Ve chvíli, kdy se vám nový mikrotik s RouterOS dostane do rukou a porvé jej zapnete bude v defaultním nastavení.
Přednastavená IP adresa: 192.168.88.1, přihlašovací jméno: admin bez hesla.
Při každém startu systému je provedena inicializace a každý podporovaný hardware je okamžitěpřipraven k použití.
Pro začátčníky je možnost využití volby Quick set jistě velkým ulehčením, ale pro pokročilé nastavení jej nedoporučuji.
MikroTik RouterOS používá až na výjimky zkrácený zápis adres např. 192.168.1.50/24
Toto můžeme přepsat jako IP adresa: 192.168.1.50, Maska sítě: 255.255.255.0
Ve výchozím nastavení nemá uživatel admin, který má opránění pro čtení i zápis nastaveno heslo.
V menu "System -> Users" nastavte bezpečné heslo pro uživatele admin.
Aktualizujte RouterOS
Nedělejme si žádné iluze. I RouterOS, stejně jako ostaní systémy obsahuje chyby.
Provozujte RouterOS vždy v poslední aktuální verzi.
Mikrotik vydává nové verze, které opravují chyby, ale také přidávají a optimalizují nové funkce.
Bezpečnost DNS - otevřené rekurzivní DNS
V menu zkontrolujte nastavení "IP -> DNS" volbu "Allow Remote Requests".
Pokud je tato volba povolena mikrotik začne odpovídat na všechny DNS dotazy a to i na dotazy z WAN strany a je zneužitelný pro DNS útoky.
Pro domácí uživatele a pokud nechcete využívat mikrotik jako DNS rekurzivní server tuto volbu vypněte.
Pro ostatní je tu jednoduchá pomoc. Menu "IP -> Firewall" přidejte dvě nové pravidla, která zajistí, že mikrotik dotazy z internetu zahodí.
Pravidla presuňte na začátek firewallu.
Vypnutí nepoužívaných služeb
V menu "IP -> Services" vypněte všechny nepoužívané služby. Obecně platí "co nepoužívám to vypnu".
Povolené služby zabezpečte nastavením položky "Avialable from" (dostupné z) minimálně na lokální rosah domácí sítě.
Např. nastavením rosahu: 192.168.88.0/24
Ideálně pokud je to možné zakázat všechny služby a nechat pouze Winbox nebo www přes které budete mikrotik konfigurovat.
Firewall
Používejte firewall minimálně tak jak byl předkonfigurovaný pro filtrování provozu a do pravidel zasahujte pouze v připadě, že víte co děláte.
Mikrotik obsahuje oddělený firewall pro komunikaci IPv4 a IPv6.
Přednastavená IP adresa: 192.168.88.1, přihlašovací jméno: admin bez hesla.
Při každém startu systému je provedena inicializace a každý podporovaný hardware je okamžitěpřipraven k použití.
Pro začátčníky je možnost využití volby Quick set jistě velkým ulehčením, ale pro pokročilé nastavení jej nedoporučuji.
MikroTik RouterOS používá až na výjimky zkrácený zápis adres např. 192.168.1.50/24
Toto můžeme přepsat jako IP adresa: 192.168.1.50, Maska sítě: 255.255.255.0
Bezpečnost
Heslo, heslo a zase hesloVe výchozím nastavení nemá uživatel admin, který má opránění pro čtení i zápis nastaveno heslo.
V menu "System -> Users" nastavte bezpečné heslo pro uživatele admin.
Aktualizujte RouterOS
Nedělejme si žádné iluze. I RouterOS, stejně jako ostaní systémy obsahuje chyby.
Provozujte RouterOS vždy v poslední aktuální verzi.
Mikrotik vydává nové verze, které opravují chyby, ale také přidávají a optimalizují nové funkce.
Bezpečnost DNS - otevřené rekurzivní DNS
V menu zkontrolujte nastavení "IP -> DNS" volbu "Allow Remote Requests".
Pokud je tato volba povolena mikrotik začne odpovídat na všechny DNS dotazy a to i na dotazy z WAN strany a je zneužitelný pro DNS útoky.
Pro domácí uživatele a pokud nechcete využívat mikrotik jako DNS rekurzivní server tuto volbu vypněte.
Pro ostatní je tu jednoduchá pomoc. Menu "IP -> Firewall" přidejte dvě nové pravidla, která zajistí, že mikrotik dotazy z internetu zahodí.
Pravidla presuňte na začátek firewallu.
Kód: Vybrat vše
/ip firewall filter
add action=drop chain=input comment="Drop DNS from WAN" connection-state=new dst-port=53 in-interface-list=WAN protocol=tcp
add action=drop chain=input comment="Drop DNS from WAN" connection-state=new dst-port=53 in-interface-list=WAN protocol=udp
Vypnutí nepoužívaných služeb
V menu "IP -> Services" vypněte všechny nepoužívané služby. Obecně platí "co nepoužívám to vypnu".
Povolené služby zabezpečte nastavením položky "Avialable from" (dostupné z) minimálně na lokální rosah domácí sítě.
Např. nastavením rosahu: 192.168.88.0/24
Ideálně pokud je to možné zakázat všechny služby a nechat pouze Winbox nebo www přes které budete mikrotik konfigurovat.
Služba | Popis |
---|---|
api / api-ssl | vzdálený přístup k nastavení mikrotiku pomocí aplikací třetích stran |
ftp | povolen přístup k souborům uložených na mikrotiku |
ssh, telnet | protokoly pro vzdálené připojení k mikrotiku a jeho administraci |
winbox | povolen přístup pomocí Winbox |
www/ www-ssl | povolen přístup přes do web rozhraní |
Firewall
Používejte firewall minimálně tak jak byl předkonfigurovaný pro filtrování provozu a do pravidel zasahujte pouze v připadě, že víte co děláte.
Mikrotik obsahuje oddělený firewall pro komunikaci IPv4 a IPv6.