MikroTik-Schutz (grundlegende Geräte Sicherheitseinstellung)

Grundkonfiguration des MikroTik-Router-Schutzes: Gerätekonfiguration, Firewall-Konfiguration, Portscan-Schutz, Schutz zum Erraten von Passwörtern.

? Der Artikel enthält Beispiele für Befehle im MikroTik-Terminal. Wenn beim Einfügen eines Befehls in das Terminal automatisch Befehle eingefügt werden (während der Ausführung wird der Fehler bad command name oder expected end of command angezeigt), drücken Sie Strg+V, um diese Funktion zu deaktivieren.

Inhalt

  1. Benutzer
  2. Dienstleistungen
  3. Aktualisieren
  4. Schnittstellen
  5. Nachbarn
  6. Firewall

Artikel in anderen Sprachen:
?? – MikroTik Protection (basic device security setting)
?? – Protección MikroTik (configuración básica de seguridad del dispositivo)
?? – Защита MikroTik (базовая настройка безопасности устройств)
?? – MikroTik Protection (paramètre de sécurité de base de l’appareil)
?? – MikroTik Protection (basisinstelling apparaatbeveiliging)

Benutzer

Erstellen Sie einen neuen Benutzer mit einem eindeutigen Namen und entfernen Sie das integrierte Standardsystembenutzerkonto – admin.

[System] -> [Users]

Verwenden Sie keine einfachen Benutzernamen, das Passwort muss den Sicherheitsanforderungen entsprechen.

Wenn mehrere Benutzer Zugriff auf das Gerät haben, können Sie die Rechte für den ausgewählten Benutzer detaillierter angeben. Erstellen Sie eine neue Gruppe und definieren Sie die Rechte der Benutzer dieser Gruppe.

[System] -> [Users] -> [Groups] -> [+]

Dienstleistungen

Deaktivieren Sie nicht verwendete Dienste

Deaktivieren Sie MikroTik-Dienste, die nicht verwenden möchten.

[IP] -> [Services]
  • api (port 8728) – Wenn wir keinen API-Zugriff verwenden, deaktivieren Sie diese Option.
  • api-ssl (port 8729) – Wenn wir keinen API-Zugriff mit einem Zertifikat verwenden, deaktivieren Sie es.
  • ftp (port 21) – Wenn wir keinen FTP-Zugang verwenden, deaktivieren Sie ihn;
  • ssh (port 22) -Wenn wir keinen SSH-Zugriff verwenden, deaktivieren Sie ihn;
  • telnet (port 23) – Wenn wir keinen Telnet-Zugriff verwenden, deaktivieren Sie ihn;
  • www (port 80) – Wenn wir den Zugriff nicht über einen Webbrowser (http) verwenden, deaktivieren Sie ihn.
  • www-ssl (port 443) – Wenn wir den Zugriff nicht über einen Webbrowser (https) verwenden, deaktivieren Sie ihn.

Ändern Sie den Winbox-Port

Ändern Sie die Standard-Winbox-Portnummer – 8291 – in eine andere freie Portnummer – Port (im Beispiel Port 30122).

[IP] -> [Services] -> [winbox: port=Port]

Achten Sie beim Ändern des Ports darauf, Winbox keinen Port zuzuweisen, der von einem anderen Dienst verwendet wird. Die Liste finden Sie hier.

MikroTik deaktiviert nicht verwendete Dienste und ändert den Winbox-Port
Deaktivieren Sie nicht verwendete Dienste und ändern Sie den Winbox-Port

Aktualisieren

In MikroTik-Geräten (wie auch in Geräten anderer Netzwerkanbieter) treten regelmäßig Sicherheitslücken auf. Rechtzeitige Aktualisierungen sind eine notwendige Maßnahme, um die Gerätesicherheit zu gewährleisten.

[System] -> [Packages] -> [Check for updates] -> [Check for updates]

Wenn ein Versionsupdate gefunden wird, aktualisieren Sie das Gerät.

? Die Skriptprüfung für das RouterOS-Update sendet eine Benachrichtigung über die Veröffentlichung einer neuen Firmware-Version.

Schnittstellen

Kombinieren wir interne (vertrauenswürdige) und externe (nicht vertrauenswürdige) Schnittstellen zu Listen, um die weitere Verwaltung zu vereinfachen.

„Internal interfaces“ list

Wir haben in diese Liste die Schnittstellen des lokalen Netzwerks, VPN-Verbindungen usw. aufgenommen.

[Interfaces] -> [Interfaces] -> [Interface List] -> [Lists] -> [+]  -> [Name=InternalInterfaces, Comment="Trusted network interfaces (internal, clients vpn, etc)."]

oder:

/interface list add name=InternalInterfaces comment="Trusted network interfaces (internal, clients vpn, etc)."

Liste „Externe Schnittstellen“

Wir haben externe Schnittstellen (Internet usw.) in diese Liste aufgenommen.

[Interfaces] -> [Interfaces] -> [Interface List] -> [Lists] -> [+]  -> [Name=ExternalInterfaces, Comment="Untrusted network interfaces (internet, external etc)."]

oder:

/interface list add name=ExternalInterfaces comment="Untrusted network interfaces (internet, external etc)."
Geben Sie vertrauenswürdige und nicht vertrauenswürdige Schnittstellen an

Nachbarn

Lassen Sie uns die Geräteerkennung mit Neighbor Discovery nur für interne Schnittstellen oder zulässige Schnittstellen konfigurieren.

Erlauben Sie die Erkennung nur über die in der Liste InternalInterfaces aufgeführten Schnittstellen.

[IP] -> [Neighbor] -> [Discovery Settings] -> [interface=InternalInterfaces]

oder:

/ip neighbor discovery-settings set discover-interface-list=InternalInterfaces
MikroTik Neighbor Discovery-Setup
MikroTik Neighbor Discovery-Setup

Firewall

Wir konfigurieren Zugriffsbeschränkungen für Router und Netzwerkgeräte mithilfe der MikroTik-Firewall.

⚠️ Aktivieren Sie vor dem Hinzufügen restriktiver Regeln den Safe Mode von MikroTik!

Bestehende und verwandte Verbindungen zulassen

Regel „Trusted“ – Ermöglichen Sie bereits hergestellten und zugehörigen Verbindungen, um die Belastung des Zentralprozessors des Routers zu verringern.

[IP] -> [Firewall] -> [Filter Rules] -> [+] -> [General: Chain=input, Connection state=established,related; Action: Action=accept; Comment="Rule #0 "Trusted": allow established, related connections."]

oder:

/ip firewall filter add action=accept chain=input connection-state=established,related comment="Rule #0 \"Trusted\": allow established, related connections."

Platzieren Sie die Regel zuerst in der Liste Filter Rules (platzieren Sie die Regel basierend auf ihrer Nummer im Kommentar).

Löschen Sie ungültige Pakete

Regel „Drop Invalid Packet“ – Löscht ungültige Pakete.

[IP] -> [Firewall] -> [Filter Rules] -> [+] -> [General: Chain=input, Connection state=invalid; Action: Action=drop; Comment="Chain: Input. Rule #1 "Drop Invalid Packet": drop packets connection state: invalid."]

oder:

/ip firewall filter add chain=input action=drop connection-state=invalid comment="Chain: Input. Rule #1 \"Drop Invalid Packet\": drop packets connection state: invalid."

Platzieren Sie die Regel nach der Regel Trusted in der Liste Filter Rules (platzieren Sie die Regel basierend auf ihrer Nummer im Kommentar).

ICMP zulassen

Regel „ICMP“ – Ermöglicht ICMP-Verkehr zum Gerät.

[IP] -> [Firewall] -> [Filter Rules] -> [+] -> [General: Chain=input, Protocol=icmp; Action: Action=accept; Comment="Chain: Input. Rule #3 "ICMP": accept icmp packets."]

oder:

/ip firewall filter add chain=input protocol=icmp action=accept comment="Chain: Input. Rule #3 \"ICMP\": accept icmp packets."

Platzieren Sie die Regel anhand ihrer Nummer im Kommentar.

Schwarze Liste

Erstelle Liste

Wir erstellen eine BlackList, in die wir IP-Adressen einfügen, denen aus irgendeinem Grund der Zugriff auf MikroTik oder geschützte Geräte verweigert wird.

[IP] -> [Firewall] -> [Address Lists] -> [Name: BlackList, Comment="Deny access to the router and local network, from IP addresses from this list."]

oder:

/ip firewall address-list add list=BlackList comment="Deny access to the router and local network, from IP addresses from this list."

Regel erstellen

Erstellen wir eine „BlackList“ -Regel, die Anforderungen von IP-Adressen aus der BlackList ablehnt.

Um CPU-Ressourcen zu sparen, platzieren Sie die Verbotsregel in der Prerouting-Tabelle.

[IP] -> [Firewall] -> [Raw] -> [+] -> [General: Chain=prerouting; Advanced: Src. Address List=BlackList ; Action: drop; Comment="Rule #10 "BlackList": reject the connection with a device from the Blacklist."]

oder:

/ip firewall raw add chain=prerouting src-address-list=BlackList   action=drop  comment="Rule #10 \"BlackList\": reject the connection with a device from the Blacklist."

⚠️ In Prerouting platzierte Regeln werden ausgeführt, bevor der Verkehr in Input – und Forward -Ketten unterteilt wird!

Platzieren Sie die Regel basierend auf ihrer Nummer im Kommentar.

MikroTik Firewall-Rohtabelle
Blacklist-Regel: Löschen Sie alle Pakete von IP-Adressen aus der BlackList

Der Screenshot zeigt zusätzliche Regeln:

Port-Scanner blockieren

Regel der vorbeugenden Blockierung – Wir blockieren Bots / Benutzer von Geräten, die Ports im Internet scannen, um nach Schwachstellen zu suchen. Lassen Sie uns eine Liste der nicht verwendeten Ports von unserem Router erstellen und die IP-Adressen der Geräte hinzufügen, die versuchen, auf die angegebenen Ports in der BlackList zuzugreifen.

Zum Schutz vor Scannern, die gezielt nach MikroTik-Geräten suchen, fügen wir der Liste nicht verwendete Ports (MikroTik-Dienste) und den Standard-Winbox-Port 8291 (den wir gemäß der Empfehlung geändert haben) hinzu. Fügen wir beliebte anfällige Ports hinzu (wenn der Angreifer diese Ports auf dem Router überprüft, blockieren wir alle seine weiteren Aktionen).

Wir werden die Regel nur für neue Verbindungen anwenden.

TCP-Ports abfangen

  • 20 – FTP-DATA;
  • 21 – FTP (Wenn Sie kein FTP verwenden, laden Sie Dateien auf den Router hoch);
  • 22 – SSH (wenn Sie keine SSH-Router-Steuerung verwenden);
  • 23 – Telnet (Wenn Sie keine Telnet-Verbindung zum Router verwenden);
  • 25 – SMTP;
  • 53 – DNS (Wenn Ihr Router kein DNS-Server für Clients aus dem Internet ist);
  • 80 – HTTP (Wenn Sie das MikroTik-Steuerelement nicht über den Browser verwenden);
  • 110 – POP3;
  • 161 – SNMP (Wenn Sie keine Fernüberwachung verwenden);
  • 443 – HTTPS (Wenn Sie das MikroTik-Steuerelement nicht über den Browser verwenden);
  • 445 – MICROSOFT-DS;
  • 3306 – MS SQL;
  • 3128 – Squid;
  • 3333 – Network Caller ID server;
  • 3389 – Microsoft Terminal Server (RDP);
  • 7547 – TR-069 (Wenn Sie das CWMP-Steuerprotokoll nicht verwenden);
  • 8291 – Winbox (Standardport);
  • 8080 – 8082 – Web прокси (Wenn Sie Web Proxy MikroTik nicht verwenden).

Regel erstellen

Wir haben die IP-Adresse des nicht vertrauenswürdigen Geräts für 10 Stunden in die BlackList eingetragen:

/ip firewall filter add action=add-src-to-address-list address-list=BlackList address-list-timeout=10h chain=input protocol=tcp connection-state=new dst-port=20-25,80,110,161,443,445,3128,3306,3333,3389,7547,8291,8080-8082  comment="Rule #1 \"Block TCP port scanning\": add a device scanning an unused port to BlackList."

Place the rule by its number in the comment.

MikroTik Firewall rule - Block port scanners
Block port scanners

? For 10 hours in BlackList there are about 500 IP addresses performing attempts to scan „vulnerable ports“ of the MikroTik device.

Allow Winbox Port

Rule „Winbox“ – allow connection to the Winbox port (in the example – 30122).

[IP] -> [Firewall] -> [Filter Rules] -> [+] -> [General: Chain=input, Protocol=tcp, Dst. Port=30122; Action: Action=accept; Comment="Chain: Input. Rule #10 "Winbox": accept Winbox port connections."]

oder:

/ip firewall filter add chain=input protocol=tcp dst-port=30122 action=accept comment="Chain: Input. Rule #10 \"Winbox\": accept Winbox port connections."

Platzieren Sie die Regel nach Nummer (im Kommentar).

Drop not allowed connections

Regel „Drop all“ – Wir löschen alle Verbindungen, die zuvor nicht zulässig waren und nicht in der Liste der vertrauenswürdigen (internen) Schnittstellen (InternalInterfaces) enthalten sind.

[IP] -> [Firewall] -> [Filter Rules] -> [+] -> [General: Chain=input, In. Interface List=[!]InternalInterfaces; Action: Action=drop; Comment="Chain: Input. Rule #15 "Drop All": drop_all packets that do not meet the early conditions, except from trusted interfaces."]

oder:

/ip firewall filter add action=drop chain=input in-interface-list=!InternalInterfaces comment="Chain: Input. Rule #15 \"Drop All\": drop_all packets that do not meet the early conditions, except from trusted interfaces."
MikroTik Firewall Filtertabelle
Endgültige Firewall-Regeln

Platzieren Sie die Regel an der letzten Position in den Firewall Filter Rules

Bruteforce blockieren

Regel „Bruteforce“ – Geben Sie die IP-Adresse des Geräts in die BlackList ein, wenn ein zweiter Autorisierungsversuch auf dem Gerät fehlschlägt.

Wenn ein Autorisierungsversuch nicht erfolgreich ist, sendet MikroTik eine Antwort mit dem Text „invalid user name or password“ an das anfordernde Gerät. Wir werden eine Regel erstellen.

Wir haben die IP-Adresse des Geräts für 70 Minuten in die BlackList eingetragen.

[IP] -> [Firewall] -> [Raw] -> [+] -> [General: Chain=output; Advanced: Content="invalid user name or password"; Action: Action=add-dst-to-address-list; Address List=BlackList, Timeout=01:10:00; Comment="Rule #15 "Bruteforce": add a device performing unsuccessful authorization to BlackList."]

oder:

/ip firewall raw add chain=output content="invalid user name or password" action=add-dst-to-address-list address-list=BlackList address-list-timeout=1h10m comment="Rule #15 \"Bruteforce\": add a device performing unsuccessful authorization to BlackList."
Firewall-Regel - Block "BruteForce"
Blockierungsregel für das Erraten von Passwörtern

? MikroTik-Schutz (grundlegende Geräte Sicherheitseinstellung), in diesem Artikel diskutiert.Ich hoffe, Sie konnten jetzt Router-Dienste und Firewall-Regeln konfigurieren, indem Sie den Schutz des MikroTik-Routers und der LAN-Geräte verbessert haben. Wenn Sie jedoch beim Einrichten auf Probleme stoßen, können Sie diese gerne in die Kommentare eintragen. Ich werde versuchen zu helfen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert