Данные правила рекомендуется применять ко всем моделям маршрутизаторов(роутеров) MikroTik, как базовая защита от внешних атак, а также особенностей и изъянов прошивки:

  1. Обновление прошивки до актуальной;
  2. Создание новой учётной записи для администратора;
  3. Пример базовых правил Firewall;
  4. Деактивация неиспользуемых служб: telnet, www, ftp, ssh и тд.;
  5. Ограничение по автообнаружению Neigbors устройств MikroTik;
  6. Отключение функций MAC Server.

Базовая защита роутера MikroTik

Внимание! Некоторые настройки будут содержать значения “Address List“, такие как WAN и LAN(ознакомиться с настройкой )

Базовая настройка защиты роутера MikroTik

В качестве примера будет взят маршрутизатор(роутер) MikroTik hAP ac2 как самое популярное решения для дома и офиса 2019-2020гг.

Базовая защита роутера MikroTik hAP ac2

Обновление прошивки до актуальной версии

Одной из важной задачей при вводе в эксплуатацию нового устройства MikroTik: маршрутизатора(роутера), коммутатора(свчитча) или точки доступа WiFi это обновление прошивки. Чаще всего это имело рекомендованный характер, но недавний инцидент с «back door» в категории long-term указал но то, что актуальность прошивки на устройствах MikroTik имеет критический характер.

Нужно больше правил Firewall? Ознакомиться можно в статье “Настройка Firewall в MikroTik

Настройка находится в System→Packages

Как настроить роутер MikroTik, версия прошивки

Действия в кнопке Download&Install произведут закачку выбранной редакции прошивки и автоматическую перезагрузку устройства. Установка будет произведена в момент загрузки. Не выключайте устройство до полной перезагрузки и обеспечьте стабильное питание электросети при обновлении прошивки.

Как настроить роутер MikroTik, обновление прошивки

Редакции прошивок MikroTik

  • long term(bug fix only) — самая стабильная версия. Рекомендовано для производственных сред!
  • stable(current) — long term плюс поддержка новых функций. Новые технологии это всегда хорошо.

Другие редакции не рекомендуется устанавливать в рабочие устройства, т.к. это может привести к нежелательным последствиям.

Важным дополнением в обновлении прошивки является обновление Current Firmware — это аппаратная прошивка, аналог BIOS в компьютере.

Настройка находится тут System→Routerboard

Как настроить роутер MikroTik, обновление прошивки Current Firmware

Изменения вступят в силу после перезагрузки устройства(System→Reboot).

Создание новой учётной записи администратора

Самые распространенные случаи взлома маршрутизаторов(роутеров) MikroTik связаны с игнорированием контроля учётных записей. Частым случаем можно встретить отсутствие пароля как такового, но и происходят более сложные взломы на уровне прошивки.

Настройка находится в System→Users

Настройка MikroTik hAP ac2, добавление нового пользователя

добавление нового пользователя с полными правами:

/user add name="admin-2" password="PASSWORD" group=full

деактивация старого пользователя:

/user set [find name="admin"] disable="yes"

Добавление Address List

Настройка находится в Interfaces→Interface List

Защита роутера MikroTik, базовая настройка Firewall, добавление Address List

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface list member
add interface=Bridge-LAN list=LAN
add interface=ether1 list=WAN

Пример базовых правил MikroTik Firewall(Default Rules)

Данные список правил содержится в заводской конфигурации и способен защитить маршрутизатор(роутер) MikroTik от большинства попыток взлома, а также ускоряет работу устройства.

Настройка находится в IP→Firewall→Filter Rules

Защита роутера MikroTik, базовые правила Firewall

/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN

Деактивация неиспользуемых служб: telnet, www, ftp, ssh

Настройка находится в IP→Services

Защита роутера MikroTik, базовая настройка Firewall, деактивация telnet, www, ftp, ssh

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes

Ограничение по автообнаружению(Discovery) Neighbors

Если не обратить внимание на эту опцию, то маршрутизатор(роутер) MikroTik будет отображаться как Neighbor на порту провайдера. Используя утилиту Winbox злоумышленник может выявить все устройства MikroTik и подвергнуть их взлому или атаке.

Настройка находится в IP→Neighbors

Защита роутера MikroTik, базовая настройка Firewall, ограничение по автообнаружению Discovery, Neighbors

/ip neighbor discovery-settings
set discover-interface-list=LAN

Отключение функций MAC Server

Настройка содержит три опции:

MAC Telnet Server

Рекомендуется активировать только для списка LAN.

Защита роутера MikroTik, базовая настройка Firewall, MAC Telnet Server

MAC WinBox Server

Рекомендуется активировать только для списка LAN.

Защита роутера MikroTik, базовая настройка Firewall, MAC Winbox Server

MAC Ping Server

Рекомендуется деактивировать.

Защита роутера MikroTik, базовая настройка Firewall, MAC Ping Server

/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool mac-server ping
set enabled=no

Есть вопросы или предложения по настройке базовых правил Firewall в MikroTik? Активно предлагай свой вариант настройки! Оставить комментарий