为了保护RouterOS和我们的网络安全,我们需要对ROS做一些安全设置措施,以防止RouterOS被黑客渗透和入侵,通过以下的安全设置尽可能避免攻击。
一、设置ROS密码
1、使用WInBox登录ROS,点击“system” -- “password”,在对话框中设置要修改的密码,在Old Password后面输入旧密码(ROS初始密码为空),New Password后面输入新密码,Confirm Password后面输入新密码。
二、禁用不必要的服务
1、点击“IP” -- “Services”,选中要禁用的服务,并点击左上角红色“X”号,即可禁用相关服务,禁用后服务将置灰,建议仅保留WinBox服务即可。
API:用API接口登录服务。
API-SSL:用需要SSL加密的API接口登录服务。
FTP:FTP服务,用于上传文件到ROS里面,或者从ROS下载文件。
SSH:使用SSH登录配置或者SCP传输文件。
Telnet:使用telnet来进行登录配置。
Winbox:winbox登录服务。
www:使用网页版登录配置。
www-ssl:基于ssl加密的网页版登录配置。
三、修改服务端口
1、点击“IP” -- “Services”,将显示所有支持登录ROS的服务列表,本文以SSH服务为例,双击SSH服务,在弹出的Port文本框内填入要使用的端口,修改完成后点击Apply,OK,即可完成服务端口修改。
四、限制服务登录的IP
我们可以通过限制IP的方式有效的拦截非法IP地址的登录,这个限制可以是单个IP地址,也可以是网段。
1、点击“IP” -- “Services”,将显示所有支持登录ROS的服务列表,以WinBox服务为例仅允许内网地址通过WinBox登录ROS,双击WinBox服务,在弹出的Available From文本框内填入允许的IP地址或网段,修改完成后点击Apply,OK,即可完成服务IP限制。
五、创建新用户
ROS已经不能直接修改默认的admin用户,只能新增,删除或禁用admin。
1、点击“system” -- “users”,将显示ROS所有用户列表,点击左上角蓝色“+”号,新增用户,在弹出的界面中填入新用户名、权限组、密码、确认密码,完成后点击OK保存,注意Group需选择“Full”,代表所有权限。
2、如需禁用admin,则选中admin用户后点击左上角红色“X”号禁用,禁用后admin用户将置灰。
六、限制用户登录的IP
1、点击“system” -- “users”,将显示ROS所有用户列表,以admin为例仅允许通过内网地址登录ROS,双击admin用户,在弹出的Available From文本框内填入允许的IP地址或网段,修改完成后点击Apply,OK,即可完成用户IP登录限制。
七、关闭公网DNS查询(防止ROS被作为DDOS放大攻击器)
1、点击“IP” -- “Firewall”,左上角蓝色“+”号,添加防火墙规则,Chain选择Input、Protocol选udp、Dst.port填入53、In.interface选择ROS的WAN口(例如ether0-wan),切换至Action选项卡,Action选drop,点击Apply,OK保存设置。通过此条防火墙规则,防止你的ROS被用来做ddos的放大攻击工具,设置完成后如下图。
八、禁止外网Ping
1、点击“IP” -- “Firewall”,左上角蓝色“+”号,添加防火墙规则,Chain选择Input、Src-address将方框选中并填入自己的内网IP段(如10.10.10.0/24,/24表示255.255.255.0)、Protocol选icmp,切换至Action选项卡,Action选drop,点击Apply,OK保存设置。通过此条防火墙规则,防止ROS被外网Ping扫描,设置完成后如下图。
相关阅读:
ESXI安装Mikrotik RouterOS(ROS)软路由部署指南(附授权镜像下载)
如您认为文章对您有用,欢迎打赏,谢谢~
百度互联网新闻
腾讯科技