Mikrotik Ros 安全基本配置

这篇具有很好参考价值的文章主要介绍了Mikrotik Ros 安全基本配置。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

基本概述

Mikrotik路由器是一种基于Linux内核的网络操作系统,常用于构建企业级网络和个人网络。为了确保网络的安全性,对Mikrotik RouterOS进行适当的安全加固是至关重要的。本文将介绍一些Mikrotik RouterOS的基本安全配置,以帮助您提高网络的安全性。

Mikrotik系列路由器也成RouterOS软路由,RouterOS是基于Linux内核的网络操作系统,其预装在MikroTik生产的路由器、无线设备以及RouterBOARD上。同时,它也可以安装在x86平台的个人电脑上,用于将电脑转化为路由器,并实现防火墙、虚拟专用网络服务器、强制门户网关等功能[4]。MikroTik也提供用于虚拟机和云服务的RouterOS镜像,其被称为云托管路由器(Cloud Hosted Router)。

安全建议

互联网基于对Mikrotik路由器的攻击从未停止,基于路由安全考虑,需要对ros安全加固。

在企业中使用,往往有在路由器上配置公网IP,并提供对外访问的接口,因此,为了安全起见:
1、禁止外网Ping路由器外网IP
2、修改管理员默认账号(admin)
3、设置高强度管理员密码
4、限制允许登录的IP网段
5、如有开启8291端口,使用winbox服务,需要禁止使用mac地址登录winbox,并对外关闭8291

端口扫描

通过使用nmap扫描ros外网IP开放端口,其中open为开放服务:

PORT STATE SERVICE VERSION
25/tcp filtered http smtp
53/tcp open  domain Mikrotik Routeros named or openDns Updater    #dns端口,上网必要
80/tcp filtered
135/tcp filtered msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
443/tcp filtered https
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
1723/tcp  open pptp      					#pptp
2000/tcp  open  bandwidth-test krotik		#带宽测试用于测试MikroTik路由器的吞吐量,/tool bandwidth-server set enabled=no(测试时开启即可)
4343/tcp open ss1/unical1?   				#TCP 端口 4343 使用传输控制协议
4444/tcp filtered krb524					
8080/tcp filtered http-proxy					
8291/tcp open http unknown					#winbox通信协议端口,限制内网运维IP可以访问

安全加固设置

禁止外网Ping

禁止外网Ping是一种常见的安全措施,可以防止攻击者通过Ping扫描来确定您的网络是否存在。您可以通过以下步骤来禁止外网Ping:

  1. 登录到Mikrotik RouterOS的管理界面。
  2. 进入"IP"菜单下的"Firewall"子菜单。
  3. 在"Firewall Rules"选项卡下,创建一个新的规则。
  4. 设置"Chain"为"input",“Protocol"为"icmp”。
  5. 在"Action"设置中选择"drop",这将丢弃所有传入的icmp流量。
  6. 保存并应用规则。
    routeros默认账号密码,Routing&Switch,安全,网络,智能路由器,软路由

通过禁止外网Ping,您可以减少暴露给外部网络的信息,增加网络的隐蔽性。

修改管理员默认账号

Mikrotik RouterOS默认的管理员账号为"admin",为了增加系统的安全性,建议修改默认的管理员账号。您可以按照以下步骤修改管理员账号:

  1. 登录到Mikrotik RouterOS的管理界面。
  2. 进入"System"菜单下的"Users"子菜单。
  3. 找到默认的管理员账号"admin",点击编辑按钮。
  4. 在"Name"字段中输入一个新的管理员账号名称。
  5. 保存修改。

通过修改管理员默认账号,可以减少攻击者猜测管理员账号的可能性,提高系统的安全性。

设置高强度管理员密码

管理员密码是保护Mikrotik RouterOS的重要组成部分。为了确保密码的安全性,建议设置一个高强度的管理员密码。以下是一些创建高强度密码的建议:

  • 使用至少8个字符的密码,包括大写字母、小写字母、数字和特殊字符。
  • 避免使用常见的密码,如"123456"或"password"。
  • 定期更改管理员密码,以防止密码泄露。

通过设置高强度管理员密码,可以提高系统的安全性,减少密码被破解的风险。

限制允许登录的IP网段

为了进一步增加系统的安全性,您可以限制允许登录Mikrotik RouterOS的IP网段。通过限制允许登录的IP网段,您可以防止未经授权的访问尝试。以下是一些限制允许登录的IP网段的步骤:

  1. 登录到Mikrotik RouterOS的管理界面。
  2. 进入"IP"菜单下的"Services"子菜单。
  3. 找到"Winbox"服务,点击编辑按钮。
  4. 在"Allowed Addresses"字段中输入允许登录的IP网段,多个网段之间使用逗号分隔。
  5. 保存修改。

通过限制允许登录的IP网段,可以减少未经授权的访问尝试,提高系统的安全性。

关闭不必要的服务端口

Mikrotik RouterOS默认开放一些服务端口,如HTTP、FTP、API等。为了增加系统的安全性,建议关闭不必要的服务端口。以下是一些关闭不必要服务端口的步骤:

  1. 登录到Mikrotik RouterOS的管理界面。
  2. 进入"IP"菜单下的"Services"子菜单。
  3. 找到不需要的服务端口,点击编辑按钮。
  4. 在"Enabled"字段中选择"no",禁用该服务端口。
  5. 保存修改。

通过关闭不必要的服务端口,可以减少系统暴露给外部网络的攻击面,提高系统的安全性。

禁用通过MAC地址登录Winbox服务

Winbox是一种用于管理Mikrotik RouterOS的图形化工具,通过禁用通过MAC地址登录Winbox服务,可以增加系统的安全性。以下是禁用通过MAC地址登录Winbox服务的步骤:

  1. 登录到Mikrotik RouterOS的管理界面。
  2. 进入"IP"菜单下的"Services"子菜单。
  3. 找到"MAC Server",点击编辑按钮。
  4. 在"Allowed Interface List"字段中选择"none",禁止通过MAC地址登录Winbox服务。
  5. 保存修改。

通过禁用通过MAC地址登录Winbox服务,可以减少未经授权的访问尝试,提高系统的安全性。

禁止SSH登录并限制允许的IP地址

SSH是一种常用的远程登录协议,为了增加系统的安全性,建议禁止SSH登录并限制允许的IP地址。以下是禁止SSH登录并限制允许的IP地址的步骤:

  1. 登录到Mikrotik RouterOS的管理界面。
  2. 进入"IP"菜单下的"Firewall"子菜单。
  3. 在"Firewall Rules"选项卡下,创建一个新的规则。
  4. 设置"Chain"为"input",“Protocol"为"tcp”,“Dst Port"为"22”。
  5. 在"Src Address List"字段中输入允许登录的IP地址列表,多个地址之间使用逗号分隔。
  6. 在"Action"设置中选择"drop",这将丢弃所有未在允许列表中的SSH流量。
  7. 保存并应用规则。

通过禁止SSH登录并限制允许的IP地址,可以防止未经授权的SSH访问,提高系统的安全性。

定义allow_login IP地址

routeros默认账号密码,Routing&Switch,安全,网络,智能路由器,软路由
routeros默认账号密码,Routing&Switch,安全,网络,智能路由器,软路由
routeros默认账号密码,Routing&Switch,安全,网络,智能路由器,软路由
routeros默认账号密码,Routing&Switch,安全,网络,智能路由器,软路由

以上是一些Mikrotik RouterOS的基本安全配置建议,通过采取这些安全措施,您可以增加网络的安全性,保护系统免受潜在的攻击。请记住,网络安全是一个持续的过程,建议定期审查和更新安全配置,以适应不断变化的威胁环境。

参考:
MikroTik Wiki: Securing Your Router
MikroTik - 维基百科,自由的百科全书
Mikrotik路由安全防范设置文章来源地址https://www.toymoban.com/news/detail-767128.html

到了这里,关于Mikrotik Ros 安全基本配置的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全之IPSEC路由基本配置

    目录 网络安全之IPSEC路由基本配置 IPSEC配置的前提分析 协议分析 传输模式分析​编辑 IPSEC路由中的配置 图谱图 配置公网可达 R1配置IKE SA的安全提议 R1配置 IKE SA 的身份认证信息 R3配置IKE SA的安全提议 R3配置 IKE SA 的身份认证信息 R1配置IPSEC的安全提议 R1配置感兴趣流 R

    2024年02月09日
    浏览(85)
  • H3C 防火墙安全域基本配置

    可通 配IP地址 将接口加入Trust 安全域配置 ping 可通

    2024年02月12日
    浏览(39)
  • 《网络安全笔记》第十五章:交换机的基本配置

    1、要想进入设备的命令行界面 设备支持命令行界面 去查看设备上的接口,是否有console口 需要有console线 需要超级终端软件进行连接 putty secret CRT xshell 2、命令行基础 思科设备上的命令行模式 用户模式:查看统计信息(一般情况下用得非常少),用““表示 用户模式切换到

    2023年04月09日
    浏览(40)
  • Spring Boot安全管理—Spring Security基本配置

    1.1 创建项目,添加依赖 创建一个Spring Boot Web 项目,然后添加spring-boot-starter-security依赖。 1.2 添加hello接口 在项目中添加一个简单的/hello接口,内容如下: 1.3 启动项目测试 访问/hello接口会自动跳转到登录页面,这个页面有Spring Security提供的。 默认的用户名是user,默认的登

    2024年02月08日
    浏览(52)
  • 网络安全之防火墙 server nat 基本配置实验

    目录 网络安全之防火墙 server nat 基本配置实验 实验图  1.进入视图模式  2.配置端口IP地址即区域 防火墙       ​编辑  untrust区域 DMZ区域 trust区域 配置trust-untrust区域的ftp 在untrust区域中的server1开启ftp服务  配置trust-untrust区域的ftp的安全策略 登陆ftp  查找server-map 配置 

    2024年02月15日
    浏览(41)
  • 【Linux安全管理】iptables配置与iptables基本用法

    目录 一、服务的启动与关闭命令 二、iptables介绍 1、防火墙分类 2、iptables的启动 ① 在开机时禁用firewalld服务:  ②安装iptables-services ③将它设置为开机自启 3、iptables 四表五链详解 链 表  表和链的关系​编辑  不是所有的表都附着在同一条链上​编辑 4、iptables基本用法

    2024年02月05日
    浏览(37)
  • 等保2.0 测评 linux服务器加固 基本安全配置手册

    禁止所有默认的被操作系统本身启动的且不需要的帐号,当你第一次装上系统时就应该做此检查,Linux提供了各种帐号,你可能不需要,如果你不需要这个帐号,就移走它,你有的帐号越多,就越容易受到攻击。 #为删除你系统上的用户,用下面的命令: [root@c1gstudio]# userdel

    2024年03月14日
    浏览(63)
  • elasticsearch8.9.1部署及配置基本安全性以及安全的 HTTPS 流量

    1、官网下载elasticsearch8.9.1安装包,上传至服务器并解压 官网地址 解压 2、修改elasticsearch配置文件elasticsearch.yml(支持ipv4以及ipv6双栈),文件权限修改成非root的应用程序账号 1、进入elasticsearch根目录 注:1、输出文件名称(默认)2、CA密码设置(可留空直接回车,生产环境建议

    2024年02月03日
    浏览(38)
  • nginx上web服务的基本安全优化、服务性能优化、访问日志优化、目录资源优化和防盗链配置简介

    目录 一.基本安全优化 1.隐藏nginx软件版本信息 2.更改源码来隐藏软件名和版本 (1)修改第一个文件(核心头文件),在nginx安装目录下找到这个文件并修改 (2)第二个文件 (3)第三个文件,内置响应信息页面 (4)第四个文件 (5)重新编译安装并重启 3.更改nginx服务的默

    2024年02月13日
    浏览(45)
  • Mikrotik ROS软路由设置上网方式(一)

    要配置ros软路由上网,可以分以下几个操作来执行: 1、登陆ROS路由器   1.1、使用Winbox登陆路由器 2、配置网口名称   2.1、修改网络接口名称,Lan   2.2、修改网络接口名称,WAN 3、设置ROS软路由内网IP地址   3.1、添加Lan口IP地址 4、配置连接互联网的方式   4.1、PPPOE拨号

    2024年02月11日
    浏览(28)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包