Mikrotik Ros安全加固

Posted 超凡脫俗

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Mikrotik Ros安全加固相关的知识,希望对你有一定的参考价值。

基本概述

Mikrotik系列路由器也成RouterOS软路由,RouterOS是基于Linux内核的网络操作系统,其预装在MikroTik生产的路由器、无线设备以及RouterBOARD上。同时,它也可以安装在x86平台的个人电脑上,用于将电脑转化为路由器,并实现防火墙、虚拟专用网络服务器、强制门户网关等功能[4]。MikroTik也提供用于虚拟机和云服务的RouterOS镜像,其被称为云托管路由器(Cloud Hosted Router)。

互联网基于对Mikrotik路由器的攻击从未停止,基于路由安全考虑,需要对ros安全加固。

安全建议

在企业中使用,往往有在路由器上配置公网IP,并提供对外访问的接口,因此,为了安全起见:
1、禁止外网Ping路由器外网IP
2、修改管理员默认账号(admin)
3、设置高强度管理员密码
4、限制允许登录的IP网段
5、如有开启8291端口,使用winbox服务,需要禁止使用mac地址登录winbox,并对外关闭8291

端口扫描

通过使用nmap扫描ros外网IP开放端口,其中open为开放服务:

PORT STATE SERVICE VERSION
25/tcp filtered http smtp
53/tcp open  domain Mikrotik Routeros named or openDns Updater    #dns端口,上网必要
80/tcp filtered
135/tcp filtered msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
443/tcp filtered https
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
1723/tcp  open pptp      					#pptp
2000/tcp  open  bandwidth-test krotik		#带宽测试用于测试MikroTik路由器的吞吐量,/tool bandwidth-server set enabled=no(测试时开启即可)
4343/tcp open ss1/unical1?   				#TCP 端口 4343 使用传输控制协议
4444/tcp filtered krb524					
8080/tcp filtered http-proxy					
8291/tcp open http unknown					#winbox通信协议端口,限制内网运维IP可以访问

安全加固设置

禁止外网Ping
设置Action为drop,Chain为input(内网设置为output),Protocol为icmp

关闭sstp pptp vpn服务

/interface pptp-server server set enabled=no
/interface sstp-server server set enabled=no

禁用Telnet,FTP,WWW,API,API-SSL

/ip service disable telnet,f​​tp,www,api,api-ssl

禁用通过mac地址使用winbox服务

/tool mac-server mac-winbox set allowed-interface-list=none

禁止SSH登录,只有在allow-addresses列表的IP才允许SSH登录,其它一概禁止

/ ip firewall filter
add chain=input protocol=tcp dst-port=21-22src-address-list=!allow-addressescomment="SSH &FTP"disabled=no
action=drop

定义allow_login IP地址

General

Chain:input
Protocol:TCP
DST Prot:8291

Advanced:

src address list:!allow_login  (表示非allow_login列表地址)

action:

action:drop(动作拒绝)
log: 勾选log  (自定义log prefix名称)




参考:
https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
https://zh.wikipedia.org/zh-hans/MikroTik
https://www.sklinux.com/posts/secrity/mikrotik%E8%B7%AF%E7%94%B1%E5%AE%89%E5%85%A8%E9%98%B2%E8%8C%83%E8%AE%BE%E7%BD%AE/

以上是关于Mikrotik Ros安全加固的主要内容,如果未能解决你的问题,请参考以下文章

车路协同 智能路侧设备网络安全接入技术要求

Android 移动安全知识技术全解(加固技术常规漏洞Android 逆向......),移动安全问题不容忽视

全网最全安全加固指南

SSH + Google Authenticator 安全加固

Freeswitch安全加固操作

网络空间安全解析A模块解析