Как защитить доступ к роутеру: гайд для пользователей Mikrotik

Почему безопасность роутера — это важно

Wi-Fi роутер можно сравнить с входными дверями в квартиру. Если они надежные — вы чувствуете себя спокойно. Если же нет — риски возрастают.

• получить доступ к вашей сети;
• использовать Интернет без вашего ведома;
• перехватывать трафик и данные;
• задействовать ваше устройство для атак на другие ресурсы.

И часто пользователь об этом даже не догадывается. Именно поэтому защита роутера MikroTik — не разовое действие, а привычка. Разберем пошагово, что стоит сделать.

1. Обновить прошивку роутера

Это самое простое и одновременно самое эффективное действие, которое большинство пользователей игнорирует годами. Производители регулярно выпускают обновления прошивки, которые закрывают известные уязвимости в безопасности, повышают стабильность работы и улучшают совместимость с устройствами и сервисами. Без своевременных обновлений даже хороший роутер со временем превращается в устройство с известными для злоумышленников «дырками».

Особенно это касается старых моделей маршрутизаторов. Один из примеров реальной угрозы — атаки типа DNS ANY flood, когда устаревший роутер используют как инструмент для создания нагрузки на сторонние серверы. Владелец устройства при этом даже не знает, что его оборудование уже задействовано в чужих сценариях.

Отдельного внимания заслуживает уязвимость CVE-2018-14847, которая коснулась широкого диапазона версий RouterOS. Она позволяет злоумышленнику, имея физический доступ к устройству, откатить прошивку до уязвимой версии и получить доступ к конфигурации. Именно поэтому важно не только иметь актуальную прошивку, но и ограничить физический доступ к устройству — об этом дальше.

Что делать: проверяйте наличие обновлений хотя бы раз в несколько месяцев. Если роутер поддерживает автоматическое обновление, то включите его. На MikroTik это делается через меню System → Packages → Check For Updates.

2. Замените стандартную учетную запись администратора

Один из чаще всего игнорируемых, но критически важных шагов. По умолчанию большинство роутеров имеют учетную запись с логином «admin» и либо пустым паролем, либо паролем типа «admin», «1234», «password». Именно с перебора этих комбинаций злоумышленники начинают любую атаку.

Что делать: отключите или удалите стандартную учетную запись «admin» и создайте новую с нестандартным логином и надежным паролем. Не используйте распространенные имена: «user», «guest», «administrator». На MikroTik это выполняется через System → Users. При смене пароля на роутере имейте в виду, что он должен содержать большие и малые буквы, цифры и специальные символы, быть не меньше 8 символов и не совпадать с логином или паролями других сервисов.

3. Закройте внешний доступ к сервисам роутера и перенесите их на нестандартные порты

Одна из наиболее распространенных ошибок — открытый доступ к управляющим сервисам роутера со стороны Интернета. Роутер не должен «слушать» запросы извне без необходимости. Отдельное внимание стоит уделить сервисам, которые чаще всего оставляют открытыми случайно: веб-интерфейс управления (Winbox / web), DNS, Telnet, FTP, SSH. Если они доступны с Интернета — это фактически открытые двери для посторонних.

Дополнительная защита: даже если вы оставляете какой-то сервис доступным извне, перенесите его на нестандартный порт. Автоматизированные сканеры прежде всего проверяют стандартные порты — смена порта значительно уменьшает количество попыток подключения. Например, Winbox по умолчанию работает на порту 8291, SSH — на 22; перенос на произвольный порт (скажем, 15000 и выше) существенно снизит количество атак.

Что делать: на MikroTik перейдите в IP → Services и выключите или ограничьте доступ к тем сервисам, которыми вы не пользуетесь. Для каждого активного сервиса укажите разрешенные IP-адреса в поле Available From — так доступ будет только с вашей сети или конкретного адреса. Telnet как устаревший и незащищенный протокол стоит выключить полностью.

Для диагностики извне обычно достаточно оставить открытым только ICMP (Internet Control Message Protocol) — протокол межсетевых управляющих сообщений. Все другое лучше ограничить.

4. Отключите протокол обнаружения соседей (MNDP) на WAN-интерфейсе

Это важный шаг, который помогает защитить Wi-Fi роутер от соседей. MikroTik использует MNDP (MikroTik Neighbor Discovery Protocol) — протокол обнаружения соседей, который позволяет роутерам автоматически находить друг друга и обмениваться информацией. Проблема в том, что этот протокол передает наружу версию операционной системы и список активных функций роутера. Фактически это готовая «визитка» для злоумышленника: зная версию RouterOS, он может подобрать соответствующие известные уязвимости.

Что делать: на роутере MikroTik перейдите в IP → Neighbors и выключите обнаружение соседей на WAN-интерфейсе (или оставьте его только для LAN).

5. Ограничьте подключение к роутеру по MAC-адресу

MikroTik позволяет подключаться к роутеру через Winbox и Telnet не только по IP-адресу, но и по MAC-адресу — даже без настроенной IP-сети. Если эта функция активна для WAN-интерфейса, злоумышленник в той же сети может получить доступ к роутеру в обход IP-фильтров.

Что делать: перейдите в Tools → MAC Server. На вкладках Telnet Interfaces и WinBox Interfaces оставьте только LAN-интерфейс, удалите все другие и отключите опцию «all».

6. Настройте Stateful firewall

Даже если вы закрыли лишние сервисы, без правильно настроенного фаервола роутер остается уязвимым.

Stateful firewall — это подход, при котором роутер разрешает только те соединения, которые были инициированы внутри вашей сети. Все входящие запросы снаружи, которых никто не спрашивал, просто игнорируются. Это эффективно блокирует большинство автоматизированных сканирований и попыток подключения.

Что делать: в разделе IP → Firewall → Filter Rules должны присутствовать правила, которые принимают установленные (established) и связанные (related) соединения и отбрасывают недействительные (invalid).

Алгоритм базовой настройки фаервола для MikroTik выглядит так:

/ip firewall filter

# 1. Разрешить уже установленные соединения
add chain=input connection-state=established action=accept

# 2. Разрешить связанные соединения
add chain=input connection-state=related action=accept

# 3. Дроп некорректных соединений
add chain=input connection-state=invalid action=drop

# 4. Разрешить ICMP (пинг)
add chain=input protocol=icmp action=accept

# 5. Разрешить доступ с локальной сети
add chain=input src-address=192.168.0.0/24 action=accept

(В этой строке необходимо заменить IP-адрес на адрес вашей локальной подсети — например, 192.168.1.0/24.)

# 6. Все остальное — дроп
add chain=input action=drop

• Цепочка input (защита самого роутера): разрешить установленные, связанные соединения — отбросить некорректные соединения — разрешить ICMP (для диагностики, с ограничением количества запросов) — отбросить все остальное, что поступает из WAN-интерфейса.
• Цепочка forward (защита сети за роутером): разрешить установленные, связанные соединения — отбросить некорректные соединения — отбросить все остальное с WAN.

Важно: правила в фаерволе MikroTik выполняются последовательно, поэтому порядок их расположения имеет значение. Перед любыми изменениями в фаерволе сделайте резервную копию конфигурации (Files → Backup или /export в терминале).

7. Защитите роутер от физического доступа — Protected RouterBOOT

Сетевая безопасность важна, но есть и физическая угроза: если кто-то получает прямой доступ к устройству, он может сбросить настройки кнопкой «Reset» или переустановить RouterOS через Netinstall. В первом случае конфигурация теряется, во втором — злоумышленник может получить доступ к содержимому внутренней памяти, где могут храниться сертификаты, ключи или резервные копии с паролями.

MikroTik обладает встроенным инструментом защиты от этого — Protected RouterBOOT. После его включения кнопка «Reset» больше не сбрасывает устройство в стандартном режиме, а Netinstall также блокируется. Для форматирования устройства нужно удерживать кнопку «Reset» ровно заданное количество секунд — и без знания этого интервала выполнить сброс становится очень сложно.

Что делать: в терминале MikroTik выполните команду

  /system routerboard settings

  set protected-routerboot=enabled

После этого для подтверждения в течение 60 секунд удерживайте нажатой физическую кнопку на роутере — это гарантия того, что защита не будет включена без физического доступа к устройству. Потом обязательно измените временной интервал для форматирования на нестандартный, например:

  /system routerboard settings

  set reformat-hold-button=120s reformat-hold-button-max=130s

Важно: запомните или надежно сохраните установленный временной интервал. Если вы его забудете и потеряете административный доступ к роутеру, то восстановить устройство будет невозможно без полного форматирования с подбором времени.

8. Отключите все, чем не пользуетесь

В сетевой безопасности работает простой принцип: чем меньше открытых точек — тем меньше шансов для атаки. Каждый включен, но неиспользуемый сервис — это потенциальный вход для злоумышленника. Поэтому стоит регулярно проверять: включен ли удаленный доступ к роутеру, работают ли сервисы, которые вам не нужны, не открыты ли лишние порты. Если есть сомнения, лучше отключить.

Как Макснет помогает в защите роутера

Не у всех пользователей есть время или желание разбираться с техническими нюансами — и это нормально. Именно поэтому важно позаботиться о базовой безопасности еще на этапе подключения.

• доступ к нему был ограничен извне;
• работали только необходимые сервисы;
• сеть была стабильной и защищенной.

А в случае возникновения вопросов или нестандартных ситуаций вы всегда можете обратиться в нашу техническую поддержку.