Як захистити доступ до роутера: гайд для користувачів Mikrotik

Чому безпека роутера — це важливо

Wi-Fi роутер можна порівняти з вхідними дверима у квартиру. Якщо вони надійні — ви почуваєтесь спокійно. Якщо ж ні — ризики зростають.

• отримати доступ до вашої мережі;
• використовувати Інтернет без вашого відома;
• перехоплювати трафік і дані;
• задіяти ваш пристрій для атак на інші ресурси.

І часто користувач про це навіть не здогадується. Саме тому захист роутера MikroTik — не разова дія, а звичка. Розберемо покроково, що варто зробити.

1. Оновіть прошивку роутера

Це найпростіша і водночас найефективніша дія, яку більшість користувачів ігнорує роками. Виробники регулярно випускають оновлення прошивки, які закривають відомі вразливості в безпеці, підвищують стабільність роботи та покращують сумісність із пристроями та сервісами. Без своєчасних оновлень навіть хороший роутер із часом перетворюється на пристрій із відомими для зловмисників «дірками».

Особливо це стосується старих моделей маршрутизаторів. Один із прикладів реальної загрози — атаки типу DNS ANY flood, коли застарілий роутер використовують як інструмент для створення навантаження на сторонні сервери. Власник пристрою при цьому навіть не знає, що його обладнання вже задіяне в чужих сценаріях.

Окремої уваги заслуговує вразливість CVE-2018-14847, яка торкнулася широкого діапазону версій RouterOS. Вона дозволяє зловмиснику, маючи фізичний доступ до пристрою, відкотити прошивку до вразливої версії та отримати доступ до конфігурації. Саме тому важливо не лише мати актуальну прошивку, а й обмежити фізичний доступ до пристрою — про це далі.

Що робити: перевіряйте наявність оновлень хоча б раз на кілька місяців. Якщо роутер підтримує автоматичне оновлення, то увімкніть його. На MikroTik це робиться через меню System → Packages → Check For Updates.

2. Замініть стандартний обліковий запис адміністратора

Один із найчастіше ігнорованих, але критично важливих кроків. Стандартно більшість роутерів мають обліковий запис із логіном «admin» і або порожнім паролем, або паролем типу «admin», «1234», «password». Саме з перебору цих комбінацій зловмисники починають будь-яку атаку.

Що робити: відключіть або видаліть стандартний обліковий запис «admin» і створіть новий із нестандартним логіном і надійним паролем. Не використовуйте поширені імена: «user», «guest», «administrator». На MikroTik це виконується через System → Users. При зміні пароля на роутері майте на увазі, що він має містити великі та малі літери, цифри та спеціальні символи, бути не менше 8 символів і не збігатися з логіном або паролями інших сервісів.

3. Закрийте зовнішній доступ до сервісів роутера та перенесіть їх на нестандартні порти

Одна з найпоширеніших помилок — відкритий доступ до керуючих сервісів роутера з боку Інтернету. Роутер не має «слухати» запити ззовні без потреби. Окрему увагу варто приділити сервісам, які найчастіше залишають відкритими випадково: вебінтерфейс керування (Winbox / web), DNS, Telnet, FTP, SSH. Якщо вони доступні з Інтернету — це фактично відчинені двері для сторонніх.

Додатковий захист: навіть якщо ви залишаєте якийсь сервіс доступним ззовні, перенесіть його на нестандартний порт. Автоматизовані сканери насамперед перевіряють стандартні порти — зміна порту значно зменшує кількість спроб підключення. Наприклад, Winbox стандартно працює на порту 8291, SSH — на 22; перенесення на довільний порт (скажімо, 15000 і вище) суттєво знизить кількість атак.

Що робити: на MikroTik перейдіть до IP → Services і вимкніть або обмежте доступ до тих сервісів, якими ви не користуєтесь. Для кожного активного сервісу вкажіть дозволені IP-адреси в полі Available From — так доступ буде лише з вашої мережі або конкретної адреси. Telnet як застарілий і незахищений протокол варто вимкнути повністю.

Для діагностики ззовні зазвичай достатньо залишити відкритим лише ICMP (Internet Control Message Protocol) — протокол міжмережевих керуючих повідомлень. Усе інше краще обмежити.

4. Вимкніть протокол виявлення сусідів (MNDP) на WAN-інтерфейсі

Це важливий крок, який допомагає захистити Wi-Fi роутер від сусідів. MikroTik використовує MNDP (MikroTik Neighbor Discovery Protocol) — протокол виявлення сусідів, який дозволяє роутерам автоматично знаходити один одного та обмінюватися інформацією. Проблема в тому, що цей протокол передає назовні версію операційної системи та перелік активних функцій роутера. Фактично це готова «візитка» для зловмисника: знаючи версію RouterOS, він може підібрати відповідні відомі вразливості.

Що робити: на роутері MikroTik перейдіть до IP → Neighbors і вимкніть виявлення сусідів на WAN-інтерфейсі (або залиште його лише для LAN).

5. Обмежте підключення до роутера за MAC-адресою

MikroTik дозволяє підключатися до роутера через Winbox та Telnet не лише за IP-адресою, а й за MAC-адресою — навіть без налаштованої IP-мережі. Якщо ця функція активна для WAN-інтерфейсу, зловмисник у тій самій мережі може отримати доступ до роутера в обхід IP-фільтрів.

Що робити: перейдіть до Tools → MAC Server. На вкладках Telnet Interfaces і WinBox Interfaces залиште лише LAN-інтерфейс, видаліть всі інші та вимкніть опцію «all».

6. Налаштуйте Stateful firewall

Навіть якщо ви закрили зайві сервіси, без правильно налаштованого фаєрвола роутер залишається вразливим.

Stateful firewall — це підхід, при якому роутер дозволяє лише ті з'єднання, які були ініційовані зсередини вашої мережі. Усі вхідні запити ззовні, яких ніхто не запитував, просто ігноруються. Це ефективно блокує більшість автоматизованих сканувань і спроб підключення.

Що робити: у розділі IP → Firewall → Filter Rules мають бути присутні правила, які приймають встановлені (established) та зв'язані (related) з'єднання та відкидають недійсні (invalid).

Алгоритм базового налаштування фаєрволу для MikroTik виглядає так:

/ip firewall filter

# 1. Дозволити вже встановлені з'єднання
add chain=input connection-state=established action=accept

# 2. Дозволити зв'язані з'єднання
add chain=input connection-state=related action=accept

# 3. Дроп некоректних з'єднань
add chain=input connection-state=invalid action=drop

# 4. Дозволити ICMP (пінг)
add chain=input protocol=icmp action=accept

# 5. Дозволити доступ з локальної мережі
add chain=input src-address=192.168.0.0/24 action=accept

(У цьому рядку необхідно замінити IP-адресу на адресу вашої локальної підмережі — наприклад, 192.168.1.0/24.)

# 6. Все інше — дроп
add chain=input action=drop

• Ланцюжок input (захист самого роутера): дозволити встановлені, зв’язані з’єднання — відкинути некоректні з'єднання — дозволити ICMP (для діагностики, з обмеженням кількості запитів) — відкинути все інше, що надходить з WAN-інтерфейсу.
• Ланцюжок forward (захист мережі за роутером): дозволити встановлені, зв’язані з’єднання — відкинути некоректні з'єднання — відкинути все інше з WAN.

Важливо: правила у фаєрволі MikroTik виконуються послідовно, тому порядок їх розташування має значення. Перед будь-якими змінами у фаєрволі зробіть резервну копію конфігурації (Files → Backup або /export у терміналі).

7. Захистіть роутер від фізичного доступу — Protected RouterBOOT

Мережева безпека важлива, але є й фізична загроза: якщо хтось отримає прямий доступ до пристрою, він може скинути налаштування кнопкою «Reset» або перевстановити RouterOS через Netinstall. У першому випадку конфігурація втрачається, у другому — зловмисник може отримати доступ до вмісту внутрішньої пам'яті, де можуть зберігатися сертифікати, ключі або резервні копії з паролями.

MikroTik має вбудований інструмент захисту від цього — Protected RouterBOOT. Після його ввімкнення кнопка «Reset» більше не скидає пристрій у стандартному режимі, а Netinstall також блокується. Для форматування пристрою потрібно утримувати кнопку «Reset» рівно задану кількість секунд — і без знання цього інтервалу виконати скидання стає дуже складно.

Що робити: у терміналі MikroTik виконайте команду

  /system routerboard settings

  set protected-routerboot=enabled

Після цього для підтвердження протягом 60 секунд утримуйте натиснутою фізичну кнопку на роутері — це гарантія того, що захист не буде увімкнений без фізичного доступу до пристрою. Потім обов'язково змініть часовий інтервал для форматування на нестандартний, наприклад:

  /system routerboard settings

  set reformat-hold-button=120s reformat-hold-button-max=130s

Важливо: запам'ятайте або надійно збережіть встановлений часовий інтервал. Якщо ви його забудете і втратите адміністративний доступ до роутера, то відновити пристрій буде неможливо без повного форматування з підбором часу.

8. Вимкніть усе, чим не користуєтесь

У мережевій безпеці працює простий принцип: чим менше відкритих точок — тим менше шансів для атаки. Кожен увімкнений, але невикористовуваний сервіс — це потенційний вхід для зловмисника. Тому варто регулярно перевіряти: чи увімкнений віддалений доступ до роутера, чи працюють сервіси, які вам не потрібні, чи не відкриті зайві порти. Якщо є сумніви, краще вимкнути.

Як Макснет допомагає у захисті роутера

Не всі користувачі мають час або бажання розбиратися з технічними нюансами — і це нормально. Саме тому важливо потурбуватися про базову безпеку ще на етапі підключення.

• доступ до нього був обмежений ззовні;
• працювали тільки необхідні сервіси;
• мережа була стабільною та захищеною.

А у випадку виникнення питань або нестандартних ситуацій ви завжди можете звернутися до нашої технічної підтримки.