типо это.

Если же порт необходимо открыть внесите его в список выше Dst. Protocol. А нагрузку на перебор пароля оставьте за приложением.

Добавить комментарий

Ваш адрес email не будет опубликован.