Jak dobrze zabezpieczyć Mikrotika

Wstęp

Zakup urządzenia MikroTik nowego czy też używanego wiąże się z koniecznością wykonania pewnych działań. Każde urządzenia pomimo, że posiada domyślną konfigurację i praktycznie jest gotowe do pracy, to warto zawsze przyjrzeć się takiej konfiguracji. Poniżej dobre praktyki konfiguracji MikroTika, które pozwolą znacznie zwiększyć bezpieczeństwo.

Instrukcję w formie video obejrzysz tutaj 🙂

Zmiana Loginu oraz Hasła
Wyłączenie zbędnych usług oraz aktualizacja
Konfiguracja logowania pod konkretny adres IP
Wyłączenie logowania po MAC
Wyłączenie wykrywania Mikrotika w WinBoxie
Podsumowanie

Zmiana Loginu oraz Hasła

Na początku naszej konfiguracji Mikrotika warto rozpocząć od zmiany loginu oraz hasła. W tym celu w menu klikamy SYSTEM, a następnie USERS. Teraz wystarczy, że klikniemy plusik.

dobre praktyki
New User
  • Name: tutaj podajemy nowy login 
  • Group: możemy określić do jakiej grupy nasz użytkownik ma należeć
  • Allowed Address: możemy tutaj wpisać adres, który będzie dopuszczony do zalogowania się 
  • Last Logged In: ostanie logowanie
  • Password: tutaj podajemy hasło dla naszego nowego użytkownika
  • Confirm Password: powtarzamy hasło, które wpisaliśmy wyżej

Dobre praktyki mówią aby w pierwszej kolejności zawsze ustawić nowego użytkownika! Kiedy stworzymy nowego użytkownika warto jest wrócić i usunąć konto admin.

dobre praktyki
User List

Wystarczy w tym celu kliknąć na admin i kliknąć minus.

Uwaga! Nim usuniemy użytkownika, wcześniej warto się zalogować i sprawdzić czy nasz nowy użytkownik działa poprawnie i czy hasło, które ustawiliśmy działa. Dobrą praktyką jest wpisanie nowego hasła do menedżera haseł. 

Wyłączenie zbędnych usług oraz aktualizacja

Dobrym rozwiązaniem jest wyłączenie niepotrzebnych usług. Jeżeli logujemy się do naszego Mikrotika tylko wyłącznie za pomocą programu WinBox to wyłączamy  dostęp przez stronę internetową, czy też protokół SSH. Ogólna zasada jest taka, aby wyłączyć tą usługę, z której nie będziemy korzystać. Jeżeli uważasz, że będziesz korzystać z wszystkiego, daj sobie tydzień czasu i sprawdź co tak naprawdę najbardziej jest Ci potrzebne. Mało prawdopodobne jest, że będziesz korzystać ze wszystkich usług. 

Wyłączenie usług jest bardzo proste. Klikamy w IP, a następnie w Services.

dobre praktyki
IP Service List

Pamiętajmy! Zostawiamy tylko te usługi, które są nam niezbędne! Możemy również tutaj zmienić domyślny port, na którym działa usługa, co również zwiększa bezpieczeństwo! 

Warto również od razu sprawdzić w jakim stanie jest nasz MikroTik. Czyli sprawdzamy czy wyszła aktualizacja dla naszego MikrTika. W tym celu klikamy w SYSTEM, a następnie PACKAGES.

dobre praktyki
Check For Updates

Dobrze jest aby Latest Version pokrywało się z Installed Version. Jeżeli tak nie jest, klikamy w przycisk Download & Install

Konfiguracja logowania pod konkretny adres IP

Naszego Mikrotika możemy również skonfigurować tak, aby zalogowanie się do naszej usługi było możliwe tylko z konkretnego adresu IP. Jeżeli korzystamy z WinBoxa to możemy tak ustawić nasz Firewall, aby dostęp za pomocą programu był tylko możliwy z konkretnego adresu. W tym celu klikamy w IP, a następnie w FIREWALL. Teraz wystarczy, że klikniemy plusik i dodamy nową regułę.

dobre praktyki
New Firewall Rule
  • Chain: ustawiamy na INPUT
  • Src. Address: 192.168.88.88, czyli tylko z tego adresu będziemy mogli się połączyć
  • Protocol: 6 (tcp)
  • Dst. Port: 8291 port dla usługi WinBox, jeżeli mamy inną usługę lub port to zmieniamy na nasz port jaki wcześniej sobie ustawiliśmy.
  • Zakładka Action: accept

Teraz musimy stworzyć regułę, która odrzuci wszystkie inne połączenia. Taką regułę możemy bardzo szybko stworzyć. Wystarczy, że na poprzedniej klikniemy przycisk COPY i teraz modyfikujemy naszą regułę.

Jeżeli chcemy stosować dobre praktyki musimy tak tworzyć firewall aby wszystko blokować, a następnie odblokowywać to co potrzebujemy!

dobre praktyki
New Firewall Rule

Wystarczy, że klikniemy teraz w kwadracik przy Src. Address.

Naszym oczom ukaże się wykrzyknik w kwadraciku. Oznacza to dosłownie “wszystko poza”. Czyli dla naszej reguły będzie to oznaczać, zablokuj wszystko poza tym adresem.

W zakładce action zmieniamy z accept na drop.

Wyłączenie logowania po MAC

Mikrotik jest bardzo fajnym urządzeniem, które również pozwala zalogować się po MAC adresie. Jest to oczywiście często pomocne przy początkowym wdrażaniu urządzenia w sieci. Jeżeli mamy już wdrożonego i skonfigurowanego wstępnie mikrotika warto jest wyłączyć możliwość logowania się po MAC adresie. Powyżej stworzyliśmy regułę, która umożliwia logowanie się tylko z konkretnego adresu IP, ale nie zabezpiecza ona przed logowaniem się właśnie przez MAC adres.

netadminpro
WinBox

Wyłączenie usługi logowania się po MAC adresie jest bardzo proste. Wystarczy, że zalogujemy się z naszego zaufanego adresu ip za pomocą WinBoxa do panelu, klikniemy z lewej strony w TOOLS, a następnie w MAC Server.

ustawienia
MAC Server

Klikamy w przycisk MAC WinBox Server i z listy wybieramy none. Będąc w tym miejscu tą samą operację powtarzamy dla pozostałych usług. Czyli dla MAC Telnet Server, MAC WinBox Server oraz MAC Ping Server ustawiamy wszędzie na NONE.

Teraz już nie będzie możliwe logowanie się po MAC adresie!

Wyłączenie wykrywania Mikrotika w WinBoxie

Kiedy już zmieniliśmy domyślny login oraz stworzyliśmy nowego użytkownika, który może logować się tylko i wyłącznie z naszego przypisanego do firewalla adresu IP to na samym końcu warto jest zrobić jeszcze jedną rzecz. Mianowicie wyłączamy aby nasz WinBox nie pokazywał, że w sieci jest MikroTik. Po co postronne osoby w sieci, które ściągną program mają wiedzieć, że takie urządzenie jest w sieci. Dobre praktyki mówią o wyłączeniu wykrywania. Zrobienie tego jest bardzo proste. Klikamy w IP, a następnie w NEIGHBORS.

ustawienia
Discovery Settings

Klikamy w DISCOVERY SETTINGS i w polu INTERFACE wybieramy NONE Od teraz nasz mikrotik nie będzie widoczny dla programu WinBox.

Podsumowanie

Podsumowując tak przygotowana konfiguracja jest zdecydowanie bardziej bezpieczna niż konfiguracja domyślna. Oczywiście nic nie stoi na przeszkodzie modyfikować całą konfigurację. Możemy nawet wykorzystać metodę PORT KNOCKIG i tworzyć własne scenariusze. Im bardziej komplikuje się proces logowania, tym bardziej zwiększamy bezpieczeństwo. Oczywiście pamiętajcie aby robić wszystko w granicach rozsądku! 

Film przedstawiający dobre praktyki jak dobrze zabezpieczyć Mikrotika TUTAJ