Mikrotik Закрыть Доступ в Интернет по ip • Настройка времени
Маршрутизаторы должны управляться только через защищенные протоколы, и эти протоколы должны использовать надежные шифры Сначала давайте установим пароль для пользователя admin по умолчанию, а затем изменим имя администратора на что-то другое, кроме admin. И последнее, но далеко не наименее важное, мы создадим резервную копию новой конфигурации, которая может быть загружена с маршрутизатора и будет храниться с другими резервными копиями.
Как защитить Mikrotik, безопасность Микротик.
В последнее время Микротик чаше других производителей на слуху в плане обнаруженных уязвимостей, которые так или иначе решаются частично обновлением bugfix прошивкой. Обновление прошивки вещи полезная, но не является гарантией, что вы полностью защищены от внешних, внутренних факторов.
На нашем канале на Youtube , мы сделали видеообзор о мерах, которые помогут вам защитить Mikrotik.
Пришло время продублировать инструкцию в текстовый вид. Начнем от самого простого, банального к сложному.
1. Меняем пароль на учетной записи admin на Mikrotik.
Если у вас кроме учетной записи admin есть еще какая-то неизвестная вам, убедитесь, что она на самом деле не используются вашими коллегами или кем-то из знакомых в добрых целях. В случае, если вы не знаете историю происхождения левой учетной записи, можете просто отключить ее или удалить.
2. Закрываем, ограничиваем ненужные внешние сервисы Mikrotik, через которые можно получить доступ к оборудованию.
3. Переходим к защите Микротик через Firewall.
В видеоролике мы рассказывали про атаку на DNS, которая проходит через 53 порт UDP. Атака ощущается низкой скоростью интернета и зачастую из-за высокой нагрузки воздаются определенные затруднениями с входом на Микротик. Если Микротик «тормозит» при подключении к нему через Winbox или WWW можете временно отключить кабель интернета и сделать данную настройку.
Вкладка General.
Chain: Input.
Protocol: UDP.
Dst. Port: 53.
In. Interface: Eth1 (порт, в который воткнут кабель провайдера).
Если у вас уже есть какие-нибудь другие правила в Filter Rules, то вновь созданное правило рекомендуется поставить выше всех.
4. Продолжаем работать с Firewall.
4.2. Разрешаем уже установленные подключения. Пакет относится у уже установленному соединению, обрабатываемому в данный момент маршрутизатором.
5. Отключаем SNMP на Микротик.
Находим сервис SNMP в меню IP -SNMP, по-умолчанию он не работает. Если он вам не нужен, то галочку убираем, если нужен, то ставим галочку и придумываем хороший пароль.
6.Scripts Mikrotik.
Как итог: Данные настройки не защитят на 100 процентов вас от каких-либо уязвимостей, но помогут не допустить 90 процентов всех действующих попыток сломать работу вашей сети, устройства.
Настройка MikroTik — базовые принципы защиты периметра
Можно создать индивидуальные правла для клиентских IP и определенных интерфейсов в /queue simple и считывать показания Upload Rate и Download Rate. Теперь, когда в сети появляется новая машина, которой нужно дать права для доступ в сеть, то достаточно добавить ее в соответствующую группу адресов. После того, как кто то попробует подключиться к маршрутизатору из вне, то, он автоматически будет включен в группу BLOCK, как это получилось с адресом 192.
Блокировка при помощи DNS
Блокирует все вредоносные программы, которые могут размещаться сайтами, а также фишинговые и мошеннические сайты.
Политика 2. Безопасность + порнографическое содержимое
Помимо блокирования небезопасных сайтов, также запрещает доступ к сайтам, содержащим материалы сексуальной направленности.
Политика 3. Безопасность + порнографическое содержимое + другое
Идеально подходит для семей с малолетними детьми. Помимо блокирования сайтов с небезопасным и порнографическим содержимым, предотвращает доступ к сайтам, на которых размещены материалы, связанные с контентом для взрослых, абортами, алкоголем, преступлениями, культами, наркотиками, азартными играми, нетерпимостью, сексуальной направленностью, самоубийствами, табакокурением и насилием.
Итак выбрали DNS и прописываем его в нашем маршрутизаторе: Главное меню – IP – DHCP Server вкладка Networks, выбираем существующую сеть двойным кликом проваливаемся в нее и заполняем строку DNS Server. Нажимаем «ОК», готово.
Блокировка при помощи DNS. Скрин 1 Блокировка при помощи DNS. Скрин 2
И теперь при переходе на вредоносный сайт мы будем получать уведомление о блокировке данного ресурса.
Важно. Для того чтобы избежать ситуации, когда пользователь вручную прописывает на своем устройстве DNS сервера, нужно изменить параметры ARP записей на MikroTik. Для этого нам потребуется выполнить всего одно действие.
Делаем изменение настроек на интерфейсе, к которому подключены пользователи: Главное меню – Interfaces вкладка Interface, так как все порты в нашем примере объединены в один Bridge выбираем его. Двойным кликом заходим на Bridge, вкладка General изменяем параметры ARP на reply-only и нажимаем кнопку «ОК».
После выполнения этих простых действий пользователи которые будут статически прописывать IP или DNS адреса на своем устройстве, попросту не будут подключаться к сети.
MikroTik – Списки и группы адресов | Sergey Lagovskiy
Блокировка приложения
Блокировка социальной сети Facebook на роутере Mikrotik
1. Маркируем трафик. Главное меню – IP – Firewall, вкладка Mangle, нажимаем «+» для создания правила:
Вкладка Gwneral: создаем цепочку Chain – prerouting, выбераем Connection Mark – no-mark
Вкладка Advanced: выбираем ранее созданный нами фильтр Leyer 7 Protocol – facebook
Вкладка Action: Action – mark packet, задаем имя промаркированным пакетам New Connection Mark – facebook_packet, нажимаем кнопку «ОК» и переходим ко второму этапу.
2. Создаем правила для блокировки. Главное меню – IP – Firewall, вкладка Filter Rules. Нажимаем кнопку «+» и создаем правила фильтрации. (Не забываем переместить правило в вверх для корректной работы)
Создание двух цепочек правил forward и input. Скрин 1 Создание двух цепочек правил forward и input. Скрин 2
Итак в данной статье мы рассмотрели, как можно заблокировать доступу не благонадежным ресурсам тем самим подняв безопасность собственной сети. В вышеописанных примерах правила фильтрации применялись на общую сеть, также их можно применять и для выделенной подсети или определенного IP адреса.
Потребность в блокировке вредоносного контента была, и остается одной из основных потребностей для улучшения безопасности сети. А с уменьшением возраста пользователей, блокировка «взрослого» контента стала актуальна не только для офиса, а и для домашней сети. Если Микротик тормозит при подключении к нему через Winbox или WWW можете временно отключить кабель интернета и сделать данную настройку. Важная особенность этой модели способность запитки устройства не только от стандартного блока питания, но и специального РОЕ-адаптера.
Ограничение удаленного доступа:
После настройки доступа к роутеру, его нужно сильно ограничить, чтобы злоумышленники не смогли заполучить доступ к вашему оборудованию. Переходим в следующее меню:
