Руководство: защита вашего маршрутизатора

Следующие шаги являются рекомендацией, как защитить ваш маршрутизатор. Мы настоятельно рекомендуем оставить брандмауэр по умолчанию, он может быть исправлен другими правилами, которые соответствуют вашим требованиям к настройке. Другие настройки и параметры конфигурации для усиления безопасности вашего маршрутизатора описаны ниже. Чтобы узнать, какие методы безопасности используются RouterOS для внутреннего использования, прочитайте статью по безопасности .

Версия RouterOS

Начните с обновления вашей версии RouterOS. Некоторые старые выпуски имели определенные слабые места или уязвимости, которые были исправлены. Держите устройство в актуальном состоянии, чтобы быть уверенным, что оно безопасно. Нажмите «Проверить наличие обновлений» в Winbox или Webfig, чтобы обновить. Мы предлагаем вам следить за объявлениями в нашем блоге, посвященном объявлениям о безопасности, чтобы получать информацию о любых новых проблемах безопасности.

Доступ к роутеру

Доступ к имени пользователя

Измените имя пользователя по умолчанию admin на другое имя, пользовательское имя помогает защитить доступ к вашему ротамеру, если кто-то получил прямой доступ к вашему роутеру.

/ user add name = myname password = mypassword group = full
/ пользователь удалить администратора

Предупреждение: используйте безопасный пароль и другое имя для имени пользователя вашего маршрутизатора.

Пароль доступа

Маршрутизаторы MikroTik требуют настройки пароля, мы предлагаем использовать pwgen или другой инструмент для генерации паролей для создания безопасных и неповторяющихся паролей,

/ пользователь установил 0 пароль = "! = {Ba3N!" 40TуX + GvKBz? jTLIUcx /, "

Еще одна возможность установить пароль,

/пароль 

Мы настоятельно рекомендуем использовать второй метод или интерфейс Winbox, чтобы применить новый пароль для вашего маршрутизатора, просто чтобы защитить его от несанкционированного доступа.

Доступ по IP адресу

Помимо того, что брандмауэр по умолчанию защищает ваш маршрутизатор от несанкционированного доступа из внешних сетей, есть возможность ограничить доступ по имени пользователя для определенного IP-адреса

/ пользователь установил 0 позволил-адрес = хххх / гг

xxxx / yy — ваш IP или сетевая подсеть, которой разрешен доступ к вашему маршрутизатору.

Примечание: войдите в маршрутизатор с новыми учетными данными, чтобы проверить, что имя пользователя / пароль работают.

Маршрутизатор

Все рабочие маршрутизаторы должны администрироваться службами SSH, Winbox или HTTP. Используйте последнюю версию Winbox для безопасного доступа. Обратите внимание, что в новейших версиях Winbox «Безопасный режим» включен по умолчанию и больше не может быть отключен.

Услуги RouterOS

Большинство инструментов администрирования RouterOS настроены на

 / ip service print 

Храните только в безопасности,

/ ip service отключить telnet, ftp, www, api, api-ssl
/ ip service print 

а также изменить порт по умолчанию, это немедленно остановит большинство случайных попыток входа в систему через SSH:

/ IP-сервис установлен SSH порт = 2200
/ ip service print 

Кроме того, каждый объект / ip-сервис может быть защищен разрешенным IP-адресом (адресная служба ответит)

/ ip service set winbox address = 192.168.88.0 / 24

MAC-доступ RouterOS

RouterOS имеет встроенные опции для удобного управления доступом к сетевым устройствам. Конкретные услуги должны быть отключены в производственных сетях.

MAC-Telnet

Отключить службы mac-telnet,

/ tool mac-server set разрешенный-interface-list = нет
/ инструмент mac-server print

MAC-Winbox

Отключить службы Mac-Winbox,

/ tool mac-server mac-winbox set разрешенный-interface-list = нет
/ инструмент mac-server mac-winbox print

MAC-Ping

Отключить службу mac-ping,

/ tool mac-сервер ping set включен = нет
/ инструмент mac-server ping print

Сосед Дискавери

Протокол обнаружения соседей MikroTik используется для отображения и распознавания других маршрутизаторов MikroTik в сети, отключения обнаружения соседей на всех интерфейсах,

/ ip соседние параметры обнаружения набор-обнаружение-интерфейс-список = нет 

Пропускная способность сервера

Пропускная способность сервера используется для проверки пропускной способности между двумя маршрутизаторами MikroTik. Отключите его в производственной среде.

/ tool bandwidth-server set enabled = нет 

Кэш DNS

На маршрутизаторе может быть включен кэш DNS, что сокращает время обработки запросов DNS от клиентов к удаленным серверам. Если на вашем маршрутизаторе не требуется DNS-кеш или для этих целей используется другой маршрутизатор, отключите его.

/ ip dns set allow-remote-запросы = нет

Услуги других клиентов

В RouterOS могут быть включены другие службы (по умолчанию они отключены). MikroTik кеширующий прокси,

/ ip proxy set enabled = нет

МикроТик носки прокси,

/ ip socks set enabled = нет

Сервис MikroTik UPNP,

/ ip upnp set enabled = нет

Сервис динамических имен MikroTik или ip cloud,

/ ip cloud set ddns-enabled = нет времени обновления = нет

Более безопасный доступ по SSH

RouterOS использует более сильную криптографию для SSH, большинство новых программ используют ее для включения сильной криптографии SSH:

/ ip ssh set strong-crypto = да

Интерфейс маршрутизатора

Интерфейсы Ethernet / SFP

Рекомендуется отключить все неиспользуемые интерфейсы на вашем маршрутизаторе, чтобы уменьшить неавторизованный доступ к вашему маршрутизатору.

/ интерфейс печати
/ интерфейс установлен х отключен = да
  • х номера неиспользуемых интерфейсов.

LCD

Некоторые платы RouterBOARD имеют жидкокристаллический модуль для информационных целей, устанавливают контакт или отключают его.

/ ЖК-набор включен = нет

Брандмауэр

Мы настоятельно рекомендуем оставить брандмауэр по умолчанию включенным. Вот несколько настроек, чтобы сделать его более безопасным, убедитесь, что применяете правила, когда понимаете, что они делают.

Брандмауэр IPv4 к роутеру

  • работа с новыми подключениями для снижения нагрузки на роутер;
  • создать список адресов для IP-адресов, которым разрешен доступ к вашему маршрутизатору;
  • включить ICMP-доступ (опционально);
  • отбросить все остальное, log = yes может быть добавлено к лог-пакетам, которые соответствуют определенному правилу;
/ IP-фильтр брандмауэра
добавить действие = принять цепочку = вводить комментарий = "конфигурация по умолчанию" состояние соединения = установлено, связано
добавить действие = принять цепочку = ввести src-address-list = enabled_to_router
добавить действие = принять цепочку = входной протокол = icmp
добавить действие = цепочка = ввод
/ ip firewall address-list
добавить адрес = 192.168.88.2-192.168.88.254 список = enabled_to_router

Брандмауэр IPv4 для клиентов

  • Установленные / связанные пакеты добавляются в fasttrack для более быстрой передачи данных, межсетевой экран будет работать только с новыми соединениями;
  • сбросить недействительное соединение и зарегистрировать их с префиксом недействительным;
  • отбросьте попытки достичь непубличных адресов из вашей локальной сети, примените address-list = not_in_internet раньше, bridge1 — это интерфейс локальной сети, регистрируйте попытки с помощью! public_from_LAN;
  • отбрасывать входящие пакеты, которые не являются NAT, ether1 является открытым интерфейсом, протоколировать попытки с префиксом! NAT;
  • отбрасывать входящие пакеты из Интернета, которые не являются общедоступными IP-адресами, ether1 является общедоступным интерфейсом, протоколировать попытки с префиксом! public;
  • отбрасывать пакеты из локальной сети, которая не имеет IP-адреса локальной сети, 192.168.88.0/24 — подсеть, используемая в локальной сети;
/ IP-фильтр брандмауэра
добавить действие = цепочка соединений fasttrack = прямой комментарий = состояние соединения FastTrack = установлено, связано
добавить действие = принять цепочку = переслать комментарий = "установлено, связано" состояние соединения = установлено, связано
добавить действие = удалить цепочку = переслать комментарий = "удалить недействительно" состояние соединения = недействительный журнал = да префикс журнала = недействительный
add action = drop chain = forward comment = "Удаление пытается достичь не публичных адресов из локальной сети" dst-address-list = not_in_internet in-interface = bridge1 log = да log-префикс =! public_from_LAN out-interface =! bridge1
add action = drop chain = forward comment = "Сбросить входящие пакеты, которые не являются NAT". connection-nat-state =! dstnat-состояние соединения = новый in-interface = ether1 log = да log-prefix =! NAT
add action = drop chain = forward comment = "Удалить входящий из интернета, который не является публичным IP" in-interface = ether1 log = да log-prefix =! public src-address-list = not_in_internet
add action = drop chain = forward comment = "Отбрасывать пакеты из локальной сети, которые не имеют IP-адреса локальной сети" в интерфейсе = log1 bridge = да log-prefix = LAN_! LAN src-address =! 192.168.88.0/24

/ ip firewall address-list
добавить адрес = 0.0.0.0 / 8 комментарий = список RFC6890 = not_in_internet
добавить адрес = 172.16.0.0 / 12 комментарий = список RFC6890 = not_in_internet
добавить адрес = 192.168.0.0 / 16 комментарий = список RFC6890 = not_in_internet
добавить адрес = 10.0.0.0 / 8 комментарий = список RFC6890 = not_in_internet
добавить адрес = 169.254.0.0 / 16 комментарий = список RFC6890 = not_in_internet
добавить адрес = 127.0.0.0 / 8 комментарий = список RFC6890 = not_in_internet
добавить адрес = 224.0.0.0 / 4 комментария = многоадресный список = not_in_internet
добавить адрес = 198.18.0.0 / 15 комментарий = список RFC6890 = not_in_internet
добавить адрес = 192.0.0.0 / 24 комментария = список RFC6890 = not_in_internet
добавить адрес = 192.0.2.0 / 24 комментария = список RFC6890 = not_in_internet
добавить адрес = 198.51.100.0 / 24 комментария = список RFC6890 = not_in_internet
добавить адрес = 203.0.113.0 / 24 комментария = список RFC6890 = not_in_internet
добавить адрес = 100.64.0.0 / 10 комментариев = список RFC6890 = not_in_internet
добавить адрес = 240.0.0.0 / 4 комментария = список RFC6890 = not_in_internet
add address = 192.88.99.0 / 24 comment = "6to4 relay Anycast [RFC 3068]" list = not_in_internet

IPv6

В настоящее время пакет IPv6 отключен по умолчанию. Пожалуйста, включите пакет осторожно, так как RouterOS не будет создавать никаких правил брандмауэра по умолчанию для IPv6 в данный момент.

IPv6 ND

Отключить обнаружение соседей IPv6

/ ipv6 nd set [find] отключен = да

Брандмауэр IPv6 к роутеру

  • работать с новыми пакетами, принимать установленные / связанные пакеты;
  • удалить ссылки локальные адреса из интернет-интерфейса;
  • принять доступ к маршрутизатору с локальных адресов, принять многоадресные адреса для целей управления, принять адрес для доступа к маршрутизатору;
  • отбрось что-нибудь еще;
/ ipv6 firewall filter
добавить действие = принять цепочку = вводить комментарий = "разрешено установлено и связано" состояние соединения = установлено, связано
добавить цепочку = действие ввода = принять протокол = icmpv6 комментарий = "принять ICMPv6"
добавить цепочку = действие ввода = принять протокол = порт udp = 33434-33534 комментарий = "defconf: принять трассировку UDP"
add chain = входное действие = принять протокол = udp dst-порт = 546 src-address = fe80 :: / 16 comment = "принять делегирование префикса DHCPv6-клиента".
add action = drop chain = вход в интерфейс = sit1 log = да log-префикс = dropLL_from_public src-address = fe80 :: / 16
добавить действие = принять цепочку = вводить комментарий = "разрешить разрешенные адреса" src-address-list = разрешено
добавить действие = цепочка = ввод
/ ipv6 список адресов брандмауэра
добавить адрес = fe80 :: / 16 список = разрешено
добавить адрес = хххх :: / 48 список = разрешено
добавить адрес = ff02 :: / 16 комментарий = многоадресный список = разрешено

Брандмауэр IPv6 для клиентов

Включенный IPv6 делает ваших клиентов доступными для общедоступных сетей, устанавливает надлежащий брандмауэр для защиты ваших клиентов.

  • принимать установленные / связанные и работать с новыми пакетами;
  • отбросить недействительные пакеты и поставить префикс для правил;
  • принимать ICMP-пакеты;
  • принять новое подключение ваших клиентов к Интернету;
  • Отбрось все остальное.
/ ipv6 firewall filter
добавить действие = принять цепочку = переслать комментарий = установлено, связано состояние соединения = установлено, связано
добавить действие = удалить цепочку = переслать комментарий = неверное состояние соединения = недействительный журнал = да префикс журнала = ipv6, недействительный
добавить действие = принять цепочку = переслать комментарий = интерфейс icmpv6 =! протокол sit1 = icmpv6
добавить действие = принять цепочку = переслать комментарий = "локальная сеть" в интерфейсе =! sit1 src-address-list = разрешено
добавить действие = удалить цепочку = прямой префикс журнала = IPV6

Author: admin

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *