Zabezpečení RouterOS Mikrotik routeru

Autor: Vladimír Nepor
Publikováno dne

Jakou nastavit konfiguraci RouterOS routerů Mikrotik s ohledem na zabezpečení proti běžným zranitelnostem?

Bezpečnostní rizika spojené s routery

Routery jsou klíčovými prvky síťové infrastruktury, které řídí datový provoz mezi lokálními sítěmi a internetem. Od toho vychází následující hrozby:

  • Neautorizovaný Přístup: Přístup k routeru umožňuje manipulovat s nastavením routeru, monitorovat nebo přesměrovávat síťový provoz.
  • Exploitace Zranitelností: Softwarové chyby nebo zranitelnosti RouterOS mohou být zneužity útočníky k provádění škodlivých akcí, jako je instalace malware, vytváření zadních vrátek nebo vykonávání DoS (Denial of Service) útoků.
  • Slabé Šifrování: Při používání zastaralých nebo slabých šifrovacích standardů pro Wi-Fi nebo VPN spojení může umožnit útočníkům odposlouchávat nebo manipulovat s komunikací.
  • Útoky typu Man-in-the-Middle (MitM): Útočníci mohou využít nezabezpečených nebo špatně nakonfigurovaných routerů k provádění MitM útoků, při kterých mohou odposlouchávat, upravovat nebo blokovat datový provoz mezi uživateli a internetem.
  • Firmware Malware: Routery mohou být cílem útoků, které zahrnují instalaci škodlivého firmware. Tento malware může router transformovat na součást botnetu, sledovat provoz nebo spustit další škodlivé aktivity.
  • Fyzické Bezpečnostní Hrozby: Fyzický přístup k routeru může umožnit útočníkům resetovat zařízení, získat přístup k nastavením nebo dokonce instalovat škodlivý hardware.
  • DDoS Útoky: Routery mohou být využity jako součást DDoS (Distributed Denial of Service) útoků, buď jako cíl, který má být přetížen, nebo jako nástroj pro provádění útoků na jiné systémy.

Opatření k prevenci bezpečnostních rizik RouterOs routerů Mikrotik

  1. Ochrana před neautorizovaným přístupem

    I nejlepší možná bezpečnostní konfigurace routeru je bezpečná jen do doby, dokud útočník nezíská přístup do RouterOS.

  2. Aktuální Firmware

    Udržujte firmware routeru a operační systém aktualizované na nejnovější verze. OS lze aktualizovat v rámci dané verze i upgradovat na vyšší verze.

    • Aktualizace se provádí v sekci System → Packages.

    Pravidelně RouterOS aktualizujte a udržujte na jeho poslední stabilní verzi.

  3. Zabezpečení Wifi

    • Bezpečnostní metodu Wi-Fi volte WPA2 nebo WPA3
    • Šifrování volte aes com
    • nastavte silné heslo pro připojení k WiFi.
    • Pokud Wi-Fi síť není vyžadována, zakažte ji.

  4. Zabezpečené protokoly

    Pro vzádlené přihlašování a přístupu do sítě, je-li povoleno, používejte bezpečné správní protokoly a zabezpečené verze protokolů pro síťové služby.

    Mezi šifrované protokoly patří / šifrování je použito při:

    • SSH
    • VPN
    • Winbox
    • Webfig při ssl variantě
    • Api při ssl variantě

  5. Natavení routerových služeb

    V Mikrotik routeru běží na pozadí řada služeb. Naleznete je v sekci IP → Services.

    • Zakažte služby, které nevyužíváte.
    • Zvažte změnu výchozích portů. Porty by mělo jít volit v rozsahu 1 do 65535. Po změně je nutné přidávat za IP adresu hodnotu portu, viz IP:Port.
    • Zvažte úpravu omezení přistupu (povolení pouze pro definované IP adresy).

    V případě potřeby připojování zvenčí, věnujte pozornost nastavení pro zabezpečený vzdálený přístup.

    Nezapomínejte, že v routeru mohou běžet i další služby - DHCP a VPN servery a podobně.

  6. Nastavení správného módu

    Dle toho, co od zařízení vyžadujete, nastavte správný mód běhu.

  7. Segmentace sítě

    Zvažte segmentaci sítě pro omezení přístupu k citlivým částem sítě.

  8. Nastaveni Firewall

    Firewall umožňuje nastavení pravidel, parametrů a fungování sítě a do ní připojených zařízení.

    • Zvažte, zda pravidla plní funkci a jsou ve správném pořadí

  9. Logování a monitorování

    V System → Logging zvažte nastavení logování kritických událostí a podezřelých aktivit.

    Pravidelně monitorujte logy a provádějte bezpečnostní audity zařízení.

  10. Omezení Fyzického Přístupu

    Zabezpečte fyzický přístup k routeru.