Deel dit onderwerp alstublieft!

Mikrotik router beveiligen tegen inbraak en aanvallen

Hoe kan je uw Mikrotik router beveiligen tegen inbraak en brute-force aanvallen. Ik toon in verschillende fases wat je zoal kan doen om je Mikrotik router te beveiligen.
Lees en bekijk daarom deze punten aandachtig zodat je weet hoe je de Mikrotik firewall goed kan beveiligen. 

Dit zal alvast helpen om een betere beveiliging te bekomen van de Mikrotik router. De Mikrotik firewall kan je aanpassen op basis van je netwerk.
Geen enkele firewall heeft dus dezelfde configuratie. Doch bestaat er op de Mikrotik router een default firewall configuratie. 

Een Mikrotik router beveiligen gebeurt op een geheel andere manier dan de standaard routers. Je kan deze uitgebreid gaan beveiligen en deze beveiligingen ga ik je stap voor stap tonen. Gedenk dat ieder netwerk zijn eigen specifieke beveiligingen vereist. Let dus op dat je uzelf niet uit je router sluit, gebruik daarvoor "safe mode".  

mikrotik router beveiligen

Onveilige Mikrotik router uitgetest ter demonstratie

Weet dat het maar zeven minuten duurde vooraleer ik bezoek had op mijn onbeveiligde Mikrotik router. Het duurt dus niet lang vooraleer duizenden gemanipuleerde computers je router kunnen vinden op het internet. De duizenden computers kunnen zelfs gehackte computers van onwetende mensen zijn.

De door hackers gemanipuleerde computers worden zombies genaamd en vormen één botnet. Daardoor kunnen ze massaal gaan scannen of zelfs aanvallen uitvoeren.
Deze pagina en filmpjes zullen regelmatig worden bijgewerkt zodat de Mikrotik firewall meer en meer op punt komt te staan. Regelmatig een kijkje komen nemen kan zeker geen kwaad. 

Mikrotik router beveiligen op fysiek vlak daar gaat de eerste video over

Mikrotik router beveiligen indien deze fysiek kan benaderd en gemanipuleerd kan worden

Indien de router op een plaats staat die door anderen benaderd kan worden, kan je deze ook gaan beveiligen door in een rack te plaatsen die kan gesloten worden.
Maar soms is dat niet haalbaar om zo'n rack aan te kopen. Dus ga ik ervan uit dat de Mikrotik-router fysiek kan aangeraakt worden. Wat kan je zoal doen om je mikrotik router te beveiligen en daarbij je netwerk zo veilig mogelijk te maken. Ik overloop  een paar belangrijke punten op deze eerste video.

 
  • Schakel de toegankelijkheid van de LCD uit indien deze op de router aanwezig is.
  • Wijzig de default login op de goede manier door zowel de gebruikersnaam als het paswoord te wijzigen.
  • Schakel de console poort uit als je deze niet gebruikt. Je kan die inschakelen als je die nodig hebt.
  • Niet gebruikte interfaces schakel je het best uit, dit voorkomt dat mensen met slechte bedoelingen met de router kunnen verbinden.
  • Schakel niet gebruikte services zoals API, API-SSL, FTP, Telnet, en zo meer uit.
  • Blok ongeoorloofde inlogpogingen op je Mikrotik router door middel van firewall rules en address-lists.
  • Indien je veilig wil zijn schakel ook neighbors discovery uit op de Mikrotik router.
  • Blok externe DNS aanvragen of schakel "alow remote requests" uit om DNS aanvallen en misbruik van je router te minimaliseren.
  • Verwijder niet gebruikte packages of schakel deze uit.
  • Schakel de console poort uit als je deze niet gebruikt. Je kan die inschakelen als je die nodig hebt.
  • Schakel de bandwidth server uit of gebruik op zijn minst een paswoord.
  • Gebruik bij SSH strong-crypto om meer veiligheid te creëren.
  • Regenerate SSH encryptie bij de eerste opstart van je nieuwe Mikrotik router..
  • Maak een nieuwe SNMP community aan en maak de public SNTP community onbereikbaar.
  • Configureer welk netwerktoestel mag verbinden op een bepaalde interface van je Mikrotik router en welke niet.
  • Video 1 beveilig je Mikrotik router als die fysiek bereikbaar is en wat basis beveiligingstips 


    Mikrotik router beveiligen door middel van firewall rules 

    mikrotik router beveiligen

    De Mikrotik router firewall ondersteunt pakketfiltering en biedt daarmee beveiligingsfuncties die worden gebruikt om het pakketverkeer naar of via de router  en vanaf de router te beheren. Men noemt deze termen de INPUT-, FORWARD- en OUTPUT-chain. Met deze geïmplementeerde functies kan je de Mikrotik router beveiligen.

    In samenwerking met de NAT functies dient de Mikrotik firewall als een beschermmiddel voor zowel de router zelf, als de netwerken achter de router te beschermen tegen ongeoorloofde toegang en aanvallen van buitenaf je netwerk. De firewall kan ook de ingelogde cliënts beschermen tegen elkaar. En dat door middel van Cliënt-isolatie.

    Goed geconfigureerde firewalls houden bedreigingen op je router en netwerk tegen

    Netwerkfirewalls houden bedreigingen tegen om op deze manier de router zelf en gevoelige gegevens die beschikbaar zijn binnen je netwerk te beschermen. Wanneer verschillende netwerken worden samengevoegd, bijvoorbeeld internet en uw privé netwerk, is er altijd een bedreiging dat iemand van buiten uw netwerk inbreekt in uw Mikrotik-router en/of privé netwerk, met alle gevolgen van dien.

    De Mikrotik-firewall kan worden geconfigureerd om de veiligheidsrisico’s op je netwerk te voorkomen, of tot een minimum te herleiden. 

    Een goed geconfigureerde firewall is dus zeer belangrijk bij een efficiënte en veilige netwerkinfrastructuur. Doch de configuratie van de Mikrotik firewall is steeds anders en sterk afhankelijk van je eigen netwerk en noden.  
    Daarom heeft Mikrotik-RouterOS een zeer krachtige firewall implementatie met vele functies.


    Je Mikrotik-router beveiligen is een combinatie van verschillende handelingen. Daarom maak ik verschillende video tutorials. Van basis beveiligingstips tot wat diepgaandere beveiligingsnormen.
    Je zal zien hoe je uw Mikrotik router beter kunt beschermen tegen aanvallen vanaf het externe netwerk en hoe je router beter kunt bewapenen tegen aanvallen.

    Omdat ik je niet wil overstelpen met onnodige info, ga ik de router beveiliging stap voor stap met je bespreken. Zodat je deze ook kan uitvoeren op je Mikrotik-router.
    Wees bewust dat er dagelijks veel mensen het slachtoffer worden van router-, netwerk- en computer-hacking en Brute-Force attacs. Lees en bekijk deze tutorial dus grondig door.

    Mikrotik router beveiligen door middel van de firewall tegen inkomende aanvallen vanaf de WAN interface

    De Mikrotik-router beveiligen tegen aanvallen vanaf het publieke netwerk is geen overbodige luxe. Met het publieke netwerk wordt namelijk de WAN interface bedoeld. De WAN interface zorgt ervoor dat het internet tot in je router wordt getransporteerd. Nu is het aan u om ongeoorloofde logins en manipulaties te voorkomen. Dit ga ik je nu tonen in de tweede video. Je Mikrotik router beveiligen door middel van de IMPUT-, FORWARD- en OUTPUT -chain.

    De drie belangrijkste chain's van de Mikrotik firewall filter zijn

    INPUT CHAIN
    De input chain wordt gebruikt om datapakketten met het bestemming-IP-adres van de router te verwerken. Zoals de chain "input" laat vermoeden zijn dit datapakketten die de router binnenkomen via de WAN of andere interfaces. Pakketten die door de router gaan, worden niet verwerkt volgens de regels van de input-chain. Deze datapakketten worden afgehandeld door de forward-chain.

    FORWARD CHAIN
    De forward chain behandeld de datapakketten die door de router passeren. Bijvoorbeeld je wil op het internet surfen en surft naar WirelessInfo.be.
    Deze aanvraag wordt naar de WAN interface doorgestuurd naar het internet toe richting de webserver waar de website WirelessInfo.be wordt gehost.
    Dit is zeer eenvoudig uitgelegd want in werkelijkheid moet de aanvraag ook een DNS-server passeren en zo meer.

    OUTPUT CHAIN 
    De output-chain wordt gebruikt om datapakketten te verwerken die afkomstig zijn van de router zelf. De verwerkte pakketten worden door één van de interfaces naar buiten geleid. 

    Mikrotik router beveiligen de basis firewall besproken en aanvullende firewall rules

    Je mikrotik router beveiligen is een combinatie van verschillende handelingen. Daarom maak ik verschillende video tutorials.
    Van basis beveiligingstips tot wat diepgaandere beveiligingstips. Deze zijn van cruciaal belang om je netwerk te beschermen tegen hacking.

    Je zal zien hoe je uw Mikrotik router beter kunt beschermen tegen aanvallen vanaf het externe netwerk en hoe je router beter kunt wapenen tegen aanvallen.
    Wees bewust dat er dagelijks veel mensen het slachtoffer worden van router, netwerk en computer hacking en Brute-Force attacs. Lees en bekijk deze tutorial dus grondig door.

    Video 2 beveilig je Mikrotik router door een goede opgebouwde firewall wat is de bogon list

    Default firewall configuratie + aanvullende firewall rules besproken in de bovenstaande tutorial

    /ip firewall filter
    add action=accept chain=input comment="Accept established,related" connection-state=established,related
    add action=drop chain=input comment="Drop invalid" connection-state=invalid
    add action=drop chain=input comment="Drop all not coming from LAN" in-interface-list=!LAN
    add action=accept chain=input comment="Accept ICMP" protocol=icmp
    add action=accept chain=input comment="Allow ADMIN to Router" in-interface-list=LAN src-address-list=adminaccess
    add action=accept chain=input comment="Allow LAN DNS queries-UDP" dst-port=53 in-interface-list=LAN protocol=udp
    add action=accept chain=input comment="Allow LAN DNS queries - TCP" dst-port=53 in-interface-list=LAN protocol=tcp
    add action=drop chain=input comment="Deny WAN DNS queries-UDP" dst-port=53 in-interface-list=WAN log=yes protocol=udp
    add action=drop chain=input comment="Deny WAN DNS queries-TCP" dst-port=53 in-interface-list=WAN protocol=tcp
    add action=fasttrack-connection chain=forward comment=Fasttrack connection-state=established,related
    add action=drop chain=forward comment="drop bogon list" dst-address-list=bogons log-prefix=bogon-list
    add action=accept chain=forward comment="Accept established,related" connection-state=established,related
    add action=drop chain=forward comment="Drop invalid" connection-state=invalid
    add action=drop chain=forward comment="Drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
    add action=drop chain=input comment="DROP ALL ELSE" log-prefix="INPUT DROP ALL"
    

    Je kan deze code kopiëren en aanpassen volgens de ingestelde interfaces. Dan pas kan je deze plakken in new terminal van je Mikrotik router.
    Indien de interface ether1 bijvoorbeeld een andere naam heeft bij je Mikrotik router zullen er foutmeldingen optreden.

    In deze bovenstaande firewall staan de interfaces in de WAN-interfaces list en LAN-interface list.
    Zie vooraleer je de laatste regel activeert dat je eerst in de address-list een adminaccess list wordt aangemaakt met daarin de IP-range die toegang mag krijgen op de router. Anders geraak je niet meer op de Mikrotik-router.  

    Niet internet gerelateerde IP-ranges of anders gezegd de bogon-list

    Deze adres-lijst zijn niet gerelateerd met publieke IP-adressen die horen niet thuis op het internet.
    Deze IP-adres-ranges behoren en worden dus uitsluitend gebruikt op interne netwerken, sommige zijn gereserveerd voor IANA. Deze IP-range lijst wordt ook de bogon-list genaamd.

    Indien je LAN-netwerk deze niet internet gerelateerde IP-adressen probeert te bereiken via de WAN interface worden die onherroepelijk geblokt.

    Ook indien de niet gerelateerde internet IP-adressen vanaf je WAN-netwerk je LAN-netwerk probeert te bereiken zullen die eveneens worden geblokt.

    De bogon list

    /ip firewall address-list
    add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" disabled=no list=bogons
    add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A # Check if you need this subnet before enable it"\
    disabled=yes list=bogons
    add address=127.0.0.0/8 comment="Loopback [RFC 3330]" disabled=no list=bogons
    add address=169.254.0.0/16 comment="Link Local [RFC 3330]" disabled=no list=bogons
    add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B # Check if you need this subnet before enable it"\
    disabled=yes list=bogons
    add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C # Check if you need this subnet before enable it"\
    disabled=yes list=bogons
    add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" disabled=no list=bogons
    add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" disabled=no list=bogons
    add address=198.18.0.0/15 comment="NIDB Testing" disabled=no list=bogons
    add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" disabled=no list=bogons
    add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" disabled=no list=bogons
    add address=224.0.0.0/4 comment="MC, Class D, IANA # Check if you need this subnet before enable it"\
    

     Video 3 beveilig je Mikrotik router door port scanners, syn flooder en meer te blokken

    Voordat ik begin bespreek ik hier alleen de veiligheid van Mikrotik-routers. Doch iedere router van welk merk ook heeft met zulke praktijken te maken.
    Hackers zijn namelijk constant op zoek naar kwetsbare routers, dus zo ook de Mikrotik-routers. En dit door speciale scripts en poortscanners.

    Op deze manier kunnen hackers zwakheden opsporen zoals exploits en gaan misbruiken door deze te gaan manipuleren.
    Het is dan ook de bedoeling dat je deze gaat blokkeren. Dit kan met de onderstaande code te kopiëren en plakken in new terminal.

    Bekijk video deel 3 om te zien hoe je dit op een eenvoudige manier kan uitvoeren. Op deze manier kan je uw Mikrotik router beveiligen tegen inbraak en Brute-Force aanvallen.

    Vergeet niet regelmatig te kijken of er RouterOS upgrades zijn. 

    1. RouterOS en firmware upgrade onder de loep genomen.
    2. Het blokken van port scanners, syn flooder en zo meer.

    Blokkeren van syn-flooder, port-scanners en misbruik van het ICMP protocol

    /ip firewall filter
    add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Port scanners to list " disabled=no
    add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP FIN Stealth scan"
    add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/FIN scan"
    add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/RST scan"
    add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="FIN/PSH/URG scan"
    add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="ALL/ALL scan"
    add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP NULL scan"
    add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no
    

    Gebruik port knocking voor extra veiligheid bij het inloggen op je router

    Port knocking is een techniek die ervoor zorgt dat er bepaalde poorten dicht staan. Door gebruik te maken van port knocking kan je deze poorten gaan openen.
    Dit door middel van een speciale werkwijze. Eerst laat ik de configuratie zien van port knocking en demonstreer hoe je deze kan gaan gebruiken.

    Door Port knocking te gebruiken maak je dat het inloggen op je Mikrotik router moeilijker wordt. Dit resulteert in een nog veiligere netwerk omgeving. 

    Steun WirelessInfo.be

    Schenk me een kleine bijdrage zodat ik de kosten voor deze website online te houden kan blijven betalen.

    Please follow and like us:

    Deze website maakt gebruik van cookies. Door deze site te blijven gebruiken, accepteert u het gebruik van deze cookies.