基本概述
Mikrotik系列路由器也成RouterOS软路由,RouterOS是基于Linux内核的网络操作系统,其预装在MikroTik生产的路由器、无线设备以及RouterBOARD上。同时,它也可以安装在x86平台的个人电脑上,用于将电脑转化为路由器,并实现防火墙、虚拟专用网络服务器、强制门户网关等功能[4]。MikroTik也提供用于虚拟机和云服务的RouterOS镜像,其被称为云托管路由器(Cloud Hosted Router)。
互联网基于对Mikrotik路由器的攻击从未停止,基于路由安全考虑,需要对ros安全加固。
安全建议
在企业中使用,往往有在路由器上配置公网IP,并提供对外访问的接口,因此,为了安全起见:
1、禁止外网Ping路由器外网IP
2、修改管理员默认账号(admin)
3、设置高强度管理员密码
4、限制允许登录的IP网段
5、如有开启8291端口,使用winbox服务,需要禁止使用mac地址登录winbox,并对外关闭8291
端口扫描
通过使用nmap扫描ros外网IP开放端口,其中open为开放服务:
PORT STATE SERVICE VERSION
25/tcp filtered http smtp
53/tcp open domain Mikrotik Routeros named or openDns Updater #dns端口,上网必要80/tcp filtered
135/tcp filtered msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
443/tcp filtered https
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
1723/tcp open pptp #pptp2000/tcp open bandwidth-test krotik #带宽测试用于测试MikroTik路由器的吞吐量,/tool bandwidth-server set enabled=no(测试时开启即可)4343/tcp open ss1/unical1? #TCP 端口 4343 使用传输控制协议4444/tcp filtered krb524
8080/tcp filtered http-proxy
8291/tcp open http unknown #winbox通信协议端口,限制内网运维IP可以访问
安全加固设置
禁止外网Ping
设置Action为drop,Chain为input(内网设置为output),Protocol为icmp
关闭sstp pptp vpn服务
/interface pptp-server server set enabled=no
/interface sstp-server server set enabled=no
禁用Telnet,FTP,WWW,API,API-SSL
/ip service disable telnet,ftp,www,api,api-ssl
禁用通过mac地址使用winbox服务
/tool mac-server mac-winbox set allowed-interface-list=none
禁止SSH登录,只有在allow-addresses列表的IP才允许SSH登录,其它一概禁止
/ ip firewall filter
add chain=input protocol=tcp dst-port=21-22src-address-list=!allow-addressescomment="SSH &FTP"disabled=no
action=drop
定义allow_login IP地址
General
Chain:input
Protocol:TCP
DST Prot:8291
Advanced:
src address list:!allow_login (表示非allow_login列表地址)
action:
action:drop(动作拒绝)
log: 勾选log (自定义log prefix名称)
参考:
https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
https://zh.wikipedia.org/zh-hans/MikroTik
https://www.sklinux.com/posts/secrity/mikrotik%E8%B7%AF%E7%94%B1%E5%AE%89%E5%85%A8%E9%98%B2%E8%8C%83%E8%AE%BE%E7%BD%AE/
版权归原作者 超凡脫俗 所有, 如有侵权,请联系我们删除。