Autor: sutrus
Datum: 12 pro 2020 23:24
Zobrazení: 329
Popis: První spuštění, bezpečnost


Ve chvíli, kdy se vám nový mikrotik s RouterOS dostane do rukou a porvé jej zapnete bude v defaultním nastavení.
Přednastavená IP adresa: 192.168.88.1, přihlašovací jméno: admin bez hesla.
Při každém startu systému je provedena inicializace a každý podporovaný hardware je okamžitěpřipraven k použití.

Pro začátčníky je možnost využití volby Quick set jistě velkým ulehčením, ale pro pokročilé nastavení jej nedoporučuji.
MikroTik RouterOS používá až na výjimky zkrácený zápis adres např. 192.168.1.50/24
Toto můžeme přepsat jako IP adresa: 192.168.1.50, Maska sítě: 255.255.255.0
quick set.png
Bezpečnost
Heslo, heslo a zase heslo
Ve výchozím nastavení nemá uživatel admin, který má opránění pro čtení i zápis nastaveno heslo.
V menu "System -> Users" nastavte bezpečné heslo pro uživatele admin.


Aktualizujte RouterOS
Nedělejme si žádné iluze. I RouterOS, stejně jako ostaní systémy obsahuje chyby.
Provozujte RouterOS vždy v poslední aktuální verzi.
Mikrotik vydává nové verze, které opravují chyby, ale také přidávají a optimalizují nové funkce.


Bezpečnost DNS - otevřené rekurzivní DNS
V menu zkontrolujte nastavení "IP -> DNS" volbu "Allow Remote Requests".
Pokud je tato volba povolena mikrotik začne odpovídat na všechny DNS dotazy a to i na dotazy z WAN strany a je zneužitelný pro DNS útoky.
Pro domácí uživatele a pokud nechcete využívat mikrotik jako DNS rekurzivní server tuto volbu vypněte.
Pro ostatní je tu jednoduchá pomoc. Menu "IP -> Firewall" přidejte dvě nové pravidla, která zajistí, že mikrotik dotazy z internetu zahodí.
Pravidla presuňte na začátek firewallu.

Kód: Vybrat vše

/ip firewall filter
add action=drop chain=input comment="Drop DNS from WAN" connection-state=new dst-port=53 in-interface-list=WAN protocol=tcp
add action=drop chain=input comment="Drop DNS from WAN" connection-state=new dst-port=53 in-interface-list=WAN protocol=udp

Vypnutí nepoužívaných služeb
V menu "IP -> Services" vypněte všechny nepoužívané služby. Obecně platí "co nepoužívám to vypnu".
Povolené služby zabezpečte nastavením položky "Avialable from" (dostupné z) minimálně na lokální rosah domácí sítě.
Např. nastavením rosahu: 192.168.88.0/24
Ideálně pokud je to možné zakázat všechny služby a nechat pouze Winbox nebo www přes které budete mikrotik konfigurovat.

SlužbaPopis
api / api-sslvzdálený přístup k nastavení mikrotiku pomocí aplikací třetích stran
ftppovolen přístup k souborům uložených na mikrotiku
ssh, telnetprotokoly pro vzdálené připojení k mikrotiku a jeho administraci
winboxpovolen přístup pomocí Winbox
www/ www-sslpovolen přístup přes do web rozhraní

Firewall
Používejte firewall minimálně tak jak byl předkonfigurovaný pro filtrování provozu a do pravidel zasahujte pouze v připadě, že víte co děláte.
Mikrotik obsahuje oddělený firewall pro komunikaci IPv4 a IPv6.