Mikrotik - maršrutizatorius, maršrutizatorius, prieigos taškas.

Kaip nustatyti Mikrotik? Kaip apsaugoti „Mikrotik“ nuo priešo įsibrovimų iš išorės?
Pradinė Mikrotik maršrutizatoriaus (maršrutizatoriaus) sąranka. Pradinė Mikrotik apsauga.

Norėdami apsaugoti savo Mikrotik maršrutizatorių, turite:
1. Pakeiskite administratoriaus slaptažodį.
2. Išjungti nereikalingas, nenaudojamas paslaugas.
3. Įjunkite NAT
4. Sukonfigūruokite užkardą – tvarkykite filtravimą ir paketų perdavimą.

P.S. po komandos nustatymo R, - maršrutizatorius ištrins visus nustatymus, bet ne slaptažodžius, prie jo galite prisijungti per WinBox per IP - 192.168.88.1

Nustatymai iš konsolės:
vardas admin, slaptažodis tuščias.
Jei pamiršite slaptažodį, vienintelis dalykas, kuris jus išgelbės, yra visiškas atstatymas - maršrutizatoriaus įdiegimas iš naujo!
Slaptažodžio keitimas:
> vartotojas redaguoti administratoriaus slaptažodį
Atsidaro redaktorius, įveskite Naujas Slaptažodis. Norėdami išsaugoti ir išeiti, paspauskite Ctrl+o (valiklis ir raidė o vienu metu)
Galite pridėti naują vartotoją tik tuo atveju:
>naudokite add name=mkt password=12345 group=full

Pažiūrėkime, kokios yra sąsajos:
> sąsajos spausdinimas


0 X ;;; WAN
eteris 1 eteris 1500 1600 1600
1 X ;;; LAN
eteris 2 eteris 1500 1600 1600

Suaktyvinkite tuos, kurių jums reikia:
>sąsajos įjungimas 0
> sąsajos įjungimas 1
> sąsajos spausdinimas
Vėliavos: D – dinamiška, X – išjungta, R – veikia, S – vergas
# PAVADINIMAS TIPAS MTU L2MTU MAX-L2MTU
0 R ;;; WAN
eteris 1 eteris 1500 1600 1600
1 R ;;; LAN
eteris 2 eteris 1500 1600 1600

Pažiūrėkime į IP:
> ip adreso spausdinimas
Pavyzdžiui, paimkite šiuos parametrus:
Teikėjas (internetas) - 195.196.10.50
GW (vartai) – 195.196.10.49
DNS serveris - 195.196.11.10, 195.196.12,10
Vietinis tinklas (vidinis) - 192.168.18.0/24
Pridėkite IP teikėją:
>IP adresas pridėti adresą=195.196.10.10/30 sąsaja=ether1
Pridėti vietinį:
>IP adresas pridėti adresą=192.168.18.0/24 sąsaja=ether2
Pažiūrėkime, kas atsitiko:
> ip adreso spausdinimas
Pridėti „Provo“ šliuzą:
> ip maršrutas pridėti vartai=195.196.10.49
Pažiūrėkime:
> ip maršruto spausdinimas

Pridėkite interneto tiekėjo DNS:
> IP dns rinkinio serveriai=195.196.11.10,195.196.12,10 allow-remote-request=yes

Įgalinti NAT (maskaradą):
> ip ugniasienė nat pridėti grandinė=srcnat veiksmas=masquerade out-interface=ether1
Po šių nustatymų vidinis tinklas turės prieigą prie interneto.

Konfigūruoti ugniasienę, t.y. būtina organizuoti paketų filtravimą (įvesties grandines) ir, žinoma, kad po apsaugos jūsų tinklas veiktų - organizuoti paketų perdavimą - tai yra tiesioginės grandinės:

P.S Pirmiausia eikite per WinBox - IP -> Firewall -> Service Port - išjunkite viską Išjunkite, palikite tai, ko reikia, būtent mūsų atveju pptp (VPN serveris), o jei norite naudoti įmontuotą FTP - ftp

Taisyklių pridėjimas:
ip ugniasienės filtras pridėti grandinė=input connection-state=netinkamas veiksmas=drop komentaras="Nuleisti netinkamus ryšius"
ip ugniasienės filtras pridėti grandinę=įvesties ryšio būsena=nustatytas veiksmas=priimti komentarą="Leisti užmegztus ryšius"
IP ugniasienės filtras pridėti grandinė=įvesties protokolas=udp veiksmas=priimti komentarą="Leisti UDP"
ip ugniasienės filtras pridėti grandinę=įvesties protokolas=icmp action=accept comment="Leisti ICMP"
ip ugniasienės filtras add chain=input src-address=192.168.0.0/24 action=accept comment="Leisti prieigą iš vietinio tinklo"
Kitos dvi taisyklės yra, jei norite per „Mikrotik“ nustatyti prieigą prie vidinio tinklo per VPN (pptp serverį)
Pirmasis atidaro 1723 prievadą, antrasis leidžia 47 protokolą (GRE).
ip ugniasienės filtras add chain=input action=accept protocol=tcp dst-port=1723 comment="Leisti prieigą prie VPN"
ip ugniasienės filtras pridėti grandinė = įvesties veiksmas = priimti protokolą = gre komentaras = "Jei turite VPN (pptp serverį)"
Ši taisyklė leidžia prisijungti prie „Mikrotik“ per „WinBox“ (numatytasis prievadas 8291)
P.S Natūralu, kad reikia sukonfigūruoti „IP Service LIST“ IP -> Services -> IP Service List, spustelėkite winbox eilutę, atsidarys duomenų redagavimo langas -> pakeiskite IP į tą, iš kurio jungsitės, tą patį reikia padaryti su SSH ir WWW , išjungti visas kitas paslaugas - išjungti. (ip_address_allow – jūsų IP)
ip ugniasienės filtras add chain=input action=accept protocol=tcp src-address=ip_address_allow dst-port=8291 comment="Leisti prieigą per WinBox"
ip ugniasienės filtras add chain=input action=accept protocol=tcp src-address=ip_address_allow dst-port=22 comment="Leisti prieigą per SSH"
ip ugniasienės filtras add chain=input action=accept protocol=tcp src-address=ip_address_allow dst-port=80 comment="Leisti prieigą per WWW"
Jei norite naudoti integruotą FTP:
ip ugniasienės filtras add chain=input action=accept protocol=tcp src-address=ip_address_allow dst-port=21 comment="Leisti prieigą prie FTP"
Visa kita susmulkiname:
ip ugniasienės filtras pridėti grandinė=įvesties veiksmas=drop komentaras="Nuleisti atmesti visus kitus"

Norėdami apsaugoti savo tinklą, turite patikrinti visą eismą
maršrutizatorius ir blokuoti nepageidaujamus.

ip ugniasienės filtras pridėti grandinė=persiuntimo protokolas=tcp connection-state=neleistinas veiksmas=drop komentaras="Pašalinti netinkamus ryšius"
ip ugniasienės filtras pridėti grandinę=persiųsti ryšio būseną=nustatytas veiksmas=priimti komentarą="Leisti jau užmegztus ryšius"
ip ugniasienės filtras pridėti grandinė=persiųsti ryšio būseną=susijęs veiksmas=priimti komentarą="Leisti susijusius ryšius"
Tik tuo atveju leidžiame perduoti GRE protokolą:
IP ugniasienės filtras pridėti grandinę=persiųsti protokolą=gre action=accept comment="Leisti GRE"
Jei turite VPN serverį, leiskite prievadui 3389 paleisti RDP (nuotolinį darbalaukį).
ip ugniasienės filtras pridėti grandinė=persiųsti protokolą=tcp dst-port=3389 action=accept comment=“Leisti 3389″

Blokuojame vidinių tinklų IP adresus.
ip ugniasienės filtras pridėti grandinę=persiųsti src-adresas=0.0.0.0/8 action=drop
ip ugniasienės filtras pridėti grandinę=persiųsti dst-adresas=0.0.0.0/8 action=drop
ip ugniasienės filtras pridėti grandinė=persiųsti src-adresas=127.0.0.0/8 action=drop
ip ugniasienės filtras pridėti grandinė=persiųsti dst-adresas=127.0.0.0/8 action=drop
ip ugniasienės filtras pridėti grandinė=persiųsti src-adresas=224.0.0.0/3 action=drop
ip ugniasienės filtras pridėti grandinė=persiųsti dst-adresas=224.0.0.0/3 action=drop

Arba:
IP ugniasienės filtras pridėti grandinės persiuntimo protokolą=udp action=accept comment="Leisti UDP"
ip ugniasienės filtras pridėti grandinės persiuntimo protokolą=icmp action=accept comment="Leisti ICMP Ping"
Arba:
Icmp, udp ir tcp srautui sukursime grandines, kuriose pašalinsime nepageidaujamus paketus:
Sukurkime perėjimą prie naujų grandinių
ip ugniasienės filtras pridėti grandinę=persiųsti protokolą=tcp veiksmas=šuolis šuolis-target=tcp
ip ugniasienės filtras pridėti grandinė=persiųsti protokolą=udp veiksmas=šuolis jump-target=udp
ip ugniasienės filtras pridėti grandinė=persiųsti protokolą=icmp veiksmas=šuolis jump-target=icmp

Sukurkime tcp grandinės tcp taisykles ir uždrauskime kai kuriuos prievadus:
ip ugniasienės filtras pridėti grandinė=tcp protokolas=tcp dst-port=69 action=drop comment=“Atmesti TFTP“
ip ugniasienės filtras pridėti grandinė=tcp protokolas=tcp dst-port=111 action=drop comment=“Neleisti RPC portmapper“
ip ugniasienės filtras pridėti grandinė=tcp protokolas=tcp dst-port=135 action=drop comment=“Neleisti RPC portmapper“
ip ugniasienės filtras pridėti grandinę=tcp protokolas=tcp dst-port=137-139 action=drop comment="Atmesti NBT"
ip ugniasienės filtras pridėti grandinę=tcp protokolas=tcp dst-port=445 action=drop comment="Neleisti CIF"
ip ugniasienės filtras pridėti grandinę=tcp protokolas=tcp dst-port=2049 action=drop comment="Neleisti NFS"
ip ugniasienės filtras pridėti grandinė=tcp protokolas=tcp dst-port=12345-12346 action=drop comment=“Deny NetBus“
ip ugniasienės filtras pridėti grandinė=tcp protokolas=tcp dst-port=20034 action=drop comment=“Deny NetBus“
ip ugniasienės filtras pridėti grandinė=tcp protokolas=tcp dst-port=3133 action=drop comment=“Atmesti BackOriffice“
ip ugniasienės filtras pridėti grandinė=tcp protokolas=tcp dst-port=67-68 action=drop comment="Deny DHCP"

Išjunkite udp grandinės udp prievadus:
ip ugniasienės filtras pridėti grandinę=udp protokolas=udp dst-port=69 action=drop comment="Atmesti TFTP"
ip ugniasienės filtras pridėti grandinė=udp protokolas=udp dst-port=111 action=drop comment=“Neleisti PRC portmapper“
ip ugniasienės filtras pridėti grandinė=udp protokolas=udp dst-port=135 action=drop comment=“Neleisti PRC portmapper“
ip ugniasienės filtras pridėti grandinę=udp protokolas=udp dst-port=137-139 action=drop comment="Atmesti NBT"
ip ugniasienės filtras pridėti grandinę=udp protokolas=udp dst-port=2049 action=drop comment="Neleisti NFS"
ip ugniasienės filtras pridėti grandinę=udp protokolas=udp dst-port=3133 action=drop comment="Atmesti BackOriffice"

Leiskime tik būtinus icmp grandinės icmp kodus:
ip ugniasienės filtras pridėti grandinė=icmp protokolas=icmp icmp-options=0:0 action=accept comment=»Pašalinti netinkamus ryšius»
ip ugniasienės filtras pridėti grandinę=icmp protokolas=icmp icmp-options=3:0 action=accept comment="Dllow užmegztus ryšius"
ip ugniasienės filtras pridėti grandinę=icmp protokolas=icmp icmp-options=3:1 action=accept comment=»Leisti jau užmegztus ryšius»
ip ugniasienės filtras pridėti grandinė=icmp protokolas=icmp icmp-options=4:0 action=accept comment=“Leisti šaltinio gesinimą“
ip ugniasienės filtras pridėti grandinę=icmp protokolas=icmp icmp-options=8:0 action=accept comment="Leisti aido užklausą"
ip ugniasienės filtras pridėti grandinė=icmp protokolas=icmp icmp-options=11:0 action=accept comment="Leisti viršyti laiką"
ip ugniasienės filtras pridėti grandinė=icmp protokolas=icmp icmp-options=12:0 action=accept comment=“Leisti blogą parametrą“
ip ugniasienės filtras pridėti grandinę=icmp veiksmas=nuleisti komentarą=»neleisti visų kitų tipų»

Gamintojo Mikrotik maršrutizatoriai tampa vis populiaresni dėl patrauklios kainos ir gausaus funkcionalumo. Galbūt SOHO segmente Mikrotik yra lyderis. Šiandien norime pakalbėti apie naudingas konfigūravimo parinktis, kurios padės sustiprinti atsparumą išoriniams atakoms ir užtikrinti stabilų Jūsų biuro Mikrotik darbą.

Mikrotik apsauga

1. Administratoriaus prisijungimo ir slaptažodžio keitimas

Pradėkime nuo pagrindinės maršrutizatoriaus apsaugos – nuo ​​įsilaužimo atsparaus administratoriaus prisijungimo ir slaptažodžio sukūrimo. Pagal numatytuosius nustatymus Mikrotik naudoja prisijungimą admin ir tuščią slaptažodį. Pataisykime tai: per Winbox prisijunkite prie mūsų maršrutizatoriaus ir eikite į nustatymų skyrių Sistema → Vartotojai. Mes matome vartotoją admin kuris yra sukonfigūruotas pagal numatytuosius nustatymus:

Pridėkime naują vartotoją, kuris turės griežtesnę informaciją apie įsilaužimą (prisijungimo vardą / slaptažodį). Norėdami tai padaryti, spustelėkite „+“ piktogramą viršutiniame kairiajame kampe:

Atkreipkite dėmesį, kad lauke Grupė turite pasirinkti pilnas suteikti vartotojui administravimo teises. Atlikę nustatymus, ištrinkite vartotoją admin ir nuo šiol prisijungimui prie administravimo sąsajos naudojame tik naują vartotoją.

2. Aptarnavimo prievadai

„Mikrotik“ maršrutizatorius „sujungė“ kai kurias paslaugas, kurių prievadai pasiekiami iš viešojo interneto. Galbūt tai yra jūsų tinklo grandinės pažeidžiamumas. Todėl siūlome pereiti į nustatymų skyrių IP → Paslaugos:

Jei „Mikrotik“ pasiekiate tik per „Winbox“, siūlome išjungti visas paslaugas, išskyrus winbox Ir ssh(palikite ssh tam atvejui), būtent:

• api-ssl
• www-ssl

Norėdami išjungti, spustelėkite raudoną „x“ piktogramą. Nuo tada, kai išvykome SSH prieigą prie serverio, „apsaugokime“ jį pakeisdami prievadą iš 22 į 6022. Norėdami tai padaryti, dukart spustelėkite SSH paslaugos prievadą ir atsidariusiame lange nurodykite nustatymą:

Spustelėkite Taikyti Ir Gerai.

3. Apsauga nuo brutalios jėgos (žalia jėgos)

Oficialioje „Mikrotik“ svetainėje yra rekomendacijų, kaip apsaugoti maršrutizatorių nuo slaptažodžio, naudojant FTP ir SSH prieigą. Ankstesniame veiksme uždarėme FTP prieigą, todėl jei griežtai laikotės šių nurodymų, naudokite tik kodą, kad apsisaugotumėte nuo SSH atakų. Kitu atveju nukopijuokite abu. Taigi atidarykite maršrutizatoriaus valdymo terminalą. Norėdami tai padaryti, dešiniajame naršymo meniu spustelėkite Naujas terminalas. Paeiliui nukopijuokite toliau pateiktą kodą į maršrutizatoriaus konsolę:

/ip ugniasienės filtras #Blokuoti FTP atakas add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \ comment="drop ftp brute forcers" add chain=output action=accept protocol=tcp content ="530 Prisijungimas neteisingas" dst-limit=1/1m,9,dst-address/1m add chain=output action=add-dst-to-address-list protocol=tcp content="530 Prisijungimas neteisingas" \ adresų sąrašas =ftp_blacklist address-list-timeout=3h #Blokuoti atakas per SSH add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \ comment="drop ssh brute forcers" išjungta=nepridėti grandinės =input protocol=tcp dst-port=22 connection-state=new \ src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \ address-list-timeout=10d comment= " " Disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new \ src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \ address-list - timeout=1m comment="" išjungta=no add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \ action=add-src-to-address-list address-list = ssh_stage2 address-list-timeout=1m comment="" išjungta=no add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \ address-list=ssh_stage1 adresas -list-timeout=1m komentaras="" išjungta=ne

Konfigūracijos atsarginės kopijos kūrimas

Jei maršrutizatorius sugenda ar nelaimingas atsitikimas, turite turėti jo konfigūraciją, kad galėtumėte greitai atkurti. Tai padaryti labai paprasta: atidarykite terminalą spustelėdami naršymo meniu Naujas terminalas ir nurodykite šią komandą:

Eksportuoti failą=backup2020-02-10_01:01:22

Failą galite rasti naršymo meniu spustelėję skyrių Failai. Atsisiųskite jį į savo kompiuterį dešiniuoju pelės mygtuku spustelėdami ir pasirinkdami parsisiųsti

Blokuoti prieigą prie svetainės

Darbo valandomis darbuotojai privalo dirbti. Todėl užblokuokime prieigą prie pramoginių išteklių, tokių kaip Youtube, Facebook ir Vkontakte. Norėdami tai padaryti, eikite į skyrių IP → Ugniasienė. Spustelėkite skirtuką 7 sluoksnio protokolas tada spustelėkite piktogramą „+“ viršutiniame kairiajame kampe:

Suteikiame pavadinimą savo taisyklei, kuri veiks 7 OSI modelio lygyje, o skyriuje Regexp pridedame:

^.+(youtube.com|facebook.com|vk.com).*$

Spustelėkite Gerai ir eikite į skirtuką Filtro taisyklės ir spustelėkite „+“ piktogramą:

Skiltyje Grandinė pasirinkite Persiųsti. Tame pačiame lange eikite į skirtuką Išplėstinė ir lauke Layer 7 Protocol pasirinkite mūsų sukurtą blokavimo taisyklę:

Eikite į skirtuką Veiksmas, ir ten pasirinkite Veiksmas = Drop:

Kai nustatymai bus baigti, spustelėkite Taikyti Ir Gerai.

Ar šis straipsnis buvo jums naudingas?

Prašau pasakyk kodėl?

Atsiprašome, kad straipsnis jums nebuvo naudingas: (Prašau, jei nesunku, nurodykite kodėl? Būsime labai dėkingi už išsamų atsakymą. Dėkojame, kad padėjote mums tapti geresniais!

Brutalia jėga yra tada, kai kas nors bando, kartais ilgai ir sunkiai, atspėti mūsų slaptažodį bet kam, naudodamas brutalią jėgą. Linux sistemoje fail2ban sėkmingai naudojamas apsisaugoti nuo to. Mikrotik tokio malonumo nėra, todėl turėsime malonumą savo rankomis sukurti apsaugą nuo brutumo.

Visas komandų sąrašas, kurį tikriausiai matėte oficialiame wiki (http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention):

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" išjungta=ne
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment=" " išjungta = ne
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment=" " išjungta = ne
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=" " išjungta = ne
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" išjungta=ne

Ir internete yra daug vietų, kur galima įsigyti šį rinkinį. Aš tik šiek tiek paaiškinsiu, ką tai daro.

Idėja tokia: mes suteikiame tris teisėtus bandymus per trumpą laiką prisijungti per ssh (22/tcp, jei turite kitą prievadą, naudokite savo). Ketvirtuoju bandymu mes jus užblokuojame 10 dienų. Mes turime teisę. Taigi, žingsnis po žingsnio.

1. Užmegzdami naują ryšį (connection-state=new) su prievadu 22/tcp, prisimename šaltinio ip ir įdedame jį į „ssh_stage1“ sąrašą 1 minutei:

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" išjungta=ne

2. Jei per šią minutę šis „kažkas“ (o mes jį prisimename „ssh_stage1“) dar kartą norės užmegzti naują ryšį su 22/tcp, įtrauksime jį į sąrašą „ssh_stage2“, taip pat 1 minutę:

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=" " išjungta = ne

3. Jei per šią minutę šis „kažkas“ (dabar jis yra „ssh_stage2“) vėl nori prisijungti prie 22/tcp, įtraukiame jį į sąrašą „ssh_stage3“ (taip, atspėjote, vėl 1 minutę):

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment=" " išjungta = ne

4. Jei jis atkaklus, tai gerai, mes įtrauksime jį į savo „juodąjį sąrašą“ „ssh_blacklist“ 10 dienų, nes tai nesvarbu.

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment=" " išjungta = ne

5. Ir su šia komanda mes be jokios abejonės uždraudžiame visus iš „ssh_blacklist“ sąrašo (atkreipkite dėmesį, kad taisyklė pagal numatytuosius nustatymus yra neaktyvi):

pridėti grandinė=įvesties protokolas=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" išjungta=taip

Realiai, kai padariau tokią schemą ir bandžiau prisijungti iš Linux konsolės prie išorinio savo mikrotik ip, jau antruoju bandymu (o ne 3 ar 4) „attacker“ ip buvo įtrauktas į „ssh_blacklist“. “ sąrašą. Aš nenaudoju ssh prie Mikrotik, todėl mano atveju tai nėra mirtina, bet jei taip jungiatės nuotoliniu būdu, tada Iš pradžių gali būti naudinga neįjungti draudimo taisyklės (išjungta = taip). Tegul jie patenka į sąrašą, jokių klausimų. Praktiškai įvertinkite, kiek kartų iš eilės reikia prisijungti, kad patektumėte į uždraustų asmenų sąrašą. Po patikrinimų suaktyvinkite uždraudimo taisyklę pagal sąrašą „ssh_blacklist“! Atsiprašau, kad komandos ilgos, bet analizatorius suvalgo pasvirąjį brūkšnį, todėl jis patenka į vieną eilutę.