Чтобы увидеть, пытается ли кто-то проникнуть на Mikrotik RouterBoard, зайдем в раздел LOG.
Рис. 1. Содержимое лог-файла.
На данный момент какой-то гад нагло пытается подобрать пароль к Mikrotik RouterBoard. Об этом свидетельствуют записи system error critical. Опции отображаются красным цветом. Так же из этой записи можно видеть и дату, когда пытались подключиться, время, IP адрес злодея и сервис, на который идет атака. В данном случае это via ssh, то есть SSH сервис.
Что мы можем предпринять для зашиты Mikrotik RouterBoard? Первым делом нужно определить, какие службы запущены на Mikrotik RouterBoard. Переходим в раздел Ip Services.
Рис. 2. Раздел Services.
В появившемся окне мы видим список запущенных сервисов. Name это название сервиса.
FTP – это ftp сервер, с помощью которого можно загружать файлы на сервер и скачивать их.
SSH – это сервер, с помощью которого можно подключиться к Mikrotik RouterBoard при помощи консольных клиентов (таких как putty) и управлять Mikrotik RouterBoard консольными командами.
WINBOX – это графический интерфейс для управления Mikrotik RouterBoard.
WWW – это Веб сервер, который дает возможность с помощью браузера подключится к Mikrotik RouterBoard.
Port – это порт, на котором сервисы ожидают подключения.
Available From – указывает, для какого ip адреса или подсети разрешен доступ. 0.0.0.0/0 разрешает доступ с любого IP адреса.
Available From можно изменить таким образом, чтобы доступ к Mikrotik RouterBoard был только из внутренней сети.
Рис. 4. Изменяем сеть для которой разрешен доступ.
Кликаем дважды левой клавишей мыши на интересующем нас сервисе. Заменяем 0.0.0.0/0 на нужную нам сеть (допустим 192.168.4.0/24). Теперь сервис доступен только для сети 192.168.4.0/24.
Рис. 5. Разрешенная сеть.
Также можно разрешить доступ только с компьютера администратора: кликаем на нужном сервисе и указываем IP адрес компьютера администратора.
Рис. 6. Разрешенный IP адрес.
Сервисы FTP и WWW можно вообще отключить, если они вами редко используются.
Выбираем сервис и жмём красный крестик.
Рис. 7. Оставшиеся активные сервисы.
Рис. 8. Результат проделанной работы.
Вот и всё. Как мы видим, после выполнения действий взломщик еще один раз успел попытаться подключится. После применения настроек его попытки закончились.
Евгений Рудченко специально для asp24
Если Вы нашли ошибку в тексте, то выделите ее мышкой и нажмите Ctrl + Enter или нажмите здесь.
Сообщение об ошибке
Ошибка:
Ваш комментарий (не обязательно):
Спасибо за урок, пригодился!
Спасибо за урок, жаль поздно об этом подумал но пароль неподобрали но всеже надо обезопаситься
Спасибо, за урок мне очень помог!
Это все конечно хорошо, но что делать, если вам необходимо подключиться к серверу извне???
Лично я использую нестандартные порты для подключения, так как взломщики, в основном, пользуются стандартными программами для брутфорса по 22 порту. Я перевешиваю сервис на другой порт, например, 222 или 22222.
И не забывайте про взломоустойчивые пароли.
Очень глупое решение. Даже для 2011-го года. Сканер портов найдёт ваш сервис хоть на 65535 порту всего за несколько часов.
Спасибо за статью, очень пригодилась.
Спасибо за пост!
И прошу помощи! Установил по ошибке IP и маску 192.168.1.0/32 для доступа к Mikrotik. Надо было /24. Теперь никак не могу попасть туда! Что делать!? Выручайте, гуру?
Каким то чудом удалось пробраться через винбокс, при этом все поля были пустые, только через минуты две появился список сервисов, включил отключённый telnet, … ито с 4й попытки, зашёл через него и включил остальные сервисы и поменял маску на правильную, уфф сума сойти, думал уже придётся полный "резет" делать. Не понятно почему меня пустил винбокс. вот в чём вопрос!?
http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention
Спасибо
А по мак-адресу всё равно будет возможность ходить из внутренней сети, как от этого защититься?
Разрешите только определенный мас
Спасибо, огромное!!!
Я лично сделал по другому .. я поднял ВПН и при подключении могу рулить не только роутером но и серверами внутри сети .. я думаю так безопаснее и проще .
П.С. поднятие впн на другом компе это минутное дело ..
спасибо, очень дельная статья
Хорошая статья…вариант предложеный с ВПН….тоже хорошо….НО ВПН бывает разный, не суть. Даже если у вас есть правила от брут форса по ssh. то дает нагрузку на процессор. А тту уже в зависимости от железки, я б рекомендовал еще сменить порт.
А если порт, чью службу вырубаем, и/или сам порт службы нужен?
vpn тот же.
Если нельзя создать белый лист, ибо вход может производиться с разных ip (вход с мобильной сети, как пример).
гуглил тему на предмет создания черного списка. Похоже, авторы копируют этот блог друг у друга и выкладывают однотипную инструкцию. По гуглу весь инет забит блогами такого толка, как у автора.
“Похоже, авторы копируют..” почти все авторы кого-то копируют.
Подключался по ssh,учился пользоваться консолью. Ребутнул роутер и теперь не могу подключиться. В логах даже нет инфы что я пытаюсь это сделать. Пинг идет. В чем может быть дело? Спасибо
После выше описанных действий, (в статье) микротик перестает “отдавать” свой mac провайдеру, в итоге после перезапуска (ребута) устройства или ОС не назначаются DHCP настройки провайдера.
убирать доступ извне нужно ТОЛЬКО встроенным фаерволом, без отключения сервисов.
А при чем тут перенастройка доступа для управления Микротиком (по всем сервисам) к отдаче МАС адреса WAN потра – провайдеру? У меня лично всё работает, и я от провайдера раз в месяц получаю новый IP-адрес.
С уважением…
Спасибо! Полезная статья.
Помогло, дуже дякую!!!
Очень короткие статьи пишите, раскрывайте тему шире. Чтоб человек мог выбрать. Должно быть несколько предложений на разную степень безопасности и подготовки. Идеальная статья в данном случает “Закрываемся от покушающихся на SSH” и там комплекс мер, от ограничения по айпи и заканчивая сменой порта, ханепотом и порт кнокингом.
Здравствуйте!
А не расскажете, как на микротике настроить доступ из интернета к серверам в локальной сети только с определенных IP-адресов? Один из серверов в сети почтовый и его постоянно атакуют хакеры и спамеры. Необходимо, чтобы доступ на 25-й порт сервера был только с определенных IP-адресов. Все риски я понимаю в плане, что некоторые письма перестанут доходить, но тем не менее. Просто надоело уже видеть в логах кучу сообщений о попытках SMTP-авторизации с китайских, индийских и т.п. IP-адресов.
Поменять порт на нестандартный невозможно?
Если я правильно понимаю, то у Вас проброшены наружу порты для работы почты и других сервисов. Я бы сделал 2 правила, первое будет разрешать доступ с IP адресов вашей страны к проброшенным портам, второе – запрещать все.
Thanks for the article!
Большое спасибо! Именно этот лог с постоянно ломящимися козлами меня и напрягал! Я искал где это можно запретить, но не нашел. Оказывается есть отдельная менюшка специально для этих сервисов… Достаточно просто чтобы сделала любая “блондинка”, но не зная где искать – не найдешь.
Спасибо. Сделал, помогло.