Mikrotik-удаленный доступ к роутеру через интернет

Ошибки в прошивках популярных роутеров обнаруживают регулярно. Однако просто найти баг недостаточно, его еще нужно обезвредить. Сегодня мы поговорим о том, как обезопасить себя от уже известных уязвимостей в RouterOS и защититься от тех, которые выявят в будущем.

INFO

Подробный рассказ об известных на сегодняшний день багах в RouterOS ты можешь найти в статье «Опасный MikroTik. Разбираемся в уязвимостях популярных роутеров».

Обновления

Несмотря на страшные описания и действительно большую опасность, которую таят в себе уязвимости, стоит отдать должное разработчикам MikroTik: они в кратчайшие сроки выпускают патчи. Многие дыры закрываются еще до их утечки в паблик, оставшиеся — в течение дня-двух. Поэтому первое, на что нужно обратить внимание, — актуальность версии RouterOS на твоем девайсе. Автоматически система не обновляется, поэтому за появлением новых версий нужно следить вручную. В разделе Software на сайте MikroTik лежат актуальные версии операционной системы и отдельных пакетов. Простейший способ обновиться: System → Packages → Check For Updates → Download and Install.

Те же действия можно выполнить, набрав в консольной строке роутера следующую команду: /system package update install.

Рекомендуем почитать:

Xakep #264. NFT

Доступны четыре ветки разработки: Long-term, Stable, Testing и Development. Для критичных систем рекомендуется ставить Long-term. Железка, которая может полежать пару минут в процессе обновления, достойна Stable, остальные ветки оставь для экспериментов на домашнем роутере. Перед обновлением внимательно читай Changelog. Иногда полностью перерабатываются некоторые части ОС, после чего они не способны работать со старой конфигурацией (так было, например, с bridge в 6.41).

Если ты счастливый владелец нескольких роутеров MikroTik, помни, что массовый апгрейд стандартными средствами невозможен, но можно воспользоваться The Dude или самописными скриптами.

Packages

Следующее, за что можно взяться для повышения безопасности, — отключить ненужную функциональность. Не используешь IPv6 — отключай, не нужен Wi-Fi — отключи весь модуль, отвечающий за него (все в том же меню System → Packages). Обрати внимание, что полностью удалить из системы можно только дополнительные пакеты, то есть те, что не входят в routeros-platformname.

Службы

Все угрозы для MikroTik работают, только если админ заранее не позаботился о безопасности. При элементарных настройках служб и файрвола роутер проработает годы без обновлений. В меню IP → Services отключи ненужные службы. Рекомендую открывать только SSH и Winbox с определенных адресов, остальное — disable. Того же самого эффекта можно добиться командой /ip service disable ftp.

Также проверь, не включены ли службы IP: Web Proxy, IP → UPnP, IP → Socks. Если они включены без твоего ведома, у меня для тебя плохие новости. Вот команды для отключения этих служб из командной консоли: /ip proxy, /ip upnp, /ip socks.

RouterOS имеет работающий по протоколу MNDP механизм обнаружения соседей. Знать соседей в своей сети — отличная идея, но вот светить моделью роутера и версией софта в окружающее пространство вряд ли хорошо с точки зрения безопасности.

Функция обнаружения соседей, как и многие другие фичи в RouterOS, использует в работе списки интерфейсов. В дефолтной конфигурации уже есть списки LAN, WAN, dynamic, all и none, но можно создать и свои списки со сложной структурой. Допускаются вложенные списки (include) и исключения (exclude). Настраиваются они в меню Interface → Interface Lists. Сначала создаем сам список (кнопка Lists), затем в основном меню добавляем в него интерфейсы. Команда для работы со списками выглядит так: /interface list.

INFO

В список dynamic входят динамические интерфейсы, такие как VPN-интерфейсы, PPPoE. None означает «ни одного», all — «все». В дефолтной конфигурации «домашних» роутеров в списке WAN будет ether1, в LAN — от ether2 до ether5, все Wireless-интерфейсы и bridge.

Как известно, подключиться к RouterOS можно не только по IP-адресу, но и по MAC. Также работает ping по MAC-адресу. За работу этих служб отвечает Tools → MAC Server. Он тоже использует в настройках списки интерфейсов. Стоит выделить отдельную группу интерфейсов под управление, а затем разрешить обнаружение соседей и MAC Server только ей.

Не отключай MAC Winbox и MAC Telnet совсем: однажды наступит момент, когда ты сломаешь себе доступ по Winbox и нужно будет воспользоваться подключением по MAC, поэтому лучше держать такой бэкдор для себя. К тому же MAC Telnet полезен, когда в сети появляется новая железка, у которой еще нет IP-адреса. Тогда ее удобно настраивать из консоли соседнего роутера.

WWW

На сайте производителя представлен полный список доступных сервисов. Можно пройтись по нему и проверить, не включено ли у тебя что-то лишнее.

Дефолтная конфигурация RouterOS с описанными выше дополнениями повысит безопасность роутера. Вообще, разработчики постарались сделать Default Configuration максимально универсальной и учли многие нюансы безопасности. Дальше мы рассмотрим дополнительный харденинг RouterOS.

Пользователи и группы

Если ИТ-отдел в твоей компании большой, в нем наверняка есть разделение ролей и обязанностей. К примеру, сотруднику техподдержки ни к чему права на создание VPN-соединений или просмотр пароля Wi-Fi, в то время как сетевики, естественно, должны иметь к ним доступ. RouterOS имеет достаточно гибкий механизм распределения прав. Права назначаются в группах, затем в нужную группу добавляется юзер. Управление группами доступно в меню System → Users, а также с помощью команды /user group.

Рассмотрим права групп подробнее:

• telnet, ssh, ftp, winbox, web, api, romon, dude, tikapp — понятны по названию. Разрешают юзеру подключаться по указанным протоколам;
• local — открывает доступ к роутеру через консоль. При отключении также заберет право открывать терминал внутри Winbox;
• reboot — право на перезагрузку;
• read, write — права на чтение или запись;
• sniff — права на исполнение встроенного аналога tcpdump (tools → sniffer);
• test — запуск инструментов траблшутинга (ping, traceroute, bandwidth-test, wireless scan, snooper);
• password — право менять собственный пароль;
• policy — право управлять учетными записями и группами.

Чувствительные данные

На группе настроек sensitive остановимся чуть подробнее. В RouterOS определены так называемые чувствительные данные. К ним относятся ключи Wi-Fi, IPSec, SNMP, пароли VPN-интерфейсов и серверов, пароли протоколов маршрутизации и другая информация, влияющая на безопасность.

В меню окна Winbox в разделе Settings есть флажок Hide Sensitive. Когда он включен, эта чувствительная информация закрыта звездочками и в терминале ее тоже не видно. Эдакая защита от разглашения паролей. С отключенной опцией Sensitive в настройках группы этот чекбокс не снимается, то есть право Sensitive разрешает пользователю видеть введенные пароли.

Port Knocking

Чуть выше мы говорили об ограничении доступа к управляющим службам роутера только с определенных адресов. Это очень важно: протокол Winbox далек от идеала и есть вероятность, что в нем еще будут находить дыры. Но часто приходится подсоединяться к роутеру из гостиниц или кафе, и невозможно предусмотреть все адреса, с которых подключишься.

Среди админов распространена техника Port Knocking. Изначально порт закрыт для всех. Но стоит снаружи выполнить какую-то последовательность действий, как для твоего IP открываются все порты для управления. Этот набор действий может быть очень сложным, и подобрать его нереально. Рассмотрим пример:

• изначально все порты управления закрыты для всех, кроме списка разрешенных;
• если на порт роутера 1234 попадает TCP-сегмент, затем два на порт 4321 и один на порт 5678, то адрес источника заносится в список разрешенных на сутки.

Реализовать эту последовательность действий поможет следующий скрипт.

/ip firewall filter add action=accept chain=input dst-port=22,8291 protocol=tcp      src-address-list=mgmt_allow add action=drop chain=input dst-port=22,8291 protocol=tcp add action=add-src-to-address-list address-list=mgmt_stage1      address-list-timeout=1m chain=input connection-state=new      dst-port=1234 protocol=tcp add action=add-src-to-address-list address-list=mgmt_stage2      address-list-timeout=1m chain=input connection-state=new      dst-port=4321 protocol=tcp src-address-list=mgmt_stage1 add action=add-src-to-address-list address-list=mgmt_stage3      address-list-timeout=1m chain=input connection-state=new      dst-port=4321 protocol=tcp src-address-list=mgmt_stage2 add action=add-src-to-address-list address-list=mgmt_allow      address-list-timeout=1d chain=input connection-state=new      dst-port=5678 protocol=tcp src-address-list=mgmt_stage3 

Правила 3–6 (action=add-src-to-address-list) выполняют описанную выше логику. Первое правило разрешает доступ к управлению роутером только адресам из списка mgmt_allow, который заполняется на этапах 3–6. Второе правило запрещает доступ всем. Первые два правила вынесены наверх для того, чтобы избежать ненужного прохождения менеджмента трафика по четырем правилам с логикой и тем самым снизить нагрузку на CPU.

Но провернуть подобную операцию с Windows не так просто: из стандартного набора программ выпилили Telnet, а качать сторонний софт не всегда возможно. Зато любая ОС позволяет менять размер ICMP-пакета при пинге. Этим мы и воспользуемся. Изменим условия:

• изначально все порты управления закрыты для всех, кроме списка разрешенных;
• если на роутер попадает ICMP Request размером 345 байт, затем два размером 543 и один 678 байт, то адрес источника заносится в список разрешенных на сутки.

Для этого всего лишь поменяем предыдущие правила:

1. Установим прокол ICMP.
2. На вкладке Advanced зададим размер Packet Size.

INFO

Не забывай, что размер пакета, указанный в пинге, и размер пакета, долетевшего до роутера, — это разные значения. В Linux к ICMP прибавляется 28 байт заголовков, то есть, чтобы отправить пакет размером 345 байт, нужно в пинге указать размер 317. У Windows цифры другие — она по-своему считает заголовки.

Wireless

RouterOS поддерживает белые и черные списки Wi-Fi. Для этого есть список Wireless Access List. Просто добавь туда устройства, которые не имеют права подключаться к сети, а потом сними флажки Authentication и Forwarding. Еще для этих целей можно использовать команду /interface wireless access-list add.

Описанный выше случай будет работать как Blacklist. Чтобы преобразовать его в Whitelist, нужно поставить указанные флажки и изменить тип работы интерфейса Wireless с помощью команды /interface wireless set 0 default-authentication=no.

Флажок Authentication отвечает за аутентификацию клиентов. Если он установлен для определенного интерфейса, аутентификация разрешена всем, кроме тех устройств, которые перечислены в списке доступа без флажка. Если на интерфейсе флажок не установлен, то подключиться к сети могут лишь те, кто присутствует в списке доступа с флажком.

Настройка Forwarding отвечает за передачу данных между клиентами одной подсети. Обычно ее не стоит трогать, но, если ты строишь, к примеру, hotspot-сеть, клиенты которой будут ходить только во внешние сети (то есть внутреннее взаимодействие им не нужно), отключи данную опцию — это улучшит качество связи.

С помощью Wireless Access List можно настроить сложную логику работы клиентов: по уровню сигнала, времени суток, ограничить скорость каждого клиента или загнать его в определенный VLAN без дополнительных телодвижений. Очень рекомендую познакомиться с этим инструментом поближе.

INFO

А еще MikroTik умеет делать SSID в виде эмодзи, например так: 💀👽💲. Для этого нужно перевести символы в Unicode с помощью инструмента вроде такого и вставить полученную строку в SSID.

Заключение

Мы рассмотрели минимум действий, которые помогут роутеру стать безопаснее, а админу спать спокойнее. Но у RouterOS под капотом еще очень много возможностей, и если не включать мозг при их настройке, то никакие статьи не уберегут тебя от взлома. Вообще, мозг — отличный инструмент. Им нужно пользоваться регулярно.

← Ранее Современная оперативная память по-прежнему уязвима перед атаками RowhammerДалее → Из-за опасного бага Avast отключает JavaScript-движок в своем антивирусе

MikroTik R11e-LTE – прекрасный вариант для подключения абонента к сети интернет. Отлично подходит для загородных участков, и мест со слабо развитой проводной сетью. Качество связи напрямую зависит от сотового оператора, которого вы используете. Поддерживает любые сим-карты, работая в диапазонах сети 3G, 4G, GSM. Заявленная максимальная скорость в LTE доходит до 150 Мбит/с, но фактическим я сам добивался стабильных 72 Мбит. Коэффициент усиления самой LTE антенны 9 дБи. Эта инструкция по быстрой настройке MikroTik R11e-LTE поможет разобрать некоторые параметры.

Подключаем R11e-LTE через POE инжектор к компьютеру и подаем питание. Шлюз по умолчанию 192.168.88.1 – открываем через браузер. При первом включении попадаем в QuickSet где прописываем APN оператора (у меня это internet.yota). Затем придумываем и повторяем пароль для входа в оборудование и нажимаем Apply Configuration.

Управление через WinBox

На странице входа видим быстрые ссылки. Winbox – портативная программа для управления оборудованием MikroTik. Качаем ее и запускаем. Работать дальше мы будем через нее.

Управление через терминал

Telnet – это консоль, куда можно сразу вводить готовые скрипты. Внизу каждой настройки будет написаны скрипты, которые можно просто ввести в окне терминала. Оно находится в боковом меню и называется New Terminal.

Авторизация и настройка

В программе WinBox есть возможность подключиться как по IP адресу, так и по MAC. В моем случае антенна подключена через маршрутизатор, и я подключился по IP. Вводим логин, вводим пароль, что вы придумали ранее и нажимаем Connect.

Первым делом я меняю время жизни IP адреса с 5 минут на 3 дня. Заходим в боковую вкладку IP → DHCP Server → DHCP → двойным щелчком открываем параметр deconf → Lease Time: ставим 72 часа. Apply. Теперь новые IP адреса подключенным устройствам будут выдаваться каждые три дня.

/ip dhcp-server add address-pool=dhcp disabled=no interface=bridge lease-time=3d name=defconf

Еще одна важная функция Watchdog Timer. При программном сбое роутер сделает перезагрузку автоматически, что сделает работу автономной. Заходим в System → Watchdog → Ставим галочку Watchdog Timer → Watch Address: адрес, на который будут отправляться пакеты, для того что бы проверить может ли роутер достучаться до сети интернет. Для проверки я использую IP адрес сайта ya.ru – это 87.250.250.242 → Ping Start After Boot: это время между проверками ответа сайта. Я ставлю два часа. Ping Timeout: тайм аут между пакетами. Убираем галочку с Automatic Supuot это формирование автоматического отчета в память. Это нам не нужно. Кнопочка → Apply.

/system watchdog set automatic-supout=no no-ping-delay=10m watch-address=87.250.250.242

Смена IP адреса

Иногда может быть необходимость в смене IP адреса. В MikroTik R11e-LTE это можно сделать в несколько действий. Для начало нужно запустить программу WinBox.

Вкладка Neighbors показывает подключенные устройства в реальном времени. Нам нужно зайти по MAC адресу. Кликаем два раза по MAC адресу, что бы он появился в форме Connect To, вводим логин и пароль и попадаем в меню управления.

Первым делом идем в IP → Addresses → два клика по правилу ;;; deconf → меняем на нужную под-сеть и адрес в Address и Network → Принимаем.

/ip address add address=192.168.0.1/24 comment=defconf interface=bridge network=     192.168.0.0

Следующий шаг в том же IP → DHCP Server → вкладка Networks → двойной клик по ::: deconf → меняем Address и Gateway на нужные, как делали выше → Принимаем.

/ip dhcp-server network add address=192.168.0.0/24 comment=defconf dns-server=192.168.1.1 gateway=     192.168.0.1

Ну и наконец-то изменить пул адресов. Так-же IP → Pool → двойным по dhcp → в Addresses меняем цифры на свои. На этом всё.

/ip pool add name=dhcp ranges=192.168.0.10-192.168.0.240

Журнал событий

Стоит дополнить, что в всем оборудовании MikroTik есть очень полезная вкладка Log. Это системный журнал, куда заносятся все события. Здесь можно посмотреть сбои и прочую информацию. Советую по чаще заглядывать туда.

Это была инструкция по быстрой настройке MikroTik R11e-LTE. Если вы еще не купили R11e-LTE, можете посетить этот интернет магазин сетевого оборудования. В следующей статье читайте как обойти блокировку на безлимитных тарифах МТС, Tele2 и Megafon для смартфонов.

Содержание

Настройка удаленного доступа к роутеру MikroTik

Здравствуйте, Настройка удаленного доступа к роутеру MikroTikвещь очень нужная. Поэтому я в этой статье я хочу рассказать вам, как произвести  настройку удаленного доступа к роутеру MikroTik. Уверен что это пригодится вам когда вы  установили данный маршрутизатор  вашему клиенту. Данную информацию должен знать каждый системный администратор, который хочет иметь доступ к своему устройству MikroTik.  А так же закрыть брешь в прошивки RouterOS от подбора пароля.

Первое что я вам порекомендую это скачать Winbox с сайта MikroTik. Конечно и с Web интерфейса тоже можно осуществлять настройку и между Winbox и Веб интерфейсом отличий практически нет. Но утилита Winbox намного удобнее. Но не  буду отходить от темы.

Настройка доступа к роутеру MikroTik:

После того как вы  подключились к роутеру, выбираем пункты меню слева:

IP — Firewall

В открывшемся окне на вкладке Filter Rules нажимаем на кнопку с синим плюсом, это  действие добавит новое правило. В открывшемся окне нам следует указать следующие параметры, как на картинке:

Chain: input

Protocol: TCP

Dst. Port: Это открытый порт на роутере MikroTik. Например для доступа через веб-интерфейс требуется открыть  — 80 порт.  Через программу WinBox нужен — 8291 порт , через Telnet — 23.

Далее переходим на вкладку Action и выбираем accept.

Рекомендую вам комментировать всегда комментировать правила в Фаерволе, даже самое незначительное. Данные вещи имеют свойство очень быстро забываться. Для того чтоб написать комментарий к правилу.  Выбираем правило которое надо закомментировать,  нажимаем «Comment».

Нажимаем «Apply» или «Ok».

После того как вы создали  правила, в главном окне «Firewall» на вкладке «Filter Rules». Требуется выставить правила, так как   все они работают согласно порядку, в котором они отображаются. То есть правило которое мы сделали нам необходимо поднять как можно выше, иначе оно работать не будет. Я помещаю созданные правила обычно сразу после правила на разрешение icmp-пакетов.

Ограничение удаленного доступа:

После настройки доступа к роутеру, его нужно сильно ограничить, чтобы злоумышленники не смогли заполучить доступ к вашему оборудованию. Переходим в следующее меню:

IP — Services

Далее выбираем службу, к которой настраивали доступ. Если это доступ через веб-интерфейс, то выбираем www. В появившемся окне в поле «Available From», добавляем ip-адреса, либо сети, из которых доступ разрешен. Можно разрешить доступ к роутеру из локальной сети, добавив сеть 192.168.x.0/24, помимо внешних адресов, с которых должен быть доступ к устройству. Обязательно добавьте в первую очередь адрес, с которого вы подключены к роутеру. После установки устройства его можно удалить.

Настройка доступа через терминал RouterOS:

Через командную строку правила будут выглядеть следующим образом:

/ip firewall filter add chain=input protocol=tcp dst-port=80 disabled=no action=accept

Используемые источники:

• https://xakep.ru/2020/03/12/good-mikrotik/
• https://semicon.su/seti/instrukcziya-po-bystroj-nastrojke-mikrotik-r11e-lte/
• https://setiwik.ru/nastrojka-udalennogo-dostupa-router/