Минимальные настройки безопасности маршрутизаторов MikroTik

В параметры безопасности маршрутизаторов можно углубляться вечность, но остановимся на базовой защите своих девайсов:

1) Убедитесь, что у вас используются последние прошивки на устройствах.
2) Настройте файрволл примитивным образом — запретить всё, что не разрешено.
2.1. В цепочке INPUT доступ к устройству разрешён, только с доверительных ip адресов. Например, диапазон домашней сети или ip адресами сетевых администраторов.
Обратите внимание на то, что цепочка INPUT применяется только для пакетов, адресованных непосредственно этому маршрутизатору. Транзитные пакеты относятся к цепочке FORWARD.
2.2. Дропайте все пакеты, которые не соответствуют разрешённым.
2.3. В случае, если Вам требуется периодически доступ с динамических адресов, то используйте «port knocking», чтобы добавить Ваш ip в разрешённые на определённое время.
3) Выключите сервисы, которые не исползуете (api, ssh, telnet, http, winbox -?)
4) Смените пароль и имя админской учетной записи. И отключите admin.

Чуть подробней и с картинками — https://habr.com/post/359038/

Добавить комментарий