{"id":3252,"date":"2019-12-14T10:40:15","date_gmt":"2019-12-14T09:40:15","guid":{"rendered":"https:\/\/nsix.pl\/kb\/?p=3252"},"modified":"2022-07-07T14:45:39","modified_gmt":"2022-07-07T12:45:39","slug":"podstawowe-zabezpieczenie-systemu-mikrotik-routeros","status":"publish","type":"post","link":"https:\/\/nsix.pl\/kb\/podstawowe-zabezpieczenie-systemu-mikrotik-routeros\/","title":{"rendered":"Podstawowe zabezpieczenie systemu Mikrotik RouterOS"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Wiele os\u00f3b nie zdaje sobie sprawy w jaki spos\u00f3b poprawnie zabezpieczy\u0107 system RouterOS. Niejednokrotnie zdarza si\u0119, \u017ce kto\u015b uzyska\u0142 nieuprawniony dost\u0119p z powodu b\u0142\u0119du ludzkiego w postaci zastosowania s\u0142abego has\u0142a, pozostawienia domy\u015blnych ustawie\u0144 us\u0142ug s\u0142u\u017c\u0105cych do zarz\u0105dzania systemem b\u0105d\u017a \u017ale skonfigurowanej zapory sieciowej.<\/span><\/p>

Zastosowanie podstawowych \u015brodk\u00f3w ostro\u017cno\u015bci znacz\u0105co utrudni dost\u0119p do urz\u0105dze\u0144 firmy MikroTik b\u0105d\u017a maszyny wirtualnej\u00a0Cloud Hosted Router<\/a>.<\/span><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t

Aktualizacja systemu<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Podstawowa czynno\u015b\u0107 jaka powinna zosta\u0107 wykonana po zalogowaniu si\u0119 do systemu RouterOS jest jego aktualizacja. Zanim zostan\u0105 podj\u0119te kolejne kroki nale\u017cy zapozna\u0107 si\u0119 z tym artyku\u0142em<\/strong><\/span>.<\/a> Przedstawia on pe\u0142ny proces aktualizacji systemu.<\/span><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t

Dodawanie nowego u\u017cytkownika<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Nale\u017cy przej\u015b\u0107 do zak\u0142adki System->Users. <\/b>Zostanie ukazany ekran obecnie utworzonych u\u017cytkownik\u00f3w.<\/span><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"lista\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Jak mo\u017cna zauwa\u017cy\u0107, domy\u015blnie istnieje tylko jeden u\u017cytkownik posiadaj\u0105cy login admin i niezabezpieczony \u017cadnym has\u0142em.<\/span><\/p>

W celu utworzenia nowego u\u017cytkownika nale\u017cy klikn\u0105\u0107 niebieski znak plusa.<\/span><\/p>

Zostanie otwarte okno dodawania nowego u\u017cytkownika.<\/span><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

W pozycji „Name” trzeba wpisa\u0107 nazw\u0119 u\u017cytkownika, b\u0119dzie ona s\u0142u\u017cy\u0142a jako login podczas pr\u00f3by logowania do systemu.<\/span><\/p>

Nast\u0119pnie nale\u017cy wybra\u0107 do jakiej grupy ma zosta\u0107 dodany u\u017cytkownik. Wyr\u00f3\u017cniamy 3 grupy:\u00a0<\/span><\/p>

  • Read – Pozwala tylko na odczytanie konfiguracji systemu, bez mo\u017cliwo\u015bci jej zmiany ani przesy\u0142ania plik\u00f3w,<\/span><\/li>
  • Write – Pozwala na dokonywanie zmian w konfiguracji, poza logowaniem si\u0119 za pomoc\u0105 ftp i przesy\u0142aniem plik\u00f3w oraz zarz\u0105dzania u\u017cytkownikami.<\/span><\/li>
  • Full – pe\u0142ny dost\u0119p do systemu.<\/span><\/li><\/ul>

    „Allowed Address” pozwala wpisa\u0107 adresy, b\u0105d\u017a grupy adres\u00f3w, z kt\u00f3rych dany u\u017cytkownik b\u0119dzie w stanie si\u0119 zalogowa\u0107.<\/span><\/p>

    Kolejna pozycja informuje kiedy nast\u0105pi\u0142o ostatnie pomy\u015blne logowanie. Jest ona uzupe\u0142niana automatycznie przez system.<\/span><\/p>

    Ostatnie dwa pola s\u0105 odpowiedzialne za podanie i potwierdzenie has\u0142a, kt\u00f3re b\u0119dzie wykorzystywane do logowania. Zalecane jest u\u017cycie min 8 znak\u00f3w, wielkich i ma\u0142ych liter, cyfr oraz znak\u00f3w specjalnych.<\/span><\/p>

    W celu utworzenia u\u017cytkownika nale\u017cy klikn\u0105\u0107 przycisk „Apply”<\/span><\/p>

    Teraz mo\u017cna usun\u0105\u0107, b\u0105d\u017a wy\u0142\u0105czy\u0107, domy\u015blnego u\u017cytkownika. W tym celu wystarczy klikn\u0105\u0107 na jego nazw\u0119 2 razy i w nowym oknie wybra\u0107 „Disable” (zaznaczone na czerwono) w przypadku dezaktywacji konta, b\u0105d\u017a „Remove” (zaznaczone na zielono) w przypadku jego usuni\u0119cia.<\/span><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"dezaktywacja\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t

    Dezaktywacja us\u0142ug oraz zmiana portu logowania<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    System RouterOS pozwala na uzyskanie dost\u0119pu na wiele spos\u00f3b. Jednak najcz\u0119stszym jest wykorzystanie do tego narz\u0119dzia Winbox. Pozostawienie pozosta\u0142ych mo\u017cliwo\u015bci niesie za sob\u0105 zwi\u0119kszone ryzyko uzyskania nieupowa\u017cnionego dost\u0119pu.<\/span><\/p>

    W celu dezaktywacji us\u0142ug nale\u017cy przej\u015b\u0107 do zak\u0142adki IP-> Services.<\/b>\u00a0Zostanie ukazany widok jak na zdj\u0119ciu poni\u017cej.<\/span><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"lista\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    W celu wy\u0142\u0105czenia danej us\u0142ugi nale\u017cy klikn\u0105\u0107 wybran\u0105 pozycj\u0119, tak aby pod\u015bwietli\u0142a si\u0119 na niebiesko (patrz zdj. powy\u017cej) a nast\u0119pnie czerwony znak „X”. Wy\u0142\u0105czona us\u0142uga zmieni kolor na szary. Nale\u017cy wy\u0142\u0105czy\u0107 w ten spos\u00f3b wszystkie pozycje poza „winbox”.\u00a0<\/span><\/p>

    B\u0119dzie to jedyna opcja pozwalaj\u0105ca na dost\u0119p do edycji konfiguracji RouterOS. Jednak aby j\u0105 zabezpieczy\u0107 nale\u017cy zmieni\u0107 domy\u015blny port. W tym celu nale\u017cy klikn\u0105\u0107 2 razy na na pozycj\u0119 „winbox”.<\/span><\/p>

    Zostanie otwarte nowe okno.<\/span><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"edycja\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    W polu „Port” nale\u017cy poda\u0107 nowy numer portu. W celu zatwierdzenia zmian nale\u017cy klikn\u0105\u0107 przycisk „Apply”. Od teraz, po wpisaniu adresu IP w programie Winbox, nale\u017cy wpisa\u0107 dwukropek „:” i poda\u0107 numer portu, np 192.168.0.1:5963.<\/span><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

    \n\t\t\t\t
    \n\t\t\t\t\t

    Podstawowe regu\u0142y firewall<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    Regu\u0142 firewall s\u0142u\u017c\u0105 do zarz\u0105dzania ruchem w sieci. Aby zastosowa\u0107 regu\u0142y znajduj\u0105ce si\u0119 poni\u017cej trzeba skorzysta\u0107 z terminala. Z menu z lewej strony nale\u017cy wybra\u0107 pozycj\u0119 „New terminal” w\u00f3wczas zostanie otwarte okno CLI.<\/span><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"okno\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    W celu przej\u015bcia do miejsca dodawania regu\u0142 firewall nale\u017cy wyda\u0107 nast\u0119puj\u0105ce polecenie:<\/span><\/p>

    ip firewall filter\n<\/span><\/pre>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t
    Teraz mo\u017cna przyst\u0105pi\u0107 do dodawania regu\u0142. Nale\u017cy pami\u0119ta\u0107 aby przed ich wpisaniem edytowa\u0107 je podaj\u0105c odpowiednie adresy IP, nazwy interfejs\u00f3w oraz numery port\u00f3w odpowiednie dla danej konfiguracji sieci.<\/span><\/p>
    1. add chain=forward action=accept connection-state=established,related log=no log-prefix=\"\"\n\n2. add chain=forward action=accept connection-state=established,related,new src-address=192.168.1.0\/24 in-interface=bridge1-lan out-interface=pppoe-nsix log=no log-prefix=\"\"\n\n3. add chain=forward action=drop log=no log-prefix=\"\"\n\n4. add chain=output action=accept log=no log-prefix=\"\"\n\n5. add chain=input action=accept protocol=icmp icmp-options=8:0-255 log=no log-prefix=\"\"\n\n6. add chain=input action=accept connection-state=established,related,new protocol=udp src-address=192.168.1.0\/24 dst-address=192.168.1.1 in-interface=bridge1-lan dst-port=53 log=no log-prefix=\"\"\n\n7. add chain=input action=accept connection-state=established,related,new protocol=tcp src-address=192.168.1.0\/24 dst-address=192.168.1.1 in-interface=bridge1-lan dst-port=53 log=no log-prefix=\"\"\n\n8. add chain=input action=accept connection-state=new protocol=tcp src-address=192.168.1.0\/24 dst-address=192.168.1.1 in-interface=bridge1-lan dst-port=5963 log=no log-prefix=\"\"\n\n9. add chain=input action=accept connection-state=established,related log=no log-prefix=\"\"\n\n10. add chain=input action=drop log=no log-prefix=\"\"\n<\/span><\/pre>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t
    Opis poszczeg\u00f3lnych regu\u0142:<\/span><\/p>
    1. \u00a0Zezwolenie na ruch forward dla po\u0142\u0105cze\u0144 ju\u017c nawi\u0105zanych.<\/span><\/li>
    2. Zezwolenie na ruch forward dla nowych po\u0142\u0105cze\u0144 z sieci LAN (w tym przypadku 192.168.1.0\/24).<\/span><\/li>
    3. Zablokowanie pozosta\u0142ego ruchu forward.<\/span><\/li>
    4. Zezwolenie na ruch typu output.<\/span><\/li>
    5. Zezwolenie na zapytania typu ping (ICMP).<\/span><\/li>
    6. Zezwolenie na zapytania DNS po protokole typu UDP na routerze.<\/span><\/li>
    7. Zezwolenie na zapytania DNS po protokole typu TCP na routerze.<\/span><\/li>
    8. Zezwolenie na inicjowanie po\u0142\u0105czenia do us\u0142ugi winbox po stronie LAN z wykorzystaniem portu 5963.<\/span><\/li>
    9. Zezwolenie na pozosta\u0142e po\u0142\u0105czenia w stanie ju\u017c nawi\u0105zanym.<\/span><\/li>
    10. Zablokowanie pozosta\u0142ego ruchu typu input.<\/span><\/li><\/ol>
      Nale\u017cy pami\u0119ta\u0107, \u017ce w przypadku regu\u0142 firewall w systemie RouterOS wa\u017cna jest ich kolejno\u015b\u0107. S\u0105 one stosowane od pozycji 0 do N . Np. gdy regu\u0142a odpowiadaj\u0105ca za blokowanie danego ruchu jest ponad regu\u0142\u0105 zezwalaj\u0105c\u0105, ruch zostanie zablokowany, pomimo poprawno\u015bci obu regu\u0142.<\/span><\/div>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
      \n\t\t\t\t
      \n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"regu\u0142y\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"
      Wiele os\u00f3b nie zdaje sobie sprawy w jaki spos\u00f3b poprawnie zabezpieczy\u0107 system RouterOS. Niejednokrotnie zdarza si\u0119, \u017ce kto\u015b uzyska\u0142 nieuprawniony dost\u0119p z powodu b\u0142\u0119du ludzkiego w postaci zastosowania s\u0142abego has\u0142a, pozostawienia domy\u015blnych ustawie\u0144 us\u0142ug s\u0142u\u017c\u0105cych do zarz\u0105dzania systemem b\u0105d\u017a \u017ale skonfigurowanej zapory sieciowej. Zastosowanie podstawowych \u015brodk\u00f3w ostro\u017cno\u015bci znacz\u0105co utrudni dost\u0119p do urz\u0105dze\u0144 firmy MikroTik b\u0105d\u017a […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[182],"tags":[194,202,42,138,187,122,233,41],"class_list":["post-3252","post","type-post","status-publish","format-standard","hentry","category-mikrotik-chr","tag-chr","tag-cloud-hosted-router","tag-firewall","tag-mikrotik","tag-routeros","tag-siec","tag-uslugi","tag-zabezpieczenia"],"_links":{"self":[{"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/posts\/3252","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/comments?post=3252"}],"version-history":[{"count":19,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/posts\/3252\/revisions"}],"predecessor-version":[{"id":5102,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/posts\/3252\/revisions\/5102"}],"wp:attachment":[{"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/media?parent=3252"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/categories?post=3252"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/tags?post=3252"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}