Služby na RouterOS Mikrotik routeru

Autor: Vladimír Nepor
Publikováno dne

Přehled služeb běžících na Mikrotik Routeru

Existující služby v Mikrotik Router se nachází v nabídce IP/Services. Prostřednictvím dané nabídky je možné tyto služby povolovat, zakazovat a editovat.

Parametry služeb:

  • Name: Název služby
  • Port: Port, na kterém služba odposlouchává requesty
  • Available From: Seznam IP adres, pro které je služba povolena. Pokud je prázdný, je k dispozici pro všechny IP.
  • VRF: (Virtual Routing and Forwarding) se vztahuje k možnosti omezit přístup k síťovým službám routeru (jako jsou SSH, WinBox, WebFig atd.) pouze pro určitý VRF. VRF je technologie, která umožňuje existenci více nezávislých směrovacích tabulek na jednom fyzickém routeru. Použitím VRF v nastavení služeb můžete specifikovat, že daná síťová služba bude dostupná pouze pro síťový provoz, který je součástí určité VRF - např. WebFig bude k dispozici pouze pro správní segment sítě.
  • Certificate: certifikát používaný službami pro zabezpečené spojení.
  • TLS version: verze Transport Layer Security protokolu používaného pro šifrování a zabezpečení komunikace mezi klientem a serverem.

Popis služeb:

  • api / api-ssl

    Služba API (Application Programming Interface) popř. Api-ssl v šifrované variantě, umožňuje vzdálenou automatizovanou správu a konfiguraci Mikrotik zařízení pomocí skriptů nebo vlastních aplikací. API poskytuje programový přístup k funkcím RouterOS, což umožňuje vývojářům a správcům sítí interagovat s routerem programově místo manuální konfigurace přes grafické uživatelské rozhraní nebo příkazovou řádku.

  • ftp

    Služba FTP (File Transfer Protocol) slouží k přenosu souborů mezi počítačem a routerem. FTP je standardní síťový protokol používaný k přenosu souborů z jednoho hostitele na druhého přes TCP/IP sítě, jako je internet.

  • ssh

    Služba SSH (Secure Shell) je protokol používaný pro zabezpečený vzdálený přístup k routeru přes síť. SSH poskytuje šifrovaný kanál pro přihlášení, přenos souborů a další síťové služby mezi klientem a Mikrotik routerem.

  • telnet

    Služba Telnet je starší síťový protokol používaný pro vzdálený přístup k příkazové řádce zařízení přes síť. Na rozdíl od SSH, Telnet neposkytuje šifrované spojení, což znamená, že všechna data posílaná mezi klientem a serverem, včetně přihlašovacích údajů, jsou přenášena v čitelné formě. To představuje značné bezpečnostní riziko.

  • winbox

    Služba Winbox poskytuje rozhraní pro vzdálený přístup k Mikrotik zařízením prostřednictvím Winbox, což je nativní grafický konfigurační nástroj od Mikrotik. Winbox umožňuje administrátorům snadno konfigurovat a spravovat Mikrotik zařízení pomocí uživatelsky přívětivého grafického rozhraní podobného tomu, které znáte z prostředí Webfig - webového prostředí na lokální adrese routeru (typicky 192.168.88.1).

  • www

    Služba WWW označuje webový server integrovaný v Mikrotik routeru. Tato služba umožňuje vzdálený přístup k webovému rozhraní zařízení, známému jako WebFig, přes webový prohlížeč. WebFig poskytuje grafické uživatelské rozhraní pro konfiguraci a správu routeru, podobně jako Winbox, ale bez potřeby jakéhokoli speciálního klienta – a to pouze prostřednictvím webového prohlížeče.

  • www-ssl

    WWW služba využívající SSL/TLS šifrování pro zabezpečení komunikace mezi webovým prohlížečem a Mikrotik routerem. Pro použití HTTPS je potřeba mít platný SSL certifikát. Služba je defaultně zakázána.

Konzolové příkazy:

Services jsou k dispozici na adrese /ip service. Výpis se provede příkazem print.

  • Zakázání služby: set [název_služby] disabled=yes, např: set winbox disabled=yes
  • Povolení služby: set [název_služby] disabled=yes, např: set winbox disabled=no
  • Omezení služby na přístup z konkrétních IP adres: set winbox address="192.168.88.0/24,10.5.8.0/24"
    • Změna adres přepisem: set winbox address="192.168.80.0/24,12.5.8.0/24"
    • Odstranění omezení: set winbox address=""
  • Změna portu služby: /ip service set winbox port=2222

Certifikáty pro routerové služby

  • Vygenerování certifikátu v RouterOS

    /certificate add name=myCert common-name=my.router.com key-usage=key-cert-sign,crl-sign
    • name: název certifikátu, např: myCert
    • common-name: plně kvalifikovaný doménový název (FQDN) nebo IP adresa zařízení, pro které je certifikát vydán
    • key-usage: účel klíče
      • key-cert-sign umožňuje tento certifikát podepisovat další certifikáty
      • crl-sign umožňuje certifikátu podepisovat seznam odvolaných certifikátů (CRL)
      • V kontextu self-signed certifikátu pro běžné použití lze zvážit digital-signature pro autentizaci serveru.

  • Podepsání Certifikátu

    /certificate sign myCert ca-crl-host=my.router.com name=myCert days=365
    • myCert specifikujete název žádosti o certifikátz předchozího kroku.
    • days specifikuje požadovanou platnost certifikátu

  • Přiřazení certifikátu ke službě

    /ip service set www-ssl certificate=myCert