Mikrotik Safeguard
Więcej miejsc do posłuchania:
Link do artykułu.
Transkrypcja
Cześć. Dzisiaj opowiem Ci jak poprawnie skonfigurować Mikrotika tak, aby był on bezpieczny. Pokażę Ci na co zwrócić uwagę oraz co w pierwszej kolejności należy zrobić kiedy kupimy Mikrotika i wyciągniemy go z pudełka. Zapraszam cię do obejrzenia materiału.
W pierwszej kolejności jeżeli kupiliśmy Mikrotika lub go dostaliśmy warto byłoby do niego zajrzeć. W tym celu uruchamiamy program WinBox i charakterystyczne dla świeżego Mikrotika jest adres IP. Jest on 192.168.88.1, domyślny login to admin hasła brak, klikamy Connect i zaczynamy taką poprawną wstępną konfigurację aby nasz Mikrotik był w miarę bezpieczny. Na początku jak można się domyśleć warto jest zmienić login oraz hasło. W tym celu klikamy system, następnie user i tutaj mamy domyślne konto admin. My dodamy nowe. Nazwiemy je netadminpro, damy jakieś hasło. Należy do grupy, która może edytować oraz odczytywać, klikamy OK.
Zanim usuniemy warto jest połączyć się jeszcze raz. Tak też zrobimy. Dlaczego? Ponieważ jeżeli coś zrobiliśmy źle to na tym etapie jeszcze mamy konto admina i możemy coś poprawić. A jakbyśmy usunęli i coś będzie źle no to niestety trzeba będzie całe urządzenie przywracać do ustawień fabrycznych. Więc sprawdzamy. Wpisujemy netadminpro, nasze hasło, klikamy Connect i jak widać wszystko jest OK więc w tym momencie możemy usunąć naszego domyślnego użytkownika. Wystarczy kliknąć minus, krzyżyk, krzyżyk i jeśli chodzi o zmianę użytkownika jest to pierwsze co powinniśmy zrobić przy nowym zakupie Mikrotika.
Do naszego Mikrotika możemy podłączyć się za pomocą różnych platform. Między innymi jest nasz program WinBox, którego gorąco zachęcam ale również możemy podłączyć się za pomocą SSH. Teraz wpiszemy login netadminpro, wpisze hasło. Tak wygląda ekran startowy ale również możemy połączyć się za pomocą zwykłej przeglądarki. Wpiszemy hasło, login. Wersja przeglądarkowa jest bardzo zbliżona do naszego programu ale zachęcam jednak używanie WinBoxa niż przeglądarki.
Dobrą praktyką jest wyłączenie możliwości logowania się przez rzeczy, których tak naprawdę nie używamy. W tym celu logujemy się na naszego Mikrotika, przechodzimy do IP i do naszych serwisów. Tutaj zaznaczamy wszystko i zostawiamy tylko naszego WinBoxa. Klikamy krzyżyk i w tym momencie do naszego Mikrotika będziemy mogli zalogować się tylko za pomocą programu WinBox. Oczywiście jeżeli ktoś potrzebuje innych usług, strony www bo na przykład lepiej mu się konfiguruje no to można to oczywiście zmienić. Ja uwielbiam WinBoxa więc zostawiam tylko i wyłącznie WinBoxa na porcie 8291.
Kolejną rzeczą są aktualizacje. Nieważne czy używamy wersji siódmej czy szóstej jak widać Mikrotik posiada jednak błędy, które są jednak łatane ale żeby zostały załatane należy go jednak aktualizować. Zachęcam gorąco zawsze do sprawdzenia jaką wersję Mikrotika macie aktualnie i czy możecie go zaktualizować. Często jest tak, że Mikrotik tak naprawdę nie ma najnowszej aktualizacji. No bo jeżeli leżał w sklepie przez jakiś dłuższy okres no to, no niestety sam się nie zaktualizował.
W tym celu klikamy system następnie paczki i sprawdzamy jaką mamy wersję oraz jaką wersję możemy mieć. Jak widać nawet mój Mikrotik, który był nawet niedawno zakupiony jest w wersji niższej niż może być. Tak naprawdę wystarczy kliknąć download, OK i tak naprawdę cały Mikrotik sam się zainstaluje. Gorąco zachęcam do aktualizowania swoich Mikrotików bo jednak dużo one, te aktualizacje naprawiają. Tutaj ludzie zgłaszają, jest to tutaj wszystko opisane, można poczytać jakie są podatności i w jakich
wersjach one zostały naprawione. Więc warto jednak zwrócić na to uwagę i aktualizować Mikrotika zawsze do najwyższej możliwej wersji. Nieważne czy używamy wersji 6 czy 7. Dbajmy o to aby ten Soft był jednak zawsze aktualny.
Jeżeli zmieniliśmy domyślnego użytkownika oraz sprawiliśmy, że możemy łączyć się do naszego Mikrotika tylko za pomocą WinBoxa warto jest zrobić jeszcze jedną rzecz. Tak skonfigurować Mikrotika abyśmy mogli połączyć się za pomocą WinBoxa tylko z określonego adresu IP. Bardzo fajnie to działa bo możemy ustawić nasz komputer jako jedyne urządzenie, które potrafi połączyć się przez WinBox naszym Mikrotikiem.
W tym celu klikamy IP naszego Firewalla i musimy tutaj stworzyć nową regułę. Klikamy w plusik, następnie wybieramy input, wpisujemy adres komputera z którego będziemy chcieli połączyć się za pomocą WinBoxa z naszym Mikrotikem. Ja tu wpiszę 192.168.88.88. Następnie musimy wpisać port – w przypadku WinBoxa jest to 8291 akcja akcept, klikamy OK i w tym momencie stworzyliśmy regułę, która na porcie 8291 oraz adresie z końcówką 88 przepuszcza połączenie. Oczywiście w tym momencie nasz Mikrotik przepuści każde połączenie z każdego adresu bo nie ma reguły, która tego zabrania.
Jak stworzyć regułę, która tego będzie zabraniać? Bardzo prosto. Wystarczy, że edytujemy teraz naszą regułę, klikniemy kopiuj i w miejscu gdzie mamy wpisane nasz adres jest taki mały kwadracik. Klikamy w niego -pojawi się taki wykrzyknik. On oznacza, że wszystko poza tym co wpisaliśmy. Czyli każdy adres poza tym adresem, który jest wpisany należy do tego wpisu. Za
chwilę sprawdzimy jak to działa w praktyce. Akcje ustawiamy na odrzuć bo chcemy wszystko odrzucić, co nie należy do tego adresu. Klikamy OK, OK, zamykamy naszego Winboxa i spróbujmy się połączyć. Jak widać nie działa.
Przejdźmy do ustawień karty sieciowej i zmieńmy adres na nasz ustawiony czyli 88. Klikamy OK i w tym momencie nasz WinBox znowu działa. A to dlatego ponieważ ten adres jest akceptowalny, każdy inny nie. Dlatego właśnie zachęcam zawsze tworzyć regułę, która akceptuje następnie ją kopiować i tworzyć odwrotną regułę do tej, którą stworzyliśmy. W ten
sposób bardziej będziemy panować nad regułami. No i z drugiej strony łatwiej się to konfiguruje. Oczywiście możemy tutaj ustawić dowolne adresy, możemy tego ustawić więcej, możemy całą podsieć ustawić. Nie ma to większego znaczenia co tutaj ustawimy ale zachęcam ogólnie do tworzenia tak reguł, aby właśnie jedno urządzenie, które jest nam zaufane albo podsieć, mogą łączyć się z siecią naszego Mikrotika za pomocą WinBoxa.
Ostatnią rzeczą na którą warto zwrócić uwagę jest logowanie się do naszego Mikrotika za pomocą Mac Adresu, ponieważ jeżeli wstawiliśmy reguły, że chcemy logować się do naszego Mikrotika tylko z poszczególnego adresu IP to niestety z adresu Mac mimo wszystko będzie można się podłączyć. Jak to wyłączyć? Wystarczy, że przejdziemy do Tools i tu jest MAC serwer – wyłączamy wszystko oraz MAC Ping Server również wyłączamy.
Sprawdźmy teraz czy za pomocą Mac Adresu dalej możemy się połączyć. Klikamy Connect, MAC adres jest wpisany. No i już nie działa więc przechodzimy na nasz adres IP, dajemy Connect, działa. Więc mamy pewność, że na pewno będziemy mogli się logować tylko za pomocą waszego adresu, tak jak wcześniej skonfigurowaliśmy naszego Firewalla. Ale zobaczmy jeszcze jedną rzecz.
Na naszym programie pojawia się nasz Mikrotik. Teraz jeżeli mamy Mikrotika w domu to nie ma potrzeby aby usuwać to z tej listy ale w firmie
czy większych sieciach dobrze by było jednak to usunąć. Czemu ma ktoś wiedzieć gdzie jest jakiś ukryty Mikrotik. W tym celu wystarczy się zalogować. Następnie klikamy IP i klikamy, nawet nie wiem jak to wypowiedzieć, sprawdźmy w Google, Neighbor List, klikamy i tu jest coś
takiego jak Discovery Settings. Klikamy i to również możemy wyłączyć, klikamy OK, przechodzimy do naszego WinBoxa, odświeżamy – jak widać już nic się nie pojawia więc jest trochę bezpieczniej.
Oczywiście w domu możemy to zostawić jak wspominałem ale jednak w firmie zachęcam aby to wyłączyć. Mam nadzieję, że podobał Ci się mój odcinek. Jeżeli chciałbyś pochwalić się swoją konfiguracją lub innymi pomysłami jak poprawnie zabezpieczyć Mikrotika, pisz w komentarzu poniżej. Do następnego odcinka, hej!