8-800-350-09-12

Заказать звонок

Задать вопрос

Войти

[email protected]

Склады:

Московская область:

Люберецкий район, г. Котельники
Пушкинский район, городское поселение Софрино
Ленинский р-н, ПГТ Горки Ленинские

г. Санкт-Петербург

г. Воронеж

г. Новосибирск

Главный офис и пункт самовывоза:

г. Новосибирск, ул. Народная 3, офис 304

Отложенные 0 Корзина 0

Контактная информация

Склады:

Московская область:

Люберецкий район, г. Котельники
Пушкинский район, городское поселение Софрино
Ленинский р-н, ПГТ Горки Ленинские

г. Санкт-Петербург

г. Воронеж

г. Новосибирск

Главный офис и пункт самовывоза:

г. Новосибирск, ул. Народная 3, офис 304

[email protected]

Защита маршрутизатора MikroTik

14 октября 2024 0:00

Рекомендации по дополнительной защите вашего устройства с помощью уже настроенных правил брандмауэра

Версия RouterOS

Начните с обновления версии RouterOS. Некоторые старые версии имели определенные слабости или уязвимости, которые были исправлены. Обновляйте свое устройство, чтобы быть уверенным в его безопасности. Нажмите «check for updates» в WinBox или WebFig, чтобы обновиться.

Доступ к маршрутизатору

Имя пользователя для доступа

Измените имя пользователя по умолчанию admin на другое имя. Пользовательское имя помогает защитить доступ к вашему маршрутизатору, если кто-то имеет прямой доступ к вашему маршрутизатору:

/user add name=myname password=mypassword group=full
/user disable admin

Пароль доступа

Маршрутизаторы MikroTik требуют настройки пароля, мы предлагаем использовать генератор паролей для создания безопасных и неповторяющихся паролей. Под безопасным паролем подразумевается:

Минимум 12 символов;
Включайте цифры, символы, заглавные и строчные буквы;
Не является словарным словом или комбинацией словарных слов;

/user set myname password="!={Ba3N!"40TуX+GvKBz?jTLIUcx/,"

RouterOS MAC-доступ

RouterOS имеет встроенные опции для легкого управления доступом к сетевым устройствам. Конкретные службы должны быть отключены в производственных сетях: MAC-Telnet, MAC-WinBox и MAC-Ping:

/tool mac-server set allowed-interface-list=none
/tool mac-server mac-winbox set allowed-interface-list=none
/tool mac-server ping set enabled=no

Neighbor Discovery

Протокол обнаружения соседей MikroTik используется для отображения и распознавания других маршрутизаторов MikroTik в сети. Также рекомендуется отключить обнаружение соседей на всех интерфейсах:

/ip neighbor discovery-settings set discover-interface-list=none

Bandwidth server

Для проверки пропускной способности между двумя маршрутизаторами MikroTik используется Bandwidth server

. Отключите его в производственной среде:

/tool bandwidth-server set enabled=no

DNS-кэш

На маршрутизаторе может быть включен DNS-кэш, что сокращает время разрешения DNS-запросов от клиентов к удаленным серверам. В случае, если DNS-кэш на вашем маршрутизаторе не требуется или для этих целей используется другой маршрутизатор, отключите его:

/ip dns set allow-remote-requests=no

Прочие клиентские службы

RouterOS может иметь другие включенные службы (они отключены в конфигурации RouterOS по умолчанию). Кэширующий прокси-сервер MikroTik, socks, UPnP и облачные службы:

/ip proxy set enabled=no
/ip socks set enabled=no
/ip upnp set enabled=no
/ip cloud set ddns-enabled=no update-time=no