Wirelessinfo.be

Mikrotik routerboard beveiligings tips

Routerboard RouterOs Bios firmware
CRS125--24G-1S-RM 6.37.4 3.34

Mikrotik Routerboard beveiligen

Veel mensen zijn van mening als je een router aankoopt, dat deze reeds veilig genoeg is om direct tussen het netwerk te pluggen en ermee van start te gaan. Ook bij Mikrotik zijn er toch wel wat aandachtspunten die je beter in acht neemt. Beschouw een juist aangekochte router als onveilig ingesteld. Dan ben je op de goede weg om de router veilig in te stellen. Wat er zoal dient te veranderen en ingesteld te worden om een veilige router te hebben kan je hier zien.

Inlog gegevens veranderen

Verander de standaard naam, meestal "admin" door een andere naam, dit maakt het al een stuk moeilijker in het toestel in te breken en schade aan te richten.

Standaard paswoord veranderen
secure mikrotik router

  1. Klik in het hoofdmenu op "system".
  2. Vervolgens op "password".

secure mikrotik router

  1. Bij "old password" vul niets in.
  2. Bij "new password" vul een moeilijk te raden paswoord in. Bij voorkeur met allerlei tekens.
  3. Bij "confirm password" herhaal het paswoord opnieuw.

Vergeet uw ingegeven paswoord niet. Als je dit vergeet is een volledige reset van het routerboard noodzakelijk.

Voeg gebruikers toe of verander de standaard inlog naam "admin" in een andere naam

Om het inloggen door niet bevoegde mensen moeilijk te maken kan je de standaard naam "admin" veranderen, of je kan per gebruiker een naam laten gebruiken die mogen inloggen. Zo krijg je meer controle over wat er gebeurd en door wie met het routerboard.

secure mikrotik router

    Klik op het hoofdmenu op "system".
  1. Vervolgens op "users".

secure mikrotik router

  1. Bij "name" geef een naam in waarmee je wil gaan inloggen.
  2. Bij "group" selecteer je "full" als je die volledige toegang wil verlenen.

secure mikrotik router

  1. Bij "allowed address" kan je ingeven van welk netwerk kan worden ingelogd. Hier vul ik de IP-range in van het routerboard zelf. Dit wil zeggen dat hier kan worden ingelogd vanaf dit netwerk en niet via andere netwerken.
  2. Bij "password" vul een moeilijk te raden paswoord in. Bij voorkeur met allerlei tekens.
  3. Bij "confirm password"
  4. herhaal het paswoord opnieuw als controle.

secure mikrotik router

Om de user "admin" uit te schakelen kan je nu het volgede doen.

  1. Selecteer user "admin".
  2. Klik op het blauwe vinkje om de user "admin" uit te schakelen of op het rode min teken om de user "admin" te verwijderen.

Dit maakt het al heel wat moeilijker om een kwaadwillege hacker op uw routerboard toe te laten door de standaard inlog gegevens volledig te veranderen.

Tip 2 wat basis beveiliging via firewall rules

Alle pakketjes met bestemming router worden gefilterd op basis van de binnenkomende firewall regels. Let op, dit heeft geen effect op transitverkeer dat door de router gaat. Je kan volgende regels in de inkomende firewall regels toevoegen bij ip firewall filter. Gewoon kopieren en plakken via terminal console of de desbetreffende items via Winbox configureren.

Je kan deze basis firewall rules kopieren en plakken in "new terminal. Opgelet! Je moet twee regels aanpassen naargelang uw IP-adressen
  • / ip firewall filter
  • add chain=input connection-state=established comment="Accept established connections"
  • add chain=input connection-state=related comment="Accept related connections"
  • add chain=input connection-state=invalid action=drop comment="Drop invalid connections"
  • add chain=input protocol=udp action=accept comment="UDP" disabled=no
  • add chain=input protocol=icmp limit=50/5s,2 comment="Allow limited pings"
  • add chain=input protocol=icmp action=drop comment="Drop excess pings"
  • add chain=input protocol=tcp dst-port=22 comment="SSH for secure shell"
  • add chain=input protocol=tcp dst-port=8291 comment="winbox"
  • # edit deze IP-adressen volgens de instellingen van uw routerboard
  • add chain=input src-address=192.168.0.114 comment="From Mikrotikls network"
  • add chain=input src-address=192.168.100.0/24 comment="From our private LAN"
  • # einde van het te editten rules
  • add chain=input action=log log-prefix="DROP INPUT" comment="Log everything else"
  • add chain=input action=drop comment="Drop everything else"

Dit zijn basis firewall rules. Je kan nog aangepaster beveiligen volgens uw wensen en noden.

Top