Zabezpieczenie Mikrotik’a
Przygotowanie do pracy nowego Mikrotika zazwyczaj polega na aktualizacji oprogramowania, ustawieniu hasła admina, konfiguracji interfejsów, firewalla, wifi i ewentualnie jakiegoś vpn’a. Są też jednak inne funkcje, które mają duży wpływ na bezpieczeństwo.
- Wyłączenie logowania z Winbox’a po adresie MAC
Zarządzanie zazwyczaj odbywa się po adresie IP, jednak można też nawiązać połączenie po adresie MAC. Ta opcja jest domyślnie włączona na wszystkich interfejsach. Wybieramy w Tools -> MAC Server -> MAC Winbox Server i ustawiamy None. - Wyłączenie logowania Telnet po adresie MAC
Analogicznie jak w przypadku poprzednim wybieramy w Tools -> MAC Server -> Telnet Server ustawiamy None. - Wyłączenie Neighbor Discovery
Funkcja Neighbor Discovery pozwala odszukać sąsiadujące urządzenia wspierające protokoły MNDP, LLDP oraz CDP. Za ich pomocą możemy pozyskać następujące informację o sąsiadujących urządzeniach: adres IP v4 i v6, adres MAC, model urządzenia i wersję oprogramowania, identyfikator, nazwę interfejsu oraz czas jaki upłynął od uruchomienia (uptime). Aby wyłączyć Neighbor Discovery wybieramy IP -> Neighbor -> Discovery Settings i ustawiamy None. - Wyłączenie nieużywanych usług (packages)
Kiedy nie używamy np. protokołu IPv6 czy Hotspot możemy je wyłączyć
System -> Packages -> IPv6 -> Disable
System -> Packages -> Hotspot -> Disable - Wyłączenie nieużywanych usług (services)
Podobnie jak w poprzednim przykładzie możemy wyłączyć nieużywane serwisy.
Opcje te znajdują się w IP -> Services, kiedy nie będziemy korzystać z Telnetu, SSH, FTP, API warto je wyłączyć.
Widok fragmentu listy Neighbors Discovery na interfejsie WAN 😉