MikroTik apparatuur beveiligen

Mikrotik
/ By Jean-Pierre Krickx

MikroTik apparatuur beveiligen: de essentiële stappen

In deze blogpost getiteld MikroTik apparatuur beveiligen toon ik je welke essentiële maatregelen je kan nemen om je MikroTik apparaten te beschermen tegen aanvallen, indringers en misbruik. Wat me daarbij opvalt, is dat veel gebruikers steken laten vallen als het aankomt op beveiliging. Hoe dat komt? Naar mijn ervaring ligt het aan de complexiteit: een degelijke beveiliging vraagt meerdere ingrepen, en veel gebruikers voeren slechts een deel ervan uit. Standaardinstellingen worden te vaak als “voldoende veilig” beschouwd met alle risico’s van dien. Deze blogpost is geen vingerwijzing, maar een gedeeld leerproces. Ook ik ontdek voortdurend nieuwe inzichten en best practices om MikroTik apparatuur veiliger te maken. Daarom breng ik deze geüpdatete gids zodat jij meteen aan de slag kan met concrete verbeteringen.

❗️Belangrijk bericht:

Deze handleiding vervangt alle eerdere blogs over het beveiligen van Mikrotik apparaten op deze site. Hier vind je altijd de nieuwste informatie en tips.

Waarom ik deze blogpost schrijf: Je MikroTik apparaten beveiligen, stap voor stap

Veel mensen zoeken online naar een betrouwbare manier om MikroTik apparaten te beveiligen. En terecht: een onbeschermde router is vandaag een makkelijk doelwit voor scans, aanvallen of misbruik. Hoewel MikroTik zelf basisinformatie biedt, merk ik dat hun uitleg vaak oppervlakkig blijft. Het ontbreekt aan duidelijke richtlijnen, voorbeelden en vooral: context. Niet om het opnieuw uit te vinden, maar om jou echt te helpen bij het veilig stellen van je MikroTik router. In deze handleiding ga ik verder dan de standaardinstellingen. Een echte aanrader! Lees ook mijn blog: MikroTik firewall begrijpen

We gaan stap voor stap de Mikrotik grondig beveiligen

Ik toon stap voor stap hoe je een robuuste en inzichtelijke firewall opbouwt, met uitleg, visuele voorbeelden en kant-en-klare code. Hou er wel rekening mee: elk netwerk is uniek. Wat voor de ene gebruiker werkt, moet bij de andere misschien worden bijgestuurd. Maar met deze gids heb je een stevig vertrekpunt om je MikroTik router veilig te configureren en de controle over je netwerk te versterken. Het heeft me meer dan een week gekost om dit blog getiteld MikroTik apparatuur beveiligen af te werken. Wil je gebruik maken van VPN bekijk mijn blogposts over: Zerotier, IPSec, Wireguard en Proton VPN.

Praktijkvoorbeeld: binnen 7 minuten gescand

Onlangs besloot ik de proef op de som te nemen: ik sloot een MikroTik router rechtstreeks aan op de modem van mijn internetprovider, zonder uitgebreide beveiligingsinstellingen. Enkel een wachtwoord was geconfigureerd. Tot mijn verbazing duurde het nog geen zeven minuten voordat ik meldingen ontving van automatische inlogpogingen. Dit bevestigt wat we al langer weten: het internet wordt voortdurend gescand door kwaadwillende scripts en bots die op zoek zijn naar kwetsbare apparaten en MikroTik routers staan daarbij hoog op het lijstje. Deze scans maken gebruik van geautomatiseerde tools en duizenden computers, verspreid over de hele wereld. Zodra je router online gaat met publieke IP (WAN IP), wordt hij snel gedetecteerd. Je Mikrotik apparatuur beveiligen is hiermee de boodschap.

Je Mikrotik apparaten beveiligen, hier zie je waarom

Zoals eerder vermeld, duurde het amper 7 minuten voordat mijn MikroTik router via het internet werd opgemerkt door kwaadwillende scanners.
Bovenstaande screenshot toont het logbestand van mijn router. Tientallen mislukte inlogpogingen via SSH in slechts enkele seconden tijd.
Wat je hier ziet, is een klassiek brute force patroon: Pogingen met gebruikersnamen als admin, 1234, root, 2Wire, comcisco, enzovoort. IP-adressen uit uiteenlopende reeksen die voortdurend nieuwe combinaties proberen. Dit illustreert hoe snel en geautomatiseerd deze aanvallen plaatsvinden zodra een MikroTik router op het publieke internet verschijnt. MikroTik apparatuur beveiligen is een noodzaak en moet met kennis van zaken gebeuren. Dit is wat ik je stap voor stap wil laten zien en nogmaals wil benadrukken je MikroTik router beveiligen is broodnodig. Lees deze blogpost volledig door en blijf hiermee veilig.

Wat kan je besluiten uit dit voorbeeld

Zoals je ziet, duurt het niet lang voor een MikroTik router het doelwit wordt van geautomatiseerde aanvallen. Gelukkig kan je met de juiste maatregelen je router wel degelijk beschermen. Belangrijk om te beseffen: dit probleem treft niet enkel MikroTik routers. In tegendeel MikroTik biedt veel meer beveiligingsmogelijkheden dan de gemiddelde consumenten router. Maar net doordat deze toestellen krachtiger en flexibeler zijn, vergt de beveiligingsconfiguratie van je router ook meer kennis en nauwkeurigheid. In wat volgt bespreek ik stap voor stap de belangrijkste beveiligingsacties die je vandaag nog kan nemen. Zelfs als je slechts enkele ervan toepast, maak je je netwerk al een stuk weerbaarder. Je MikroTik apparatuur beveiligen wordt een feit indien je deze stappen samen met me doorneemt. Indien je alle stappen hebt ondernomen zullen kwaadwilligen erbij zitten zoals de afbeelding hieronder. Wil je meer leren over port knocking lees dan de blogpost MikroTik Port knocking.

Stap 1: Wijzig de standaard login (gebruikersnaam en wachtwoord)

MikroTik apparatuur beveiligen doe je niet zomaar. Ik ga je stap voor stap tonen hoe dit moet. De eerste en belangrijkste maatregel bij het beveiligen van je MikroTik router is het aanpassen van de standaard gebruikersaccount. Standaard werd jarenlang elk toestel geleverd met een gebruikersnaam admin, vaak zelfs zonder wachtwoord. Dat maakt je router extreem kwetsbaar voor geautomatiseerde inlogpogingen zoals hierboven aangetoond. MikroTik heeft dit risico intussen erkend: bij recentere modellen wordt nu een uniek, vooraf ingesteld wachtwoord meegeleverd. Je vindt dit op een sticker onderaan het toestel. Dit is een verbetering, maar geen garantie op veiligheid. Veel gebruikers wijzigen dit wachtwoord niet, gebruiken nog steeds admin als gebruikersnaam of zetten oudere toestellen in zonder deze voorzorgsmaatregel.

Mijn advies:

Wijzig altijd zowel de gebruikersnaam als het wachtwoord ongeacht welk toestel je gebruikt. Zo bescherm je je router tegen de meest voorkomende aanvallen. Ben je nieuw met MikroTik en weet je niet hoe je moet inloggen met Winbox? Bekijk dan zeker mijn begeleidende blogpost: Inloggen met Mikrotik Winbox. Daarin laat ik stap voor stap zien hoe je Winbox installeert en verbinding maakt met je toestel. Winbox is een zeer krachtige tool van MikroTik en geeft je een duidelijke en veilige configuratie interface. Laat je niet intimideren door dit configuratie menu en ga aan de slag. Met deze hulpvolle gids. Heb je nog geen MikroTik router aangekocht en overweegt een te kopen bekijk de blog genaamd: MikroTik router kopen. Heb je een MikroTik router die bij default is geconfigureerd? Wijzig het IP-adres voor extra veiligheid, hoe je dit kan doen zie je in deze blogpost.

Maak een nieuwe login aan en verwijder de default login

Ga in het menu naar "System" -> "Users" en maak een nieuwe login aan door op het blauwe kruisje te klikken, zoals je op de onderstaande screenshot kunt zien. Kies een gebruikersnaam die niet voor de hand ligt en stel een sterk wachtwoord in. Voor extra beveiliging raad ik aan om IP-adressen toe te voegen die mogen inloggen. Dit beperkt de toegang tot je router tot enkel vertrouwde locaties. Je kunt dit instellen onder het tabblad Allowed Address in het gebruikersvenster of via een firewall regel. Verwijder nadien de admin gebruiker, anders heeft het geen zin.

Nieuwe gebruiker aanmaken voorbeeld uitgelegd

1
Let op: gebruik steeds een naam die niet makkelijk te raden is. Het @ teken is toegestaan in MikroTik, maar vermijd speciale tekens zoals !, /, * enz.
2
De gebruiker is toegewezen aan de groep full, wat betekent dat deze volledige beheertoegang krijgt. Gebruik deze groep enkel voor hoofdbeheerders. Voor leesrechten kun je kiezen voor read om beperkte toegang te voorzien.
3
Hier zijn IP adressen opgegeven die toegang mogen krijgen met deze gebruikersnaam: 192.168.88.254 en 192.168.88.253. Dit verhoogt de beveiliging aanzienlijk: logins vanaf andere IP’s worden automatisch geweigerd, zelfs als de login gegevens correct zijn.
4
Je stelt hier een sterk wachtwoord in. Gebruik minstens 12 tot 64 tekens, inclusief hoofdletters, kleine letters, cijfers en speciale tekens.
5
Na 10 minuten inactiviteit wordt de gebruiker automatisch uitgelogd. De inactivity policy staat op logout, wat een goede keuze is om vergeten sessies automatisch te beëindigen.

🔴 Opgelet

Het is sterk aangeraden om de default IP-range en het standaard IP-adres van elke MikroTik router of switch aan te passen.
Waarom dit zo belangrijk is en hoe je dat veilig doet, leg ik uit in mijn aparte blogpost: MikroTik IP-range wijzigen.

Firewall regels vs. Allowed Address: wie beslist over toegang?

De Allowed Address in system -> User bepaalt welke IP adressen mogen inloggen met een bepaalde gebruikersaccount. De firewall IP -> Firewall -> Filter bepaalt of er überhaupt verkeer binnen mag komen naar een bepaalde poort of service (bijv. SSH, Winbox, API...).
Bekijk hoe het verkeer beoordeeld gaat worden door Firewall regels vs. Allowed Address. Dit aan de hand van onderstaand tabel. MikroTik apparaten beveiligen is immers een mooie ontdekkingsreis doorheen de router. Als MikroTik liefhebber heb ik dat echt leren appreciëren doe jij dit ook?

Hoe werken Allowed Address vs Firewall samen

Situatie	toegang	uitleg
🔒 Het IP is niet toegelaten door firewall	❌ Geblokkeerd	Verkeer komt zelfs niet toe bij de login module.
🔓 IP is toegelaten door firewall, maar niet in Allowed Address van de user	❌ Geblokkeerd	Verkeer komt toe, maar login wordt geweigerd.
🔓 IP is toegestaan in beide	✅ Toegang	Login poging wordt toegestaan indien gebruikersnaam/wachtwoord klopt
🔓 Het IP is toegelaten door firewall, en Allowed Address bij user is leeg	✅ Toegang	Login is mogelijk vanaf elk IP-adres dat door de firewall wordt doorgelaten — de gebruiker is dus niet IP beperkt.

Waarom dit relevant is:

Veel gebruikers laten het veld Allowed Address leeg, waardoor iedereen die door de firewall geraakt ook kan proberen in te loggen met die gebruikersaccount. Dit is vooral gevaarlijk bij het gebruik van standaard gebruikers of zwakke wachtwoorden. Wil je echt je MikroTik apparatuur beveiligen moet je hieraan iets doen.

Mijn advies:

Gebruik beide niveaus. Laat alleen vertrouwde IP's binnen via de firewall en beperk per gebruiker via allowed address. (dit is een extra bescherming als een andere gebruiker toch toegang krijgt tot de login prompt). Dit is een sterke MikroTik beveiliging, doch je moet nog stappen ondernemen. Wil je meer leren over NAT bekijk en lees ook mijn andere blogpost: MikroTik NAT configuraties.

Stap 2: Schakel ongebruikte services uit

Een van de grootste beveiligingsrisico’s bij MikroTik routers is dat er standaard meerdere services actief zijn, ook als je ze niet gebruikt. Denk aan Telnet, FTP, WebFig, API enz. Deze diensten kunnen uitgebuit worden door kwaadwillenden, zeker als ze via het internet bereikbaar zijn.
Zelfs als je een sterke login hebt ingesteld, is het beter om ongebruikte toegangspoorten volledig uit te schakelen. Wat je niet gebruikt, hoeft ook niet open te staan. Zo simpel is het. Deze services vind je terug via IP -> Services in Winbox of WebFig. Dit is terug een stap om je MikroTik apparatuur beveiligen.

Ik neem de proef op de som

Om je te laten zien welke services en poorten allemaal te zien zijn als je niets doet aan de MikroTik beveiliging heb ik een bij default geconfigureerde MikroTik router gescand met Zenmap. Dit is een krachtige poortscan tool die je zal helpen inzien hoe gevaarlijk het is om het na te laten je MikroTik apparaten te beveiligen. In de afbeelding hieronder zie je het resultaat van een simpele portscan met Zenmap op een standaard MikroTik router. Binnen amper 0.04 seconden werden maar liefst zes open poorten ontdekt. Deze MikroTik router wil je niet op het internet verbinden nietwaar? Toch zijn er veel onwetende MikroTik gebruikers die de router in deze toestand op het internet pluggen. Dit is echt horror wat beveiliging betreft.

default mikrotik router gescant met zenmap

Wat zien we met deze Nmap scan en wat zijn de gevaren ervan

In de onderstaande tabel geef ik een overzicht van de ontdekte netwerkpoorten, samen met de mogelijke risico’s. Wil je echt werk maken van een veilige configuratie? Dan geef ik je hier stof tot nadenken en een duwtje in de rug om samen je MikroTik router te beveiligen.

Poort	Service	Gevaar bij open poort
21	FTP	Stuurt gegevens en wachtwoorden onversleuteld over het netwerk.
22	SSH	Secure Shell is veiliger dan Telnet, maar blijft een doelwit voor geautomatiseerde brute force aanvallen.
23	Telnet	Onveilig protocol dat volledig zonder encryptie werkt.
80	WebFig	Wachtwoorden worden daardoor in platte tekst verstuurd.
8291	Winbox	Standaardbeheerpoort voor MikroTik routers.
2000	Bandwidth Test Server	Deze service wordt gebruikt om doorvoertests tussen MikroTik-routers uit te voeren.

Overzicht van veelvoorkomende open poorten en hun risico’s

Laat me wat uitgebreidere uitleg geven betreft de open poorten op MikroTik routers. Wanneer je je MikroTik router niet beveiligt, staan vaak de volgende poorten open. Hieronder leg ik kort uit welke service erop draait en waarom ze een risico vormen:

Poort 21 (FTP): File Transfer Protocol stuurt gegevens en wachtwoorden onversleuteld over het netwerk. Hierdoor kunnen aanvallers inloggegevens onderscheppen of brute force pogingen uitvoeren.
Poort 22 (SSH): Secure Shell is veiliger dan Telnet, maar blijft een doelwit voor geautomatiseerde brute force aanvallen. Bescherm het met sterke wachtwoorden en IP beperkingen of beter nog isoleer deze poort van de WAN interface.
Poort 23 (Telnet): Een verouderd en onveilig protocol dat volledig zonder encryptie werkt. Telnet mag nooit publiek toegankelijk zijn. Dit vomt een zeer groot beveiligingsrisico op je op je MikroTik router.
Poort 80 (Webbeheer / HTTP): WebFig, het webgebaseerde beheer van MikroTik, gebruikt standaard HTTP. Wachtwoorden worden daardoor in platte tekst verstuurd en zijn eenvoudig af te luisteren via sniffertools zoals WireShark.
Poort 8291 (Winbox): Dit is de standaardbeheerpoort voor MikroTik-routers. Winbox wordt vaak gescand op kwetsbaarheden en moet je beperken tot vertrouwde IP-adressen.
Poort 2000 (Bandwidth Test Server): Deze service wordt gebruikt om data doorvoer tests tussen MikroTik routers uit te voeren. Laat je deze poort openstaan op een publiek IP, dan kunnen aanvallers het gebruiken om je bandbreedte te belasten of je router als testdoel te misbruiken.
Dit kan uiteindelijk resulteren in het vastlopen van je router door teveel aan CPU-load.

Wat nog gevoeliger is:

Deze scan onthult ook welke versie van RouterOS actief is en welke software modules geïnstalleerd zijn, zoals wave2, ZeroTier, PPP, IPv6, enzovoort. Voor aanvallers is dit waardevolle informatie: het geeft inzicht in je systeem en wijst op mogelijke aanvalsvectoren. Daarom is het cruciaal om je MikroTik router goed te beveiligen. Beperk blootgestelde poorten, schakel ongebruikte services uit en controleer welke informatie jouw router openbaar maakt. Hopelijk ben je nu overtuigd om samen met mij stappen te zetten naar een beter beveiligde MikroTik router.

Services uitschakelen in de praktijk

Een van de meest onderschatte risico’s op een MikroTik router zijn de standaard geactiveerde services. Deze staan vaak open zoals je reeds kon zien, zelfs als je ze niet gebruikt, en vormen een geliefd doelwit voor aanvallen. In de onderstaande screenshot zie je het overzicht van actieve services op mijn RB5009, waarop RouterOS v7.19.1 draait. Afhankelijk van jouw toestel en RouterOS versie kan dit venster er iets anders uitzien.

De beveiliging van je MikroTik verbeteren

Waarom is dit belangrijk?

Veel van deze services zijn overbodig in een standaardconfiguratie. Hoe meer poorten openstaan, hoe groter het aanvalsoppervlak van je MikroTik router. Sommige services gebruiken bovendien geen versleuteling, waardoor je inloggegevens onderschept kunnen worden, zeker op onveilige netwerken. Een belangrijke tip: je kunt gratis een Let's Encrypt-certificaat installeren op je MikroTik router. Hoe je dat doet, leg ik stap voor stap uit in een aparte blogpost genaamd: Let’s Encrypt certificaat op MikroTik. Bekijk hieronder de tabel met een overzicht van de services, de risico’s en mijn concrete aanbevelingen om je MikroTik router beter te beveiligen.

MikroTik services en min advies

service	gevaar	advies
telnet (23)	Onversleuteld, verouderd	❌ Altijd uitschakelen
ftp (21)	Onversleuteld bestandstransport	❌ Uitschakelen tenzij absoluut nodig
www (80)	HTTP toegang zonder encryptie	❌ Uitschakelen, gebruik HTTPS indien nodig
api (8728)	Onversleutelde toegang tot scripts	❌ Uitschakelen tenzij absoluut nodig
api-ssl (8729)	Versleuteld, maar weinig nodig	✅ Alleen activeren als je de API gebruikt met certificaat
ssh (22)	Veilige CLI, maar brute-force doelwit	✅ Enkel open voor beheernetwerk
winbox (8291)	Grafische beheerinterface	✅ Alleen voor beheer-IP’s openhouden
www-ssl (443)	WebFig over HTTPS	✅ Alleen indien je WebFig gebruikt én beveiligd

Mijn advies:

Schakel alle services uit die je niet actief gebruikt, en beperk de resterende toegang tot het mgmt VLAN, specifieke IP-ranges of individuele IP-adressen. Zo verklein je het risico op misbruik en externe scans aanzienlijk. Een extra stap die ik zelf altijd toepas: ik wijzig de standaardpoort van Winbox. Binnenkort demonstreer ik deze en andere bewerkingen in een praktische video op mijn YouTube-kanaal. Wil je je Mikrotik router nog beter beschermen tegen ongewenste toegang? Lees dan ook mijn blog over Mikrotik port knocking voor een extra beveiligingslaag. Je merkt het: je MikroTik apparaten beveiligen doe je in meerdere stappen, stap voor stap naar een veilige en professionele setup.

1
Hier zie je alle actieve en uitgeschakelde services op de router. Alles wat je niet nodig hebt, schakel je best uit. Selecteer de overbodige services.
2
Schakel een service uit door op het rode kruisje te klikken.
3
Dubbelklik op de Winbox service om instellingen aan te passen.
4
Ik heb de poort gewijzigd naar 9999. Dit zorgt ervoor dat Winbox niet bereikbaar is via de standaardpoort die scanners vaak controleren.
5
Onder Available From heb ik twee IP-adressen toegevoegd: 192.168.88.254 en 192.168.88.253 Enkel deze systemen mogen nu verbinding maken via Winbox. Uiteraard bij een groter netwerk geef je het IP-adres of IP-range in van het mgmt netwerk.

Door de standaardpoort van Winbox te wijzigen en IP-beperkingen toe te passen, maak je het voor buitenstaanders vrijwel onmogelijk om zomaar toegang te krijgen tot je router. Het is een eenvoudige maar doeltreffende maatregel die ik sterk aanbeveel in elke MikroTik beveiligingsstrategie.
Maar uiteraard zijn we er dan nog niet. Dit is slechts één van de vele stappen om je MikroTik apparaten echt goed te beveiligen.

Inloggen op een aangepaste poort in Winbox

In de bovenstaande screenshot zie je hoe ik verbinding maak met mijn router via Winbox, nadat ik de standaardpoort (8291) heb gewijzigd naar poort 9999. Wanneer je de Winbox poort wijzigt, moet je de poort expliciet mee opgeven bij het IP adres in het veld Connect To. Zonder die poort zal Winbox proberen te verbinden via de standaardpoort en dat zal uiteraard falen als je die hebt aangepast. Meer weten over winbox lees de blogpost door genaamd Mikrotik Winbox.

Let op: poortwijziging is geen echte beveiliging

Het wijzigen van de standaardpoort zoals 8291 voor Winbox is een goede eerste stap, maar geen sluitende beveiligingsmaatregel. Deze aanpak wordt ook wel “security through obscurity” genoemd: je maakt het moeilijker voor scanners, maar niet onmogelijk voor doelgerichte aanvallers.

Wat het wel doet:

Vermindert het aantal automatische scans en inlogpogingen
Verhoogt de drempel voor toevallige aanvallers
Dwingt bewuste configuratie (zoals IP-beperkingen)

Wat het niet doet:

Het vervangt geen goede firewallregels
Het versleutelt of beschermt je verkeer niet
Het detecteert geen ongewenste toegangspogingen

Gebruik poortwijziging dus als onderdeel van je bredere beveiligingsstrategie, niet als enige maatregel.

Stap 3: Scherm Neighbour Discovery en MAC toegang af op de WAN interface

In de bovenstaande screenshot zie je hoe ik verbinding maak met mijn MikroTik router via Winbox, nadat ik de standaardpoort (8291) heb gewijzigd naar poort 9999. Wanneer je de Winbox poort aanpast, moet je die expliciet vermelden bij het IP-adres in het veld Connect To. Laat je die poort weg, dan probeert Winbox automatisch verbinding te maken via poort 8291, wat uiteraard mislukt als je die poort hebt gewijzigd. Meer weten over Winbox? Lees dan deze blogpost. Hoewel IP beveiliging essentieel is, blijft je MikroTik router kwetsbaar als je layer 2 toegang (zoals MAC Winbox, Neighbour Discovery en MAC Telnet) openlaat op de WAN interface. Deze vormen een achterpoortje dat je best uitschakelt. Daarom beperk ik deze toegang uitsluitend tot LAN interfaces of het management netwerk via de interface lists in MikroTik. Ik maak eerst de interface lists aan genaamd WAN, LAN en MGMT.

Aanmaken van de interface list WAN, LAN en MGMT op MikroTik

1
Klik op ‘Interfaces’ in de linker zijbalk.
2
Navigeer naar het tabblad Interface List -> Lists om de lists aan te maken.
3
Klik op het blauwe plusteken om een nieuwe list toe te voegen.
4
Geef je lijst een herkenbare naam, bijvoorbeeld WAN, LAN en MGMT.
5
Klik op Apply om de list aan te maken.
6
Gebruik Copy om een bestaande list als basis te nemen.

Ik gebruik WAN, LAN en MGMT als naam omdat ik deze lists straks wil toepassen op MAC server, MAC Winbox en Neighbour Discovery specifiek om toegang op WAN poorten te blokkeren.

Zoals je ziet in de afbeelding hierboven, gebruik ik verschillende interface lists zoals: WAN, LAN en MGMT al heb je de mgmt niet altijd nodig zoals bij particuliere mensen met een gewoon netwerk.

Ether1 toevoegen aan WAN

Veilige instellingen toepassen op je MikroTik

In deze screenshot kies ik ervoor om ether1 toe te voegen aan de lijst WAN. Dit is typisch de poort die rechtstreeks op de modem of internetverbinding zit. Zorg dat je precies weet welke poort je gebruikt voor je WAN verkeer. Bij de meeste MikroTik modellen is dat ether1, bij andere een VLAN interface naargelang de configuratie die je eraan geeft.

bridgeLocal toevoegen aan LAN

In de bovenstaande screenshot zie je hoe ik de interface bridgeLocal toevoeg aan de lijst LAN. Deze stap is essentieel als je later MAC toegang en Neighbour Discovery uitsluitend wil toestaan op interne poorten, en niet op de WAN zijde van je MikroTik router. In mijn setup is bridgeLocal de interface die al mijn LAN poorten en VLAN’s groepeert. Door deze toe te wijzen aan de LAN interface groep, kan ik straks de toegang tot de MAC server, Winbox MAC server en MAC ping beperken tot intern verkeer. Bekijk eerst de onderstaande tabel voor een overzicht van de beschikbare instellingen en mijn aanbevelingen per functie.

Overzicht: MAC gebaseerde services in MikroTik

service	gevaar	mijn aanbeveling
MAC Telnet Server	Onversleutelde toegang via MAC op Layer 2. Mogelijk misbruikbaar in open netwerken.	❌ Uitschakelen tenzij strikt nodig op LAN
MAC Winbox Server	Laat verbinding met Winbox toe via MAC-adres, zelfs zonder IP. Risico op onbevoegde toegang.	❌ Uitschakelen of beperken tot LAN via interface list
MAC Ping Server	Router blijft zichtbaar via MAC discovery tools (bijv. The Dude of Winbox).	❌ Uitschakelen of beperken tot LAN voor diagnose
Neighbour Discovery	Router zichtbaar via Winbox / The Dude, ook op WAN als niet beperkt	❌ Enkel toestaan op LAN Of MGMT via interface list

MAC Server openen in Winbox

Om MAC gebaseerde toegang te beheren in MikroTik, open ik het menu Tools vervolgens MAC Server, zoals je in de onderstaande afbeelding ziet.
Daar configureer ik:

De toegestane interfaces voor MAC Telnet.
De toegestane interfaces voor MAC Winbox.
En eventueel schakel ik MAC Ping uit.

Belangrijk: deze instellingen bepalen op welke interfaces iemand je router kan benaderen via MAC adres ook zonder IP! Daarom beperk ik dit streng tot mijn LAN of MGMT interface list.

MAC Telnet beperken tot LAN of management

Om te voorkomen dat iemand via MAC Telnet ongewenst toegang probeert te krijgen, wijs ik deze service uitsluitend toe aan de interface list LAN.
Zoals eerder vermeld hangt dit sterk af van je netwerkstructuur. In grotere of gesegmenteerde omgevingen werk ik meestal met een aparte interface list mgmt, die alleen beheertoegang toelaat op specifieke VLAN’s of fysieke poorten. Op die manier blijft MAC Telnet beschikbaar waar het nodig is, maar wordt het volledig uitgesloten op je WAN interfaces en gastnetwerken. Je ziet dat je MikroTik apparaten beveiligen meer inhoud dan een andere login.

Ik open het tabblad MAC Telnet Server.
Kies bij Allowed Interface List: LAN of MGMT
Klik op Apply en daarna op OK.

MAC Winbox beperken tot LAN of MGMT

Ook MAC Winbox laat beheer toe via MAC adressen, zelfs als je router geen IP heeft op een bepaalde poort. Dit maakt het belangrijk om deze service te beperken tot je LAN.

1
Open het tabblad MAC Winbox Server.
2
Kies bij Allowed Interface List: LAN of MGMT.
3
Klik op Apply en vervolgens op OK.

MAC Ping Server uitschakelen

Tot slot schakel ik de MAC Ping Server volledig uit. Die zorgt er namelijk voor dat je router zichtbaar blijft via Layer 2 scans, zoals via Winbox of The Dude zelfs zonder IP.

1
Open het tabblad MAC Ping Server.
2
Vink MAC Ping Server Enabled uit.
3
Bevestig met OK.

Mijn advies: tenzij je bewust gebruik maakt van Layer 2 diagnoses binnen een beheernetwerk, schakel deze functies beter volledig uit.
Ik geef toe: bij het lezen van deze blogpost komt er veel op je af. Maar dat had ik je al beloofd aan het begin MikroTik apparatuur beveiligen vraagt kennis van zaken en een doordachte aanpak. Geef dus niet op. Blijf lezen, pas toe wat je leert, en maak van jouw MikroTik router een stevig beveiligde muur tegen kwaadwillenden.

Neighbor Discovery beperken tot LAN of MGMT

Standaard laat MikroTik Neighbor Discovery toe op alle interfaces. Hierdoor is je router zichtbaar voor andere apparaten via Winbox, The Dude of Layer 2 scans. Dat is handig voor intern beheer, maar potentieel gevaarlijk op de WAN zijde. Daarom beperk ik neighbor discovery tot mijn LAN of MGMT interface list. Waar stel je dit in?

Toegang beperken tot je MikroTik apparaat

Ga naar IP -> Neighbors

In de instellingen van Neighbour Discovery bepaal ik expliciet welke interface list wel discovery mag doen. Standaard staat dit op all, waardoor je router zichtbaar is op alle poorten ook de WAN poort. Ik wijzig dit naar een veilige lijst zoalsLAN of MGMT.

1
Open het venster Discovery Settings.
2
Kies bij Discover Interface List de list LAN (of MGMT als je een apart beheernetwerk gebruikt).
3
Klik op Apply en vervolgens op OK.

Dit voorkomt dat je router: verschijnt in tools zoals Winbox of The Dude en ontdekt wordt via Layer 2 scans op ongewenste netwerken.

Mijn advies:

Laat neighbor discovery enkel toe op de interfaces waar je effectief beheert.

Samenvattende checklist Layer 2 toegang en zichtbaarheid beperken (Stap 3)

Service	Wat doet het?	Risico	Mijn aanbevolen instelling
MAC Telnet Server	Toegang tot CLI via MAC adres (zonder IP)	Onversleuteld, zichtbaar op alle interfaces	Beperken tot LAN of MGMT
MAC Winbox Server	Winbox toegang via MAC adres	Ook zonder IP mogelijk, zichtbaar voor scanners	Alleen beperken of LAN of MGMT
MAC Ping Server	Zorgt dat router zichtbaar is via MAC/Layer2 discovery tools	Altijd zichtbaar op Layer 2, zelfs zonder IP	❌ Uitschakelen
Neighbour Discovery	Maakt router zichtbaar in Winbox, The Dude, discovery-tabellen	Router zichtbaar op alle poorten, incl. WAN	Beperken tot LAN of MGMT

Mijn werkwijze:

In kleinere netwerken gebruik ik de interface list LAN als veilige zone. In grotere of gesegmenteerde omgevingen werk ik liever met een aparte interface list MGMT, waarin alleen beheerinterfaces worden opgenomen. Alles wat buiten deze lijsten valt zoals WAN, gastnetwerken of IoT-apparaten, krijgt geen toegang op MAC niveau of via Neighbour Discovery. MikroTik beveiligen is geen eenvoudige taak, maar met deze gids heb je een stevige basis in handen. Stap voor stap leer je je router beter te beschermen, en bouw je aan een netwerk dat bestand is tegen ongewenste toegang.

Stap 4: Bescherm je router met RP Filter en TCP SYN Cookies

In deze stap stel ik twee belangrijke beveiligingsopties in die je vindt onder IP -> Settings in Winbox of WebFig:

Reverse Path Filtering (RP Filter)
TCP SYN Cookies

Beide versterken de basisbeveiliging van je router tegen respectievelijk IP spoofing en SYN flood-aanvallen.

Wat is Reverse Path Filter (RP Filter)

RP Filter, of Reverse Path Filtering, is een beveiligingsmechanisme op MikroTik routers dat ook wel source address validation wordt genoemd.
De functie controleert of een inkomend IP-pakket via dezelfde interface teruggestuurd zou kunnen worden, gebaseerd op de huidige routing table.
Is dat niet het geval? Dan wordt het pakket geweigerd. Dit helpt om spoofed packets te detecteren bijvoorbeeld wanneer een aanvaller een vals afzender adres gebruikt dat niet overeenkomt met de routering.

Waarom is RP Filter belangrijk?

Zonder RP Filter kunnen kwaadwillenden:

Pakketten sturen met een vervalst bronadres (IP-spoofing).
Firewalls omzeilen via asymmetrische routes
Je router misbruiken voor spoof-based aanvallen
De router gebruiken voor reflectieaanvallen.

Met RP Filter zeg je in feite: “Alle verkeer moet logisch terug te traceren zijn via de routering.”

Voorkomen van reflectieaanvallen

Zonder een correcte RP Filter instelling kan een MikroTik router misbruikt worden als reflector in een aanval. Bij een reflectieaanval (zoals bij een DNS of NTP amplificatieaanval) stuurt een aanvaller netwerkverkeer met een vervalst bronadres naar jouw router, in de hoop dat deze:

Het pakket accepteert
Een antwoord terugstuurt naar het slachtoffer (niet naar de aanvaller)
Zo deel wordt van een bredere DDoS-aanval

Samengevat

Zonder RP Filter: je router kan deelnemen aan DDoS-aanvallen zonder dat je het merkt.
Met RP Filter (strict): alleen verkeer met een legitieme, terug routeerbare bron wordt geaccepteerd.

Je hebt drie opties

Instelling	Uitleg
No	RP Filter is uitgeschakeld
loose	Alleen geldig als het IP voorkomt in de routing table (maakt niet uit via welke interface)
strict	IP moet terug te routeren zijn via exact dezelfde interface als waar het vandaan kwam (meest veilig)

Mijn advies: stel RP Filter in op strict

Voor de meeste beveiligde netwerken (zonder asymmetrische routing) is rp-filter=strict een aanbevolen standaardinstelling. Gebruik je complexe BGP-configuraties of load balancing met meerdere uplinks? Dan kan loose de veiligste keuze zijn zonder legitiem verkeer te blokkeren.

1
Ga naar IP (1) in het linker menu
2
Kies vervolgens Settings (2)

1
Selecteer strict
2
Klik op apply en laat dit venster open

SYN Cookies: bescherming tegen SYN flood aanvallen

SYN Cookies beschermen je MikroTik router tegen een klassieke vorm van Denial of Service aanval (DoS): de SYN flood-aanval.
Bij deze aanval stuurt een aanvaller duizenden nep-verbindingen naar je router met enkel het eerste deel van de TCP-handshake: het SYN-pakket.

Wat gebeurt er dan?

Wat is het risico zonder SYN Cookies

Je router houdt elke aanvraag in een zogeheten half-open toestand, in afwachting van het bijhorende ACK-pakket. Zonder bescherming kan dit je router overbelasten het beschikbare geheugen raakt op, en legitieme verbindingen worden geweigerd. Het gevolg is spijtig genoeg katastrofaal op groot netwerk. Doch wil je uw MikroTik apparaten beveiligen zal je hier iets moeten aan doen. Wat zijn de gevolgen van een Syn Flood aanval:

Router loopt vast of vertraagt door open verbindingen.
Geheugen of CPU uitputting bij massale SYN-aanvallen.

Hoe SYN Cookies helpen

Wanneer SYN Cookies zijn ingeschakeld:

Reserveert je router geen geheugen voor een verbinding tot de 3-way handshake is voltooid
De router verstuurt wel een SYN-ACK, maar bewaart geen staat in het geheugen.
Pas bij ontvangst van het definitieve ACK-pakket wordt een verbinding volledig aangemaakt

1
Vink TCP SYN Cookies aan dit beschermt tegen SYN flood aanvallen.
2
Zodra deze twee opties correct zijn ingesteld, klik op Apply en daarna op OK.

Dit is een eenvoudige maar cruciale stap om je MikroTik-router robuuster te maken tegen veel voorkomende netwerkbedreigingen.
Zoals je merkt, zijn er heel wat manieren om je MikroTik apparaten te beveiligen en elk detail telt. Daarom werk ik aan dit uitgebreide monsterblog over MikroTik apparatuur beveiligen. En toch… we zijn er nog niet. Hou vol, blijf leren, en zorg niet alleen voor een veilige router, maar ook voor een beveiligd en betrouwbaar privé-netwerk.

Stap 5: Bandwidth Test Server: handig intern, maar gevaarlijk extern

De Bandwidth Test Server is een ingebouwde functie op MikroTik routers die toestellen toelaat om een snelheidstest uit te voeren via jouw router.
In afgesloten netwerken kan dit nuttig zijn voor interne performance tests tussen MikroTik apparaten. Maar… zodra je router verbonden is met het internet, verandert dit in een potentiële kwetsbaarheid.

Waarom is dit een risico?

De Bandwidth Test Server luistert standaard op poort 2000 UDP
Externe scanners kunnen deze poort detecteren en misbruiken om: Je router te overbelasten, Je netwerkcapaciteit te meten, aanvallen te simuleren onder het mom van een "test"
Het verkeer wordt vaak niet gelogd of beperkt tenzij je dit expliciet instelt

Risico	Gevolg
Iedereen kan bandbreedte testen uitvoeren	Verbruikt CPU en bandbreedte van je router
Kan misbruikt worden voor DoS-simulaties	Router wordt overbelast en mogelijk tijdelijk onbruikbaar
Zichtbaarheid van je IP als BTest endpoint	Toestel wordt makkelijker gevonden door scanners

Mijn advies:

Zelf gebruik ik de Bandwidth Test Server nooit actief, tenzij voor een éénmalige test op een intern netwerk. Wie mij al langer volgt, weet dat ik in het verleden wel eens wifi linktesten uitvoerde met deze tool maar dat gebeurde altijd in een gecontroleerde, afgesloten omgeving. Vandaag raad ik het ten zeerste af om de Bandwidth Test Server actief te laten op een MikroTik router die verbonden is met het internet. Het beveiligingsrisico weegt niet op tegen het tijdelijke nut van een snelheidsmeting.

Zo doe je het in Winbox:

1
Ga naar Tools,
2
vervolgens naar BTest Server

1
Vink ‘Enabled’ uit
2
Klik op Apply en daarna op OK

In de command line gaat dit zo:

/tool bandwidth-server set enabled=no

Stap 6: SSH beveiligen op je MikroTik router met sterke encryptie en vernieuwde host key

SSH is een populaire manier om je MikroTik router te beheren, maar standaardinstellingen kunnen onnodige risico’s meebrengen. In deze sectie toon ik hoe je SSH sterker maakt door:

Alleen veilige encryptiemethoden toe te laten
De host key te vernieuwen
De toegang te beperken tot vertrouwde beheerapparaten

Waarom voor minimum 4096 bits?

Omdat dit de veiligste optie is op MikroTik, en brute-force aanvallen praktisch onmogelijk maakt met huidige technologie. Vroeger werden vaak sleutels van 512 of 1024 bits gebruikt vandaag absoluut af te raden!

Alleen veilige encryptie protocollen toelaten (Strong Crypto)

Standaard accepteert MikroTik oude en zwakke algoritmes zoals ssh-dss, 3des-cbc of diffie-hellman-group1-sha1. Die zijn verouderd en kwetsbaar. Je schakelt deze uit met één commando:

/ip ssh set strong-crypto=yes host-key-size=8192
/ip ssh regenerate-host-key

Instelling	Effect
strong-crypto=yes	Alleen moderne encryptie protocollen
host-key-size=8192	Genereert een RSA sleutel van 8192 bits
regenerate-host-key	Nieuwe sleutel op basis van bovenstaande parameters

Belangrijk om te weten:

Een sleutel van 8192 bits is extreem veilig, maar: Vraagt meer CPU bij elke nieuwe verbinding. Bij normaal beheer (enkele sessies per dag) is dat geen probleem.
Gebruik dit gerust op toestellen zoals de RB5009, CCR2004, RB4011 of zwaarder. Oudere hEX of hAP Lite routers kunnen hier iets trager op reageren. Het is niet altijd aangewezen om voor de zwaarste sleutel te gaan. Een sleutel van 4096 is normaal goed genoeg.

Stap 7 – MikroTik RouterOS updaten voor beveiliging en stabiliteit

Een van de belangrijkste maar vaak vergeten stappen in routerbeveiliging is het regelmatig bijwerken van je MikroTik RouterOS versie. Updates brengen niet alleen nieuwe functies, maar verhelpen ook kwetsbaarheden en stabiliteitsproblemen die misbruikt kunnen worden door aanvallers. Je MikroTik router beveiligen begint bij het vermijden van bekende lekken en die worden opgelost met updates.

Waarom RouterOS regelmatig updaten?

Reden	Uitleg
Beveiliging	Bekende exploits en kwetsbaarheden worden gepatcht
Stabiliteit	Bugs of crashes worden opgelost in nieuwe releases
Compatibiliteit	Nieuwe functies vereisen soms een up-to-date kernel
Minder risico	Outdated versies worden sneller gescand en misbruikt

Citaat uit de praktijk – waarom updaten echt telt

In 2022 bleek uit onderzoek dat meer dan 300.000 MikroTik routers wereldwijd kwetsbaar waren voor beveiligingslekken die al jaren eerder waren opgelost met updates. De oorzaak? Veel gebruikers installeerden geen nieuwe RouterOS versies. Hierdoor bleven routers openstaan voor aanvallen zoals botnet-infecties, reflectieaanvallen en ongeautoriseerde toegang.
Bron: Security.nl – 300.000 MikroTik-routers kwetsbaar door jarenoude beveiligingslekken

Meris-botnet misbruikt MikroTik routers een harde les

In 2021 werd het Meris-botnet ontdekt: een netwerk van tienduizenden gehackte MikroTik routers, gebruikt voor gigantische DDoS-aanvallen.
De boosdoener? Oude RouterOS versies en onveilige instellingen. Volgens Kaspersky waren veel routers:

Niet up-to-date
Had standaardwachtwoorden nog actief
En stonden services open naar het internet

Wat leer je hieruit?

Het negeren van updates maakt zelfs krachtige routers direct kwetsbaar. Updaten is dus geen optie, maar een absolute verplichting voor wie MikroTik professioneel wil gebruiken of beveiligen.

MikroTik apparaten zijn populair én vaak bereikbaar via internet.
Hierdoor worden ze vaak gescand op bekende kwetsbaarheden.
Verouderde versies zijn een gemakkelijk doelwit voor botnets (zoals bij de Meris aanval in 2021).

Een up-to-date MikroTik router is je eerste verdedigingslinie tegen misbruik.

Zonder updates blijf je achter met kwetsbaarheden, zelfs als je configuratie perfect in orde is. MikroTik apparaten beveiligen betekent dus ook: je router tijdig upgraden. Ik hoop dat ik je hiermee heb kunnen overtuigen. Let’s get started: en ga verder met het beveiligen van je MikroTik router.

1
Ga naar System.
2
Vervolgens Packages.

1
Klik bovenaan op Check For Updates.
2
Onderaan verschijnt: New version is available. Kies het gewenste kanaal (bij voorkeur stable).
3
Klik daarna op Download & Install, de router gaat automatisch de benodigde packets downloaden, installeren en heropstarten.
4
Nadat de router is heropgestart Klik op ok om het venster af te sluiten.

Stap 8 RouterBOARD firmware bijwerken

1
Ga naar System.
2
Klik onderaan op RouterBOARD.

1
Klik op Upgrade, Hiermee wordt de nieuwe firmwareversie klaar gezet (7.19.1 in dit voorbeeld).
2
Bevestig de vraag "Do you really want to upgrade firmware?" door op Yes te klikken.
3
Zodra de rode melding verschijnt dat de firmware klaar is en de router terug moet opstarten: Klik op OK om het venster af te sluiten.
4
Herstart de router, de router is terug up-to-date.

Waarom deze stap essentieel is:

De RouterBOARD-firmware bestuurt de onderliggende hardware zoals netwerkinterfaces en opslagmodules.
Door deze bij te werken zorg je voor maximale compatibiliteit en betrouwbaarheid, zeker bij nieuwe RouterOS-versies.

Wat jij al doet om Meris te vermijden

De aanvalsmethoden van het Meris-botnet tonen glashelder aan waarom een degelijke MikroTik configuratie zo belangrijk is. Gelukkig heb je in deze gids al verschillende stappen gezet die precies dit soort aanvallen voorkomen:

Beheertoegang beperken via een mgmt-address-list
Winbox verplaatsen naar een andere poort én enkel toestaan voor vertrouwde IP's
Ongebruikte services uitschakelen, zoals Telnet, FTP en MAC access
SSH versterken met strong-crypto=yes en een 8192-bit host key

Met deze maatregelen is je router geen makkelijke prooi meer en help je actief mee om botnets zoals Meris te stoppen. Lees verder en leer nog meer stappen om je MikroTik apparaten veilig te maken

De MikroTik firewall verwijderen en herinstalleren vanaf 0

MikroTik routers worden meestal geleverd met een standaard firewall. Die biedt een basisbeveiliging, maar is vaak te algemeen en sluit niet altijd aan bij je eigen netwerk structuur. Bovendien bevat ze regels die je moeilijk kunt uitbreiden of in de juiste volgorde kunt houden. Daarom kies ik ervoor om de standaardregels te verwijderen en onze eigen firewall van nul af op te bouwen. Dat is overzichtelijk, onderhoudbaar en veiliger op lange termijn. En wat ook belangrijk is, zo kan ik het duidelijker maken zodat iedereen het kan verstaan. Want MikroTik apparaten beveiligen door middel van de firewall is van cruciaal belang.

Waarom de standaard firewall niet volstaat als je MikroTik apparatuur wil beveiligen

Wie een MikroTik router instelt met QuickSet of de standaard configuratie, krijgt automatisch een eenvoudige firewall meegeleverd. Op het eerste zicht lijkt deze configuratie voldoende, maar als je jouw MikroTik apparatuur echt goed wil beveiligen, stuit je al snel op beperkingen. De basis configuratie laat bijvoorbeeld vaak al het verkeer van het lokale netwerk toe, zonder onderscheid of logging. Voor wie professioneel of gestructureerd wil werken, is dat niet genoeg.

Waarom je de standaard firewall beter vervangt

Om MikroTik apparatuur te beveiligen, heb je meer nodig dan alleen een NAT regel en enkele vage filters. Hier zijn de voornaamste tekortkomingen van de standaardinstellingen:

Geen afgebakende beheer IP's: Iedereen in het netwerk kan de router bereiken.
Geen detectie van scans of inbraakpogingen: de firewall merkt geen kwaadwillende activiteiten op.
Geen RAW filtering van ongewenst verkeer: Bogons en malafide DNS verzoeken worden niet vroegtijdig geblokkeerd.
Geen logging: Je ziet niet wat geblokkeerd wordt of waarom.
Alle apparaten mogen alles – Forwarding tussen clients en VLANs wordt niet beperkt.

Voor wie zijn MikroTik router wil beveiligen tegen ongewenste toegang en datalekken, is het essentieel om de firewall volledig naar eigen hand te zetten.

Besluit: Mikrotik beveiligen begint met maatwerk

Wil je Mikrotik apparatuur echt goed beveiligen, dan is een standaard configuratie niet voldoende. In deze blogpost toon ik je hoe je de bestaande firewall regels verwijdert en vanaf nul opnieuw opbouwt. Zo krijg je volledige controle over de beveiliging van je netwerk.

Verwijder de bestaande firewall om je MikroTik apparatuur veilig te herconfigureren

Om je MikroTik apparatuur te beveiligen op jouw eigen voorwaarden, moet je eerst de bestaande firewall regels volledig verwijderen. Zo begin je met een schone lei en voorkom je dat oude regels je nieuwe beveiligingsstrategie ondermijnen. Waarom eerst alles verwijderen vraag je je misschien af, denk aan:

NAT regels die al het verkeer toestaan
ICMP-filters die debugging bemoeilijken
Oude regels die toegang geven aan ongewenste IP-adressen
Met het zelf opbouwen van de firewall heb je meer inzicht wat er gebeurd

Stap voor stap: verwijder alle firewall regels

Deze stappen kan je uitvoeren in het new terminal venster in Winbox en via SSH. Meer weten over SSH lees dan ook de blogpost: Inloggen met Winbox en SSH op MikroTik.

/ip firewall filter remove [find]

Verwijder alle NAT regels

/ip firewall nat remove [find]

RAW regels

/ip firewall raw remove [find]

Ook address-lists verwijderen

Sommige firewall regels gebruiken zogenaamde address-lists. Dat zijn lijsten met IP-adressen die later opnieuw kunnen worden gebruikt in andere regels (bijvoorbeeld om bepaalde toestellen toe te laten of te blokkeren). Zelfs al zijn er nu nog geen entries aanwezig, raad ik je aan om ze expliciet te wissen. Zo ben je zeker dat je start vanuit een propere situatie. Gebruik dit onderstaand commando in New Terminal:

/ip firewall address-list remove [find]

Je MikroTik router is nu opgeschoond: tijd om gericht te beveiligen

Je MikroTik router is nu volledig opgeschoond van oude firewall regels. Dit is het ideale moment om een nieuwe, gestructureerde firewall op te bouwen die past bij jouw netwerkstructuur en beveiligingsdoelen. Let op: wat ik je in deze tutorial toon is een eigen interpretatie van hoe je MikroTik apparatuur kan beveiligen. De configuratie is op maat uitgewerkt en afgestemd op een router voorbeeld dat specifiek ontwikkeld is voor deze reeks: “MikroTik apparaten beveiligen”. Je zal merken dat ik bewust keuzes maak in het gebruik van:

RAW regels voor vroege filtering,
Beveiligde beheerpoorten,
Logging voor zichtbaarheid,
En een minimale, doch robuuste rule set.

Zo krijg je een firewall die overzichtelijk, schaalbaar en veilig is, ideaal voor wie meer wil dan de standaard “QuickSet”-configuratie van MikroTik.

Een veilige MikroTik firewall opbouwen, stap voor stap

In dit deel van mijn handleiding bouw ik een volledige firewall op voor mijn MikroTik router. Niet met een kant en klaar script, maar regel per regel, zodat je precies weet wat elke regel doet en waarom ze belangrijk is. Ik vertrek van een lege configuratie, zonder de standaardregels, en werk toe naar een professionele firewall opbouw met meer controle, betere zichtbaarheid en sterkere bescherming. Deze methode is ideaal als je je MikroTik router écht veilig wil instellen. Elke regel leg ik uit en je kunt ze makkelijk kopiëren en plakken in het New Terminal venster.

Input chain: regels voor je MikroTik router zelf te beschermen

Toestaan van bestaande en gerelateerde verbindingen

We laten bestaande connecties en bijhorende pakketten (zoals fouten of terugkerende antwoorden) automatisch door. Dit is essentieel voor de werking van bijna alle internet verkeer, inclusief beheer, DNS, NTP, enz. Deze regels zorgen voor:

Deze regels zorgen ervoor dat antwoorden op toegestane connecties niet opnieuw gefilterd worden.
Zonder deze regels zou je bijvoorbeeld Winbox wél toestaan, maar het antwoordpakket blokkeren — met als gevolg een niet-werkende verbinding.
Bovendien wordt verkeersafhandeling efficiënter, omdat bestaande connecties niet telkens door alle andere firewallregels moeten.

Veilige toegang tot Winbox beperken tot beheer-IP’s

Voor ik ook maar één firewall regel toevoeg, zorg ik ervoor dat ik mezelf altijd toegang geef tot de router. Dat is belangrijk, want een foute regel kan ervoor zorgen dat ik de router niet meer kan bereiken. Daarom maak ik eerst een address-list met mijn eigen vertrouwde IP adressen. Daarna voeg ik een firewall regel toe die zegt: "Als het verkeer afkomstig is van één van deze adressen, dan mag het altijd binnen." Dit is mijn reddingslijn als er later iets misloopt tijdens het opbouwen van de firewall. Deze wordt daarna verwijderd als we verder bouwen aan de firewall configuratie.

Address-lists aanmaken

Wat zijn address-lists en waarom gebruiken we ze?

Met address-lists kan je toestellen of volledige netwerken groeperen op basis van hun functie. Dit maakt je firewall:

leesbaar (regels zijn duidelijk en logisch),
uitbreidbaar (nieuwe toestellen voeg je toe zonder firewallregels te herschrijven),
beheersbaar (centrale plek om IP’s te beheren).

Stel je voor dat er een nieuw LAN-netwerk bijkomt. Dankzij address-lists hoef je dan geen enkele firewallregel aan te passen, je voegt gewoon het nieuwe subnet toe aan de lijst lan-networks. De rest blijft automatisch werken. Ik hoop dat je hiermee de essentie begrijpt van het werken met address-lists: ze vormen de ruggengraat van een efficiënte en toekomst gerichte firewall configuratie. We starten met drie lijsten die we in de rest van de configuratie veelvuldig gaan gebruiken:

mgmt: toestellen met volledige beheerrechten
lan-networks: alle interne netwerken
trusted-dns: toegestane DNS-servers

/ip firewall address-list
add address=192.168.0.254 list=mgmt comment="Beheerstation met volledige rechten"
add address=192.168.0.253 list=mgmt comment="Tweede beheertoestel met volledige rechten"
add address=192.168.88.0/24 list=lan-networks comment="Private LAN"
add address=192.168.3.0/24 list=lan-networks comment="Guest netwerk"
add address=192.168.0.0/24 list=lan-networks comment="Managementnetwerk"
add address=1.1.1.1 list=trusted-dns comment="Cloudflare DNS"
add address=8.8.8.8 list=trusted-dns comment="Google DNS"

Beveiligde toegang tot Winbox (poort 9999)

We willen dat alleen toestellen uit de mgmt-lijst toegang krijgen tot de router via Winbox op poort 9999. Andere pogingen worden gelogd en geblokkeerd.
Daarnaast beschermen we deze chain ook tegen foutieve of verdachte pakketten door invalid verbindingen onmiddellijk te droppen.

/ip firewall filter
add chain=input connection-state=established,related action=accept comment="Toestaan bestaand en gerelateerd inputverkeer"
add chain=input connection-state=invalid action=drop comment="Drop ongeldig (corrupt of verdacht) inputverkeer"

add chain=input action=accept protocol=tcp dst-port=9999 src-address-list=mgmt comment="Toestaan Winbox (poort 9999) vanaf mgmt"
add chain=input action=log protocol=tcp dst-port=9999 src-address-list=!mgmt log-prefix="WINBOX VERBODEN " comment="Log alle niet-gemachtigde Winbox-pogingen"
add chain=input action=drop protocol=tcp dst-port=9999 src-address-list=!mgmt comment="Blokkeer toegang tot Winbox buiten mgmt-lijst"

Waarom deze aanpak werkt

De eerste twee regels zorgen dat bestaand, geldig verkeer wordt toegelaten, en ongeldig verkeer vroegtijdig wordt geweerd.
Enkel toestellen uit mgmt mogen verbinding maken met poort 9999.
Andere toestellen worden eerst gelogd, dan geweigerd. Dit geeft zicht op interne of externe scanpogingen.

Deze vijf regels vormen samen een robuuste maar flexibele controle op beheerstoegang, essentieel als je MikroTik apparatuur veilig wil instellen.
Pro tip: Als je later extra beheertoestellen wil toelaten, hoef je enkel hun IP toe te voegen aan mgmt. De firewallregels blijven onaangeroerd.

ICMP correct beheren in je MikroTik firewall met jump regels

We kiezen ervoor om ICMP verkeer uitsluitend via filterregels te beheren, en dit op een gecontroleerde, gestructureerde manier. Door een aparte icmp-chain te gebruiken, houden we overzicht over toegelaten ICMP types en kunnen we extra beperkingen toepassen zoals specifieke regels voor verkeer afkomstig van de WAN interface. Vooraleer we de Mikrotik router beveiligen met deze regels beantwoord ik eerst de onderstaande vraag:

Wat is een jump chain

Een jump chain in MikroTik is een manier om bepaalde soorten verkeer apart te behandelen zonder de hoofdregels onoverzichtelijk te maken. In plaats van bijvoorbeeld alle ICMP regels (zoals ping) tussen je andere firewall regels te zetten, stuur je dit verkeer naar een aparte ‘subsectie’ met een eigen naam zoals icmp. Daar verwerk je alleen wat met ICMP te maken heeft. Zodra de afhandeling klaar is, springt de firewall terug naar de oorspronkelijke chain. Dit zorgt voor een heldere structuur en maakt het veel gemakkelijker om later extra beveiligingsregels toe te voegen of aan te passen zonder fouten te maken.

Stap 1 ICMP input beheren via aparte chain

We willen toestaan dat de router op nuttig ICMP verkeer reageert (zoals pings vanuit je LAN of traceroutes), maar tegelijk ongewenst ICMP vanaf het internet weigeren. Daarom sturen we al het ICMP verkeer via een jumpregel naar een eigen icmp chain, waar we bepalen wat toegelaten wordt.

/ip firewall filter
add chain=input protocol=icmp action=jump jump-target=icmp comment="ICMP input → verwerk in aparte chain"

Deze regel komt na je Winbox regels en voor DNS/NTP en andere inputregels.

Stap 2 Alleen nuttige ICMP types toelaten

We laten enkel ICMP types toe die nuttig zijn voor netwerkdiagnose, traceroute, en foutafhandeling. Elk type wordt expliciet benoemd in de icmp-chain.

/ip firewall filter
add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="Echo Reply (antwoord op ping)"
add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="Destination Unreachable"
add chain=icmp protocol=icmp icmp-options=3:3 action=accept comment="Port Unreachable"
add chain=icmp protocol=icmp icmp-options=3:4 action=accept comment="Fragmentation Needed"
add chain=icmp protocol=icmp icmp-options=8:0 action=accept in-interface-list=!WAN comment="Echo Request (alleen LAN)"
add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="TTL Exceeded"
add chain=icmp protocol=icmp action=return comment="Keer terug naar oorspronkelijke chain"

Wat doen we hier precies?

Door ICMP in een aparte chain te verwerken via jump, houd je je input en forward overzichtelijk.
Je laat alleen de ICMP-types toe die functioneel nodig zijn.
Pings vanaf WAN (internet) worden geblokkeerd, maar binnen je LAN blijft ping gewoon werken.
Enkel nuttige ICMP-types zijn toegelaten, dit voorkomt misbruik en behoudt functionaliteit (zoals traceroute of MTU discovery).

Dit is een goed evenwicht tussen netwerk functionaliteit en MikroTik apparatuur beveiligen tegen verkenning van buitenaf.

ICMP toegangsbeleid in de MikroTik firewall configuratie

ICMP-type	ICMP-code	Omschrijving	Functie / Nut	Toegelaten vanaf	Commentaar
8	0	Echo Request	Ping verzoek	Alleen LAN	Pings vanaf de WAN worden geweigerd
0	0	Echo Reply	Antwoord op ping	LAN & WAN	Nodig voor correcte ping respons
3	0	Destination Unreachable	IP-bestemming niet bereikbaar	LAN & WAN	Belangrijk voor fout afhandeling op IP-niveau
3	3	Port Unreachable	Bestemming poort niet bereikbaar	LAN & WAN	Nodig voor UDP debugging
3	4	Fragmentation Needed	MTU te klein, fragmentatie vereist	LAN & WAN	Essentieel voor Path MTU Discovery
11	0	Time Exceeded (TTL expired)	Nodig voor traceroute	LAN & WAN	Laat correcte routeanalyse toe

Zo blijft je MikroTik apparatuur beveiligd zonder onnodige functionaliteit op te offeren, een slimme balans tussen veiligheid en bruikbaarheid.

DNS en NTP toelaten vanaf LAN

Toestellen in je netwerk moeten vaak de router aanspreken om:

domeinnamen op te lossen (DNS)
hun interne klok te synchroniseren (NTP)

We willen deze diensten enkel toestaan vanaf vertrouwde LAN-netwerken, gedefinieerd in de lan-networks address-list. Zo voorkom je dat ongewenste clients (zoals gasten of misbruikers) deze router functies gebruiken.

/ip firewall filter
add chain=input protocol=udp dst-port=53 src-address-list=lan-networks action=accept comment="Sta DNS-verkeer toe vanaf LAN naar router"
add chain=input protocol=udp dst-port=123 src-address-list=lan-networks action=accept comment="Sta NTP-verkeer toe vanaf LAN naar router"

DNS-verzoeken zijn noodzakelijk voor bijna alle internetcommunicatie.
NTP is belangrijk voor tijdsynchronisatie — zeker bij VPN, logs en certificaten.
Alleen toestellen in lan-networks mogen deze diensten gebruiken. Gasten, onbekende apparaten of externe bronnen worden automatisch geblokkeerd.

Wil je toestellen laten synchroniseren met een externe NTP-server of een andere DNS-provider? Dan regel je dat later via forward regels.

Logging en droppen van overige input

We willen ervoor zorgen dat al het verkeer dat niet expliciet is toegestaan, automatisch wordt gelogd en geblokkeerd. Zo blijven je firewallregels:

Veilig: alles wat niet toegelaten is, wordt geweigerd
Transparant: verdachte pogingen worden zichtbaar in de log

/ip firewall filter
add chain=input action=log log-prefix="INPUT DROP " comment="Log alle niet-toegelaten inkomende pakketten"
add chain=input action=drop comment="Drop alle niet-toegelaten inkomende pakketten"

Dankzij de log regel zie je in /log of /tool torch welke toestellen iets proberen wat niet mag.
De dropregel is essentieel: je router moet standaard gesloten zijn voor elk verkeer dat je niet expliciet toelaat.
Deze regels komen helemaal onderaan in de input chain, ze vangen alles op dat niet eerder geaccepteerd is.
Je kan later op basis van de logs beslissen of iets structureel moet worden toegelaten of geblokkeerd.

Port scan detectie en dynamische blokkering

Port scans zijn een veelgebruikte techniek van aanvallers om zwakke of open poorten op je router te ontdekken. MikroTik heeft ingebouwde ondersteuning om dat gedrag te detecteren en automatisch te blokkeren, via:

psd (port scan detection) parameters
dynamische address-lists (stage1 -> stage2 -> blocked)
een eigen chain: port-scan

Zo stop je portscanners nog vóór ze schade kunnen aanrichten. Dit is pas je MikroTik apparaat beveiligen is het niet?

Port scan detectie via input chain

We willen poortscans op de router interface zelf detecteren, d.w.z. op alle IP's en poorten van de router (niet van interne toestellen).
Zodra een bron verdacht gedrag vertoont, wordt die automatisch doorgestuurd naar de port-scan chain waar we hem verder opvolgen.

/ip firewall filter
add chain=input protocol=tcp psd=21,3s,3,1 src-address-list=!mgmt action=jump jump-target=port-scan comment="Detecteer port scan richting router (input)"

De psd parameter in MikroTik staat voor Port Scan Detection. Het wordt gebruikt om verdachte poortactiviteit automatisch te detecteren in firewall regels, vooral in de input en forward chain. Laten we de waarde psd=21,3s,3,1 samen ontleden aan de hand van deze tabel.

Parameter	Waarde	Uitleg
Weight	21	Score die een bron IP moet bereiken om als verdachte scanner beschouwd te worden. Elke poort poging verhoogt het gewicht.
Time Window	3 s	Tijd spanne waarin connectie pogingen geanalyseerd worden. Korte scans worden zo sneller gedetecteerd.
Scan Rate	3	Minimaal aantal connectie pogingen binnen het tijdsvenster dat vereist is voor detectie.
IP Scope	1	Aantal doel IP’s waarop het gedrag wordt geëvalueerd. 1 betekent: alle pogingen naar één IP (zoals je router).

Belang van src-address-list=!mgmt

Toestellen in de mgmt lijst (bijv. jouw beheer PC of laptops op 192.168.0.254 en .253) worden niet gecontroleerd op poortscans.
Alle andere bronnen die poorten proberen op de router (zoals WAN, gastnetwerken, of een gehackt toestel) worden doorgestuurd naar de port-scan chain voor verdere analyse.

Waar plaats je de port scan detectie (input)?

Na established/invalid: Je wil enkel nieuw TCP verkeer analyseren, geen bestaand of gebroken verkeer.
Na drop van port-scan-blocked: Scanners uit fase 3 mogen zelfs niet meer worden geanalyseerd.
Vóór mgmt-toelating: Anders kunnen kwaadwillige toestellen die in mgmt lijken te horen, ontkomen aan detectie.

Parameter	Waarde	Uitleg
Weight	21	Interne drempelwaarde: als een bron dit gewicht bereikt door poortpogingen, wordt hij verdacht.
Time Window	3 s	De router kijkt naar poortactiviteit binnen een periode van 3 seconden.
Scan Rate	3	Minimaal 3 poorten geprobeerd in 3 seconden nodig om als scan te gelden.
IP Scope	1	Alle scans gericht op één IP-adres (bijv. ander LAN/VLAN toestel) worden meegeteld.

De definitieve port-scan drop regel invoegen met een place-before regel

Om fouten bij het plaatsen van firewall regels te vermijden, kun je gebruik maken van de parameter place-before. In onderstaand voorbeeld is deze regel uitgerust met zo'n automatische positionering. Je hoeft deze regel enkel te kopiëren en te plakken in een nieuwe terminal net zoals je al eerder deed.
Het verschil? Deze regel wordt automatisch op de juiste plaats in je firewall gezet. Let op: dit werkt alleen als je de tutorial stap voor stap hebt gevolgd en de commentaar van de bestaande regels niet hebt gewijzigd. Probeer het gerust uit.

/ip firewall filter add chain=input src-address-list=port-scan-blocked action=drop \
comment="Drop input van scanners in fase 3" place-before=[find where comment="Detecteer port scan richting router (input)"]

Resultaat: de perfecte volgorde voor input beveiliging

Zoals je ziet in de afbeelding hierboven: de scannerblokkeerregel staat nu netjes boven de detectieregel, precies waar hij hoort. Je MikroTik router denkt nu als een echte portier aan de deur van een exclusieve club: "Hey, jij daar! Je stond al drie keer op de zwarte lijst jij komt er écht niet meer in. Volgende!

Forward chain: regels voor veilige achterliggende netwerken

De forward chain bepaalt welk verkeer via de router mag passeren tussen VLAN’s, LAN segmenten of van LAN naar internet.
We zorgen hier voor:

correcte state-afhandeling (established, invalid),
gecontroleerde toestemmingen (bv. LAN → internet),
logging van verdachte of ongewenste pogingen,
een duidelijke structuur die uitbreidbaar is.

Bestaande en gerelateerde verbindingen toelaten

/ip firewall filter
add chain=forward connection-state=established,related action=accept comment="Toestaan bestaand en gerelateerd forward verkeer"

Deze regel moet altijd bovenaan de forward regels staan. Ze zorgt ervoor dat antwoorden op toegelaten connecties niet opnieuw gefilterd moeten worden.

Bestaande en gerelateerde verbindingen toelaten

/ip firewall filter
add chain=forward connection-state=invalid action=drop comment="Drop foutief (invalid) forward verkeer"

“Invalid” pakketten kunnen wijzen op fragmentatie aanvallen, verkeerd gefragmenteerde verbindingen of bugs. Altijd onmiddellijk droppen.

Waarom je invalid connection-state moet droppen

In MikroTik (en andere firewalls) houdt de router per verbinding bij of een pakket:

bestaand is (established)
verwant is aan een eerdere verbinding (related)
nieuw is (new)
of geen logische verbinding vormt (invalid)

Wat betekent “invalid”?

Een pakket krijgt de status invalid als het:

geen deel uitmaakt van een bekende verbinding,
ook geen nieuwe connectie correct opbouwt

Dit gebeurt bijvoorbeeld wanneer:

Oorzaak	Voorbeeld
Fragmentatieproblemen	Een te groot pakket geraakt incompleet bij je router
Slechte volgorde	Pakketten komen aan in verkeerde volgorde of missen headers
Verbroken sessies	Een host probeert data te sturen over een al gesloten sessie
Bugs of corrupte software	Verkeerd gegenereerde TCP-pakketten van foute applicaties
Bewuste aanval	Sommige aanvallen proberen bewust fouten te veroorzaken in connection tracking

Wat gebeurt er als je ze niet dropt?

Je router moet extra moeite doen om ermee om te gaan
Connection tracking raakt vervuild
Je firewall kan trager reageren of zelfs crashen bij grote hoeveelheden invalid
Sommige DoS-aanvallen maken hier misbruik van

We bouwen verder aan een correcte en veilige port scan detectie

/ip firewall filter
add chain=forward src-address-list=port-scan-blocked action=drop comment="Drop forward van scanners in fase 3"

Waarom eerst de dropregel toevoegen?

Scanners uit fase 3 mogen geen verkeer meer forwarden, ongeacht wat erna nog komt.
Je wil dat die IP's direct gedropt worden, nog vóór ze bijvoorbeeld via psd opnieuw worden geanalyseerd.
Als je deze regel onderaan plaatst, dan: wordt hun verkeer alsnog gelogd, of zelfs toegelaten als je permissieve regels zou toevoegen

Waar moet deze regel komen?

In je forward chain, na:

established,related accept
invalid drop

In je forward chain, voor:

je psd jump rule voor port-scan detectie (die komt straks)
de toelatingen voor LAN-netwerken

TIP: Voeg deze drop regel voordat je detectie of toegangs regels invoegt. Zo wordt verkeer van bekende scanners onmiddellijk geweerd, zonder logging, zonder analyse maximaal veilig en efficiënt.

Detectieregel: port scan richting interne netwerken

/ip firewall filter add chain=forward protocol=tcp psd=21,3s,3,1 action=jump \
src-address-list=!mgmt \
comment="Detecteer port scan (forward) en stuur door naar port-scan chain" \
place-before=[find where comment="Sta verkeer toe van LAN-netwerken"]

Wat doet deze regel?

Detecteert of een IP binnen 3 seconden minstens 3 verschillende poorten probeert te benaderen (PSD: Port Scan Detection).
Stuurt verdachte pogingen naar de port-scan chain (met 3 fases).
Laat alleen IP’s buiten je mgmt lijst detecteerbaar zijn (beheerhosts worden nooit per ongeluk geblokkeerd).
Wordt exact boven de toelatingsregel voor LAN netwerken geplaatst dankzij place-before.

TIP: Door place-before te gebruiken, komt deze detectie regel automatisch op de juiste plaats terecht: net boven de toegangs regels. Zo garanderen we dat poort scans eerst verwerkt worden vóór er verkeer wordt toegelaten tussen segmenten.

Port scan chain in 3 fasen

/ip firewall filter

# Fase 1: eerste detectie - tijdelijke blokkering
add chain=port-scan action=add-src-to-address-list \
address-list=port-scan-stage1 address-list-timeout=15m \
src-address-list=!port-scan-stage2 comment="Fase 1: eerste scanpoging – 15 min in stage1"

# Fase 2: herhaling binnen 15 min - langere blokkering
add chain=port-scan action=add-src-to-address-list \
address-list=port-scan-stage2 address-list-timeout=1h \
src-address-list=port-scan-stage1 comment="Fase 2: herhaalde scanpoging – 1 uur in stage2"

# Fase 3: volhardende scanners - harde blokkering
add chain=port-scan action=add-src-to-address-list \
address-list=port-scan-blocked address-list-timeout=1d \
src-address-list=port-scan-stage2 comment="Fase 3: volhardende scanner – 1 dag blokkering"

# Altijd terugkeren naar oorspronkelijke chain
add chain=port-scan action=return comment="Terug naar oorspronkelijke chain"

Wat betekent dit concreet?

Stadium	trigger	actie	blokker tijd	address List	chain
Stadium 1	Eerste scanpoging gedetecteerd via psd input of forward	IP toevoegen aan port-scan-stage1	15 minuten	port-scan-stage1	port-scan
Stadium 2	Herhaalde scanpoging door IP uit port-scan-stage1	IP toevoegen aan port-scan-stage2	1 uur	port-scan-stage2	port-scan
Stadium 3	Verdere poging binnen 1 uur	IP toevoegen aan port-scan-blocked	1 dag	port-scan-blocked	port-scan
Drop	Verkeer van IP’s uit port-scan-blocked wordt geweigerd	Jump naar port-scan chain	Tot deze wordt verwijderd	n.v.t.	input en forward
return	Verkeer zonder nieuwe poging wordt teruggestuurd	pakket springt terug naar de forward chain	-	mgmt (uitgesloten)	input + forward

Belangrijk:

Deze regels gelden voor zowel input als forward doordat beide chains naar dezelfde port-scan chain springen.
Alleen IP's die niet in mgmt zitten, worden opgespoord (via src-address-list=!mgmt in de jumpregels).
Echte scanners belanden uiteindelijk in port-scan-blocked, dat we op beide chains droppen voor verdere analyse.

Wat doet action=return?

De router stopt de verwerking binnen de port-scan chain en gaat verder waar hij vandaan kwam, dus terug naar de input of forward chain, net na de regel die hem naar port-scan gestuurd heeft. Wanneer een pakket geen match vindt in de eerste drie regels van port-scan, dan:

wordt er niets gedaan (dus géén blokkering of logging)
dankzij return springt het pakket terug naar de forward chain,
en de router gaat gewoon verder met de volgende regel onder de jump.

Waarom dit nuttig is

Je maakt je detectie volledig apart en overzichtelijk
Je voorkomt dat port scan-pakketten ergens vastlopen of per ongeluk doorgelaten worden
Alles wat niet verdacht is, gaat gewoon door zoals normaal

Output chain (router verkeer beveiligen)

Doel

De output chain regelt welk verkeer de router zelf mag uitsturen. Denk aan:

DNS-queries (voor updates, scripts, IP-cloud, etc.)
NTP (tijd synchronisatie)
MikroTik software updates
Mogelijke logging naar syslogservers
Scripts die extern verkeer initiëren

We beperken dit verkeer tot wat strikt noodzakelijk is. Alles wat niet expliciet is toegelaten, wordt geblokkeerd en gelogd.

Toestaan van bestaand en gerelateerd verkeer

/ip firewall filter
add chain=output connection-state=established,related action=accept comment="Toestaan bestaand en gerelateerd outputverkeer"

Hiermee mag de router antwoord verkeer uitsturen, zoals DNS-antwoorden, TCP ACK’s enz.

DNS-verkeer toestaan naar vertrouwde servers

/ip firewall filter add chain=output action=accept protocol=udp dst-port=53 dst-address-list=trusted-dns comment="Toestaan DNS-verzoeken vanaf router naar trusted-dns"

Hierdoor mag de router enkel naar 1.1.1.1, 8.8.8.8 (zoals eerder gedefinieerd in trusted-dns) DNS-verzoeken doen. Andere DNS-verzoeken worden gelogd en geblokkeerd (dit behandelen we later).

NTP-verkeer toestaan naar tijdservers

/ip firewall filter add chain=output action=accept protocol=udp dst-port=123 comment="Toestaan NTP verkeer vanaf router"

Synchronisatie van de tijd is nodig voor logs, certificaten, Wireguard, ZeroTier, en uptime-bewaking.

Toestaan van verkeer naar MikroTik update servers

/ip firewall filter add chain=output action=accept dst-address-list=mikrotik-services comment="Toestaan verkeer naar MikroTik diensten"

Deze regel is voor updates, license checks, Cloud, IP-services enz. De lijst mikrotik-services bevat IP’s als 159.148.x.x (deze is reeds aangemaakt).

Logging van verdachte output-verbindingen

/ip firewall filter add chain=output action=log log-prefix="OUTPUT DROP " comment="Log niet-toegestaan uitgaand verkeer"

Zo krijg je zicht op scripts of ongewenste pakketten die de router willen verlaten (bv. via scheduler of malware).

Blokkeer alles wat niet expliciet toegelaten is

/ip firewall filter add chain=output action=drop comment="Drop alle andere uitgaande verbindingen"

De router mag enkel spreken als we het toestaan. Alles dat niet binnen onze firewall regels behoort wordt geweigerd, en dat is exact hoe een stille, veilige router zich hoort te gedragen.

Bogon filtering: ongewenste IP-ranges blokkeren

Bogons zijn IP-adressen die niet publiek routeerbaar zijn. Verkeer uit deze ranges mag nooit van buitenaf je router bereiken.

Wat zijn Bogons – en waarom moet je voorzichtig zijn?

Bogons zijn IP-adressen die niet geldig zijn op het publieke internet. Ze behoren tot IP-blokken die:

gereserveerd zijn voor intern gebruik (zoals 10.0.0.0/8)
nog niet zijn toegewezen door IANA
of specifiek zijn gereserveerd voor testen of toekomstig gebruik

Ze zouden dus nooit via je WAN interface mogen binnen komen. Verkeer van een bogon-IP op je WAN wijst vaak op:

spoofing of vervalst verkeer
misconfiguraties aan de andere kant
of zelfs scanning en aanvallen

Daarom blokkeer je ze best zo vroeg mogelijk, namelijk via de RAW prerouting chain.

Belangrijke waarschuwing:

Sommige bogon adressen zijn ook legitiem binnen je interne netwerk. Bijvoorbeeld: 192.168.0.0/16, 10.0.0.0/8, 172.16.0.0/12… Als je deze blokken klakkeloos toevoegt aan de bogon lijst en je router zelf gebruikt IP’s uit deze reeksen, kan je jezelf permanent buitensluiten van beheer of LAN functionaliteit. Voorbeeld: risico bij 192.168.0.0/16 Stel: je LAN gebruikt 192.168.0.0/24 voor het management netwerk, en je voegt dit subnet toe aan je bogon lijst: add address=192.168.0.0/16 comment="Bogon: Private" list=bogon En je hebt een RAW-regel zoals:
add chain=prerouting src-address-list=bogon in-interface-list=WAN action=drop. Als een beheer verbinding toevallig via PPPoE of bridging over WAN binnenkomt (bijvoorbeeld bij IPsec of VLAN-routing), kan deze verbinding geblokkeerd worden, zelfs al is het legitiem verkeer.

Wat is de juiste aanpak?

Begrijp welke subnetten je zelf gebruikt
Deactiveer tijdelijk regels met disabled=yes

Wees voorzichtig met het toevoegen van private IP-blokken zoals 192.168.0.0/16 aan de bogon address-list. Als je router of LAN-netwerken deze IP’s gebruiken, schakel deze regel uit met disabled=yes, of laat ze gewoon weg. Je wil niet per ongeluk jezelf buitensluiten van je eigen router.
In deze onderstaande bogon list is de 192.168.0.0/16 range uitgeschakeld. Je kan deze altijd inschakelen op een later tijdstip. Valt je netwerk in een andere IP-range kan je eerst de bogon-list bewerken.

Bogon address-list aanmaken

/ip firewall address-list
add address=0.0.0.0/8 list=bogon
add address=10.0.0.0/8 list=bogon
add address=100.64.0.0/10 list=bogon
add address=127.0.0.0/8 list=bogon
add address=169.254.0.0/16 list=bogon
add address=172.16.0.0/12 list=bogon
add address=192.0.2.0/24 list=bogon
add address=192.168.0.0/16 list=bogon disabled=yes
add address=198.18.0.0/15 list=bogon
add address=224.0.0.0/4 list=bogon
add address=240.0.0.0/4 list=bogon

Meer weten over de bogon lijst? Zie inderstaande tabel

IP-range	Beschrijving	Status
0.0.0.0/8	"This" netwerk – niet geldig als bron of doel	Deprecated / Reserved
127.0.0.0/8	Loopback alleen geldig binnen het eigen toestel	Alleen intern toegestaan
192.0.2.0/24	TEST-NET-1 voor documentatie/testdoeleinden	Niet routable
198.18.0.0/15	Voor benchmark- en testomgevingen	Niet voor normaal verkeer
240.0.0.0/4	Ooit gereserveerd voor toekomstig gebruik	Officieel ongebruikt
255.255.255.255	Broadcast niet routable	Alleen lokaal geldig

Voor de bogon IP's te blokken gebruiken we de RAW table in de MikroTik router

Wat is de RAW table?

De RAW table in MikroTik is een speciaal onderdeel van de MikroTik firewall en wordt vaak over het hoofd gezien, terwijl het enorm krachtig is voor het vroegtijdig blokkeren van ongewenst verkeer. De RAW table is een extra firewall laag die voorafgaat aan connection tracking. Dat wil zeggen: het bekijkt pakketten nog vóór de router beslist of het verkeer bij een bestaande verbinding hoort.

Wat doet RAW wél en niet?

Kenmerk	RAW table	Filter rules
Wordt uitgevoerd voor conn. tracking	✅	❌ Pas na connection tracking
Geschikt voor blokkeren van botnets/bogons/spoofing	✅	⚠️ (maar minder efficiënt)
Kan verkeer toestaan	❌ (alleen blokkeren, loggen)	✅
Chains beschikbaar	prerouting, output	input, forward, output
Snel en licht voor CPU	✅	⚠️ Kan zwaarder zijn

MikroTik apparatuur beveiligen waarom zou je RAW gebruiken?

Efficiëntie: RAW bespaart systeembronnen omdat het voorkomt dat nutteloos verkeer ooit in connection tracking terechtkomt.
Beveiliging: RAW is ideaal voor het snel droppen van: Bogon IP's
Spoofed adressen
Oude, ongebruikte IP-ranges
Bekende scanner/adreslijsten (bijv. Tor exit nodes)

Samengevat:

De RAW table in MikroTik is als de poortwachter vóór je echte firewall: hij laat ongewenste bezoekers al buiten staan vóór ze ook maar in de buurt van je netwerk komen.

/ip firewall raw

# Drop inkomend verkeer op WAN afkomstig uit bogon ranges
add chain=prerouting src-address-list=bogon in-interface-list=WAN action=drop comment="RAW: Drop inkomend verkeer van bogon IP's via WAN"

# Drop verkeer dat de router zelf probeert uit te sturen naar bogons
add chain=output dst-address-list=bogon out-interface=ether1_wan action=drop comment="RAW: Blokkeer spoofed output verkeer naar bogon IP's via WAN"

Toelichting:

Deze aangepaste regel blokkeert alleen inkomend verkeer van zogenaamde bogon adressen via de WAN interface. Op deze manier blijft intern verkeer binnen je netwerk ongemoeid, terwijl de router beschermd wordt tegen spoofing of verkeer van ongeldig geadresseerde IP-reeksen.

Regel	Doel
Prerouting in RAW	Blokkeert inkomend verkeer van bogons IP-ranges op de WAN-interface
Output in RAW	Blokkeert uitgaand verkeer vanaf de router zelf naar bogon-IP’s (spoof protection)

De tweede regel is optioneel maar aanbevolen als extra beveiliging, zeker als je scripts, pakketten of DNS responses op de router gebruikt.

Waarom de tweede regel toevoegen?

Hoewel je router normaal gezien geen verbinding maakt met deze IP-ranges, zijn er situaties waarin dat onbewust toch kan gebeuren:

Mogelijke oorzaak	Uitleg
Scripts of packages	Sommige scripts of add-ons proberen iets op te halen via externe IP's.
DNS responses	Een foute of malafide DNS-server kan IP's terug geven binnen de bogon-ranges.
Malware	In extreme gevallen kan een gecompromitteerd toestel of zelfs een geïnfecteerd script op de router uitgaand verkeer proberen te starten.

Deze extra RAW-regel zorgt ervoor dat:

de router geen verkeer meer stuurt naar IP-adressen die nooit publiek bereikbaar mogen zijn
spoofing of misconfiguratie vroegtijdig wordt afgekapt
je firewallbeleid consequent blijft in beide richtingen (inbound én outbound)

Goed om te weten

Deze regel werkt op de output chain van de RAW firewall, dus zonder connection tracking
Hij bespaart CPU omdat het verkeer meteen geblokkeerd wordt voor het andere sub systemen bereikt
Je kunt deze regel veilig gebruiken als je goed weet welke pakketten en/of scripts op je router draaien

NAT-regel (Masquerade) toevoegen voor internettoegang

Waarom NAT?

Je interne IP-adressen zijn privé (192.168.x.x) en kunnen niet rechtstreeks communiceren met het internet. Dankzij NAT (Network Address Translation) vervangt je MikroTik router deze privé-adressen door het publieke IP van de WAN-interface. De veiligste en eenvoudigste manier om dit te doen is met een masquerade-regel. Je kan dit op twee manieren doen:

Optie 1: NAT voor alle uitgaand verkeer via WAN

/ip firewall nat
add chain=srcnat out-interface=ether1_wan action=masquerade comment="Masquerade voor alle VLANs via WAN"

Voordelen

Snel ingesteld, doch ik ben geen favoriet van deze oplossing
Werkt voor elk subnet dat via de router naar buiten gaat

Nadelen

Je hebt geen zicht op welke netwerken gemaskeerd worden
Kan onbedoeld NAT doen voor interne routes of andere uplinks
Minder geschikt in een gesegmenteerd netwerk met VLANs

Optie 2 (aanbevolen): NAT enkel voor address-list lan-networks

/ip firewall nat
add chain=srcnat src-address-list=lan-networks out-interface=ether1_wan action=masquerade comment="Masquerade alleen voor LAN-netwerken"

Voordelen

Meer controle: je bepaalt exact welke netwerken internet mogen gebruiken
Uitbreidbaar: voeg gewoon een extra subnet toe aan lan-networks
Veiliger: voorkomt ongewenste NAT tussen VLANs of naar andere interne routers

Nadeel

Vereist dat je je lan-networks address-list goed bijhoudt

Aanbeveling

Gebruik Optie 2 als je werkt met VLANs, meerdere subnets of je firewall overzichtelijk wil houden. Je verlegt de logica van je NAT naar je address-lists en dat maakt je config veel flexibeler en veiliger. Mikrotik apparaten beveiligen doe je niet zomaar is het niet? Er komt heel wat bij kijken.

MikroTik apparaten beveiligen doe je door fasttrack te vermijden

FastTrack klinkt aantrekkelijk: het verhoogt de doorvoersnelheid van je router door bepaalde verbindingen te versnellen. Maar die snelheid komt met een prijs en die prijs is controle en veiligheid. Wil je uw MikroTik router beveiligen laat je fasttrack links liggen. Wat FastTrack doet:

Slaat firewallregels, logging en zelfs mangle en NAT-processen gedeeltelijk over.
Hierdoor werkt poortscan-detectie, ICMP-controle en tracking van verbindingen niet meer zoals bedoeld.
Je verliest zicht op wat er écht in je netwerk gebeurt.

Waarom ik fasttrack uitschakel:

In deze tutorial gebruiken we gedetailleerde firewallregels met logging, port-scan detectie in meerdere fases, en RAW filtering.
FastTrack zou dit allemaal ondermijnen.
Bovendien zijn moderne routers zoals de MikroTik RB5009 snel genoeg zonder FastTrack voor het gemiddelde LAN WAN gebruik.

Mijn advies: gebruik FastTrack enkel in netwerken waar je geen geavanceerde beveiliging of logging toepast. Voor wie zijn router echt wil beveiligen, zoals in deze blog, is FastTrack geen goed idee.

Een sterke en doordachte basis firewall

Met deze configuratie heb je een uitgebalanceerde, veilige en duidelijke firewall opgebouwd voor MikroTik routers. Dit is geen snelle copy-paste oplossing, maar een solide basis waarmee je je netwerk op een doordachte manier kunt beveiligen. Alle belangrijke chains (input, forward, output, raw) worden correct behandeld, logging is aanwezig waar nodig, en address-lists zorgen voor overzicht en uitbreidbaarheid.

Belangrijke bedenking

Ik wil graag benadrukken dat ik in deze tutorial zeer veel test werk, finetuning en praktische ervaring heb verwerkt. De configuratie is opgebouwd vanuit een reëel scenario, met het oog op:

leesbaarheid
efficiëntie (RAW-gebruik)
en vooral controle en veiligheid

Maar tegelijk geldt: Elke firewall moet afgestemd zijn op het netwerk waarvoor ze gebouwd wordt. Gebruik dit dus als een sterke basis, maar pas ze aan waar nodig:

Heb je meerdere VLAN’s? Voeg ze toe aan je lan-networks list.
Gebruik je IPsec of VPN? Laat ICMP of specifieke poorten toe waar vereist.
Is je router ook DNS-server? Beperk verkeer tot trusted-dns.

Na de basis, extra beveiligingsinstellingen voor je MikroTik router

Alleen vertrouwde DNS-servers toestaan

Standaard kunnen toestellen op je netwerk elke willekeurige DNS-server aanspreken. Dat lijkt onschuldig, maar in de praktijk betekent het:

gebruikers kunnen externe (ongefilterde of logging) resolvers gebruiken
malware kan stiekem DNS-tunnels openen naar command & control servers
tracking of censuur ontwijking kan actief zijn zonder jouw medeweten

Oplossing: alleen vooraf goedgekeurde DNS-servers toestaan

MikroTik apparaten beveiligen moet met de nodige zorg en bovenal een goede redenering gebeuren. We gaan in deze configuratie alleen DNS-servers toestaan die wij als veilig beschouwen. Namelijk:

1.1.1.1 (Cloudflare)
8.8.8.8 (Google)
9.9.9.9 (Quad9) deze heeft extra malware bescherming.

Het aanmaken van de address-list trusted-dns

/ip firewall address-list
add address=1.1.1.1 list=trusted-dns
add address=8.8.8.8 list=trusted-dns
add address=9.9.9.9 list=trusted-dns

Als je een interne DNS gebruikt (bijvoorbeeld 192.168.0.1), voeg die dan ook toe aan trusted-dns. (het kan zijn dat we die al hebben aangemaakt).

/ip firewall raw
add chain=prerouting protocol=udp dst-port=53 dst-address-list=!trusted-dns action=drop comment="RAW: Drop DNS-verkeer naar niet vertrouwde resolvers"

Deze regel blokkeert elk DNS verzoek dat naar een onbekende server gestuurd wordt nog vóór het je CPU bereikt. Zo bespaar je resources en verhoog je de beveiliging.

NAT-regel om DNS af te dwingen (redirect)

/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 src-address-list=lan-networks action=redirect to-ports=53 comment="Forceer DNS via router"

Alle DNS-verkeer van je LAN wordt nu omgeleid naar de eigen gekozen DNS-servers op de MikroTik.

Waarom dit belangrijk is en een onderdeel om je MikroTik router te beveiligen

Je voorkomt DNS-tunneling of dat toestellen eigen filters omzeilen
Je krijgt uniforme logging, resolutietijden en veiliger verkeer
Je neemt controle over je netwerk, zelfs als iemand je probeert te slim af te zijn

Blokkeren van DNS-over-HTTPS (DoH)

Wat is DNS-over-HTTPS?

DNS-over-HTTPS (DoH) stuurt DNS-verzoeken niet meer via poort 53 (klassieke DNS), maar gecodeerd over poort 443 (HTTPS). Zo lijkt het op gewoon webverkeer, en kan het firewall regels en logging omzeilen. Gevolg: je verliest controle over welk domein wordt opgevraagd, en content filtering werkt niet meer.

Waarom DNS-over-HTTPS (DoH) blokkeren?

DNS-over-HTTPS (DoH) werd ontworpen om de privacy van gebruikers te verbeteren door DNS-verkeer te versleutelen. Dat klinkt goed… maar in een beheerd of beveiligd netwerk kan het juist een risico vormen. DoH omzeilt namelijk jouw DNS policy. DoH maakt het voor toestellen mogelijk om rechtstreeks via een externe DNS-server (zoals Cloudflare of Google) domeinnamen op te lossen. Hierdoor worden:

Contentfilters omzeild
Lokale DNS-logboeken omzeild
Interne DNS-zones genegeerd
Je controle over het netwerk ondermijnd

Malware gebruikt DoH om verbinding te verbergen

Cybercriminelen weten dat veel firewalls DNS-verkeer op poort 53 controleren. Daarom versturen ze DNS-verzoeken versleuteld via HTTPS via poort 443, net als gewone websites. Zonder blokkering of detectie zie je deze communicatie niet in je logs.

DoH is onwenselijk in zakelijke of gesegmenteerde netwerken

In netwerken met VLAN isolatie, logging, content controle of auditverplichtingen wil je dat alle DNS-verkeer via een centrale, vertrouwde resolver loopt.
DoH breekt deze controle volledig open.

Daarom is het verstandig om DoH actief te blokkeren:

Je dwingt toestellen om via jouw router DNS-verzoeken te versturen
Je behoudt logging en zichtbaarheid over domeinverzoeken
Je verkleint het risico op exfiltratie, command & control en tunnelverkeer
Je verhoogt de effectiviteit van je firewallregels, filterlijsten en adreslijsten

Blokkeer bekende DoH-hostnames via DNS static

/ip dns static
add name=cloudflare-dns.com address=127.0.0.1 comment="Blokkeer Cloudflare DoH"
add name=dns.google address=127.0.0.1 comment="Blokkeer Google DoH"
add name=doh.opendns.com address=127.0.0.1 comment="Blokkeer OpenDNS DoH"
add name=dns.quad9.net address=127.0.0.1 comment="Blokkeer Quad9 DoH"
add name=dns.adguard.com address=127.0.0.1 comment="Blokkeer AdGuard DoH"

Dit laat het domein wel resolven, maar het stuurt verkeer naar 127.0.0.1 = onbereikbaar. MikroTik apparaten beveiligen is diepgaand is het niet. Daarom schrijf ik dit monsterblog.

Let op:

Sommige browsers zoals Firefox kunnen DoH automatisch inschakelen
Malware gebruikt soms minder bekende DoH-servers, dus volledige bescherming vergt monitoring
DoH blokkeren mag nooit legitiem HTTPS-verkeer verstoren, dus test grondig

VLAN isolatie: netwerk segmenten echt van elkaar scheiden

Veel gebruikers denken dat VLANs automatisch voor veiligheid zorgen. Dat is slechts gedeeltelijk waar. VLANs zorgen voor logische scheiding op Layer 2, maar zonder goede firewall regels kunnen ze op Layer 3 nog vrij verkeer met elkaar uitwisselen. Als jij je IoT netwerk of gast netwerk echt wil afschermen van je beheernetwerk of LAN, dan moet je expliciete isolatie instellen met firewall regels.

Situatie in deze tutorial

vlan	Subnet	Doel
VLAN10	192.168.0.0/24	Management (mgmt)
VLAN20	192.168.3.0/24	Gast netwerk
VLAN30	192.168.88.0/24	Private LAN

Doel van VLAN isolatie

Elk VLAN mag zelf naar buiten (internet)
Elk VLAN mag niet naar andere VLANs communiceren
Alleen beheer hosts (mgmt) mogen met andere VLANs praten (optioneel)

Address-lists bevestigen

Deze had je al aangemaakt:

/ip firewall address-list
add address=192.168.0.0/24 list=lan-networks
add address=192.168.3.0/24 list=lan-networks
add address=192.168.88.0/24 list=lan-networks

Voeg onderstaande regels toe aan je forward chain

Plaats deze onderstaande regel net vóór je log/drop regels in forward.

/ip firewall filter
add chain=forward action=drop src-address-list=lan-networks dst-address-list=lan-networks comment="Blokkeer verkeer tussen VLANs (Layer 3 isolatie)"

Deze regel blokkeert elk pakket waarvan zowel bron als bestemming in een VLAN subnet zitten, behalve als het binnen hetzelfde subnet is (daar zorgt routing al voor). Wil je toch uitzonderingen toestaan (zoals dat mgmt toestellen alles mogen zien), voeg dan een regel toe boven deze bovenstaande drop regel:

add chain=forward action=accept src-address-list=mgmt dst-address-list=lan-networks comment="Sta mgmt toe om VLANs te beheren"

Layer 2-isolatie met Bridge Horizon op de RB5009

Wat is Bridge Horizon?

Bridge Horizon is een Layer 2 isolatie mechanisme dat voorkomt dat apparaten op dezelfde VLAN via de bridge met elkaar kunnen communiceren. Toestellen met dezelfde horizon waarde kunnen elkaar niet meer direct bereiken, enkel nog via de router zelf. Ideaal voor VLANs zoals je gastennetwerk (vlan20_guests) of IoT-apparaten, waar toestellen alleen internet nodig hebben, maar niet onderling contact mogen hebben.

De situatie is als volgt

Voor dit te demonstreren gebruik ik de RB5009
Ik gebruik een bridge (bridge-main) waarin ether2 tot ether8 zitten
Ik heb Bridge VLAN Filtering ingeschakeld
VLAN-interfaces zoals vlan20_guests zijn aangemaakt om elk VLAN een IP-adres te geven
Gasten worden aangesloten via bijvoorbeeld ether4 en ether5 (wifi access points)

Waarom dit belangrijk is

Zonder Bridge Horizon kunnen apparaten op dezelfde VLAN ARP-verkeer, multicast en mDNS-verkeer naar elkaar sturen. Ook LAN scanning of ongewenste p2p verkeer blijft mogelijk. Dit is onzichtbaar voor de firewall op Layer 3, tenzij je erg zware filtering toepast. Bridge Horizon lost dit lichtgewicht en effectief op.

Wanneer gebruik je dit?

Scenario	Isolatie nodig?
IP-camera's	✅ Ja, onderling contact vermijden
IoT devices (Home Assistant)	✅ Ja, mogen enkel naar controller praten
Gastennetwerk	✅ Geen toegang tot andere gebruikers
LAN of beheer	❌ Niet nodig, daar mag communicatie

Voorbeeld: Bridge Horizon instellen voor VLAN20 Guests

Doel

Gasten op VLAN20 (192.168.3.0/24) mogen elkaar niet zien of pingen
Ze mogen wel surfen en DNS/NTP gebruiken via de router
Je gebruikt een bridge-structuur waar het VLAN is toegevoegd als interface

Wijs horizon toe aan poorten die VLAN20 (guest) vervoeren

1
Bij bridge -> ports klik op ether4
2
vul een horizon waarde in.
3
Klik op apply
4
Klik verder op copy en selecteer de volgende interface.

Of in de CLI (command Line Interface)

/interface bridge port
set [find interface=ether4] horizon=20
set [find interface=ether5] horizon=20

Dit zorgt ervoor dat verkeer op VLAN20 via deze poorten niet onderling kan circuleren. Alleen verkeer naar het IP van de router (vb. 192.168.3.1) blijft toegelaten.
Belangrijk:

Gebruik geen horizon op de VLAN-interfaces zelf zoals vlan20_guests
Indien VLAN20 ook via andere poorten loopt (bv. ether6), herhaal daar dezelfde horizon=20
De horizonwaarde mag eender welk getal zijn, zolang het uniek blijft per isolatiegroep

Technische kant tekening: hoeveel firewall regels zijn verantwoord?

Een vraag die vaak terugkomt: hoeveel firewall regels zijn te veel? Hoewel routers zoals de RB5009UG+S+ technisch in staat zijn om honderden regels te verwerken, raad ik aan om het aantal regels bewust beperkt te houden. Mijn firewall configuratie telt 51 filter regels en 6 RAW regels.

Wat bepaalt de limiet?

Hoeveel verkeer verwerkt je router? Veel NAT verkeer, VPN's of snelle verbindingen vragen meer CPU per regel.
Welke types regels gebruik je? Regels met connection state, jump, address-list, of logging zijn zwaarder dan simpele accept/drop.
Gebruik je RAW regels slim? Dan vermijd je veel overhead omdat die vóór andere chains actief zijn.

Mijn aanpak

In deze tutorial beperk ik het aantal regels per chain bewust. Je MikroTik router beveiligen moet met overleg gebeuren. We maken gebruik van:

jump chains voor overzicht
RAW voor efficiëntie
address-lists voor herbruikbaarheid

Alles draait om een goede balans tussen veiligheid, performantie en beheerbaarheid. Ik wil geen firewall met 1000 regels ik wil een firewall die ik begrijp en vertrouw.

Conclusie

Een RB5009 kan technisch veel aan, maar kwaliteit boven kwantiteit blijft de beste richtlijn.
Beperk regels tot wat echt nodig is, en structureer ze logisch.
Gebruik deze tutorial als startpunt, niet als limiet.

Tot Slot – Jouw MikroTik router is nu echt gewapend

Je hebt het gehaald. Deze blogpost was geen gewone handleiding, maar een volledig verdedigingsplan. Van RAW filtering en connection tracking, tot het blokkeren van DoH, het instellen van een sterk SSH-beleid, en het uitschakelen van overbodige services, dit is een volledig opgebouwde MikroTik firewall die je router écht beveiligt. We begonnen vanaf nul, verwijderden oude regels en bouwden stap voor stap een gestructureerd, doordacht en getest firewall systeem op. Een systeem dat niet alleen werkt op jouw RB5009, maar ook als fundament kan dienen voor grotere netwerken, segmentaties, VLAN’s of edge routers. MikroTik beveiligen is geen kwestie van een vinkje zetten, het is een bewuste keuze voor controle, zichtbaarheid en veerkracht.

Hoe nu verder?

Laat je niet ontmoedigen door de lengte van deze blog. Pak het stap voor stap aan.
Pas de regels aan aan jouw netwerk of gebruik mijn voorbeelden als uitgangspunt.
Deel deze blog gerust met andere MikroTik gebruikers. Hoe meer mensen hun router versterken, hoe veiliger het internet wordt.

Deel deze blog gerust met andere MikroTik gebruikers. Hoe meer mensen hun router versterken, hoe veiliger het internet wordt. Je MikroTik beveiligen is geen eenmalige actie, maar een voortdurende evolutie, een manier van denken, waarbij je steeds anticipeert op wat nog komen zal. Blijf waakzaam. Blijf verbeteren. En vooral: laat je router nooit onbewaakt achter.

Nog even dit:

Ik heb dagen aan deze tutorial gewerkt, getest en geverifieerd. Alles wat je las is gebaseerd op ervaring, praktijk en logische netwerkopbouw. Heb je nog vragen of suggesties? Laat van je horen. En vergeet niet: router beveiliging stopt nooit. Samen maken we van jouw router geen doelwit, maar een fort.
MikroTik Has You.
Groeten en succes
Jean-Pierre