Deel dit onderwerp alstublieft!

mikrotik router beveiligen tegen inbraak en aanvallen

Vond je dit artikel interessant? Deel deze met je vrienden en anderen alstublieft

Hoe kan je uw Mikrotik router beveiligen tegen inbraak en brute-force aanvallen. Ik toon je vervolgens wat je zoal kan doen.

Dit om inbraak pogingen op je router en netwerk te voorkomen.

Je mikrotik router beveiligen is een combinatie van verschillende handelingen. 
Daarom maak ik verschillende video tutorials.
Je zal zien hoe je uw Mikrotik router beter kunt beschermen tegen aanvallen.

Omdat ik je niet wil overstelpen met onnodige info, ga ik dat stap voor stap met je bespreken.
Wees bewust dat er dagelijks veel mensen het slachtoffer worden van router, netwerk en computer hacking.

Brute-force attacs worden namelijk dagelijks op routers en computers losgelaten. En dit kan ik hier bewijzen in dit artikel.

Hackers scannen het internet af naar kwetsbare routers en netwerken

Bij de opname van deze eerste video kan ik zeggen dat ik al bezoek heb gehad.
En neen het was niet mijn schoonmoeder. Het waren geen gewone bezoekers. Brute-force scanners probeerden na zeven minuten al op mijn router in te loggen.

Een kwaadwillige persoon heeft zich zelfs schuldig gemaakt. Dit door op mijn router in te loggen. Bekijk deze eerste tutorial over Mikrotik router beveiligen tegen inbraak.
Denk nooit het zal mij niet overkomen. Doch indien je bepaalde tips in acht neemt zal deze kans verkleinen. 

Mikrotik router beveiligen

De Mikrotik router beveiligen tegen inkomende aanvallen is een noodzaak geworden

De Mikrotik router beveiligen tegen aanvallen is namelijk een noodzaak geworden. Beveilig dus je Mikrotik router en netwerk tegen inbraak en brute-force aanvallen.
Ik heb mijn demo router opzettelijk aan een Telenet draadloze router gehangen. Dit zonder de default login te wijzigen en op een DMZ IP-adres.

Anders gezegd heb ik mijn router volledig open gesteld op het internet.

Een eerste aanval kwam al na ongeveer een 7 tal minuten. Hieronder zie je een screenshot van de aanval.
Uit voorzorg heb ik daarna de router terug een zuivere RouterOS bezorgt. Dit door middel van netinstall.
 
Je weet maar nooit of de aanvallers de RouterOS op de Mikrotik router niet hebben gemanipuleerd.

Wat kunnen hackers uitrichten op de Mikrotik router en netwerk?

Je kan je dus nu de vraag gaan stellen. Wat kunnen hackers nu op mijn Mikrotik router en netwerk uitrichten?
De hackers kunnen namelijk software installeren die je router voor hen openstellen. Op deze manier kunnen de aanvallers in je netwerk infiltreren.  

Eens ze toegang hebben op je netwerk kunnen ze op zoek gaan naar paswoorden. Evenals login gegevens en andere gevoelige informatie.

Op deze manier vergaren ze dus veel informatie over jezelf en je situatie. Verder kunnen hackers je bankrekening nummer bemachtigen.
En dit met alle gevolgen van dien. Kortom wees op je hoede want ze kunnen je nog meer schade toebrengen.

Je NAS binnen dringen en zodoende je mooie foto's en documenten gaan wissen. 
Hackers kunnen door middel van bepaalde software je computer als zombie laten fungeren. Dit resulteert dat je PC gebruikt kan worden voor een massale DDOS aanval.

Dit zijn maar enkele punten die ik opnoem maar er zijn er een pak meer.

Voordat ik begin bespreek ik hier alleen de veiligheid van Mikrotik routers. Doch iedere router van welk merk ook heeft met zulke praktijken te maken.
Hackers zijn namelijk constant op zoek naar routers door speciale scripts en poortscanners. En dit om zwakke plekken zoals exploits van de routers te misbruiken.

Door middel van die scripts scannen ze alle default poorten af en dit met behulp van vele gehackte computers.
Een eerste goede tip is namelijk: 

Hou je router up-to-date door middel van firmware upgrades

Kijk of je router, of deze nu een Mikrotik of een andere router is een firmware upgrade nodig heeft.
Firmware upgrades zorgen er trouwens voor dat deze exploits worden bijgewerkt zodat de router veiliger wordt.

Gelukkig blijft Mikrotik verbeteringen en beveiligingslekken dichten. Daarom zorgt Mikrotik regelmatig voor upgrades van RouterOS.

Computers worden gehackt om vervolgens te gebruiken als botnet 

Nooit gehoord wat een botnet is? Veel computers worden gehackt en vaak voorzien van malafide software. Soms merk je er helemaal niets van omdat die op de achtergrond draaien.

Door middel van die software kunnen hackers namelijk de computers gaan besturen. Zoals reeds aangehaald doen ze dit om een massale aanval te kunnen inzetten.

Al deze geïnfecteerde  computers worden zombies genaamd. Samen vormen al deze computers één "botnet" en dat kunnen duizenden computers zijn.
Dit botnet is een krachtig middel voor de hacker of hackers. Omdat ze massale aanvallen tegen bedrijven en zo meer kunnen inzetten.

Door middel van die verschillende aanvallen zoals DDOS of DNS-aanvallen kunnen volledige netwerken worden plat gelegd.
Wikipedia bespreekt hier de soorten aanvallen en wat ze kunnen uitrichten.

Veel mensen zijn niet op de hoogte en kunnen ten prooi vallen aan cyber criminaliteit

Veel mensen zijn daarvan niet op de hoogte en kunnen ten prooi vallen aan deze cyber criminaliteit.
De vraag is nu: "Wat kan jij doen om je Mikrotik router en netwerk te beschermen tegen kwaadwillige hackers?".

Wordt je computer ook een onderdeel van een botnet? Of wordt je het slachtoffer dat ze je gegevens stelen?
Ik geef hier namelijk belangrijke tips mee om een betere beveiliging voor je Mikrotik router en computer netwerk op te bouwen.

Video één mikrotik router beveiligen de begin fase 

  • Wijzig de default inlog door middel van zowel de gebruikersnaam als het paswoord te wijzigen.
  • Disable niet gebruikte netwerk services.
  • Schakel MAC-discovery uit op je Mikrotik router.
  • Hoe schakel je de MAC-server, MAC-telenet en de MAC Winbox server uit. 
  • Gebruik het verouderd Telnet protocol niet.

Mikrotik firewall addess list en filter rules aanmaken

  • Maken van Mikrotik firewall address list genaamd "management".
  • Firewall filter rule autorisatie login in de Mikrotik router
  • Het blokken van ongeautoriseerde toegang op je Mikrotik router
  • Het blokken van externe DNS-aanvragen op je router 

Default firewall configuratie

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface=ether1-wan
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1-wan
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface=ether1-wan

Het importeren van de default firewall rules als basis beveiliging tegen inbraak op je Mikrotik router en netwerk.

Blokkeren van aanvallen firewall rules

/ip firewall filter
add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input \
comment="Add Syn Flood IP to the list" connection-limit=30,32 disabled=no protocol=tcp tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" disabled=no src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment="Port Scanner Detect"\
disabled=no protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" disabled=no src-address-list=Port_Scanner
add action=jump chain=input comment="Jump for icmp input flow" disabled=no jump-target=ICMP protocol=icmp
add action=drop chain=input\
comment="Block all access to the winbox - except to support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUPPORT ADDRESS LIST"\
disabled=yes dst-port=8291 protocol=tcp src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" disabled=no jump-target=ICMP protocol=icmp
add action=drop chain=forward comment="Drop to bogon list" disabled=no dst-address-list=bogons
add action=add-src-to-address-list address-list=spammers address-list-timeout=3h chain=forward comment="Add Spammers to the list for 3 hours"\
connection-limit=30,32 disabled=no dst-port=25,587 limit=30/1m,0 protocol=tcp
add action=drop chain=forward comment="Avoid spammers action" disabled=no dst-port=25,587 protocol=tcp src-address-list=spammers
add action=accept chain=input comment="Accept DNS - UDP" disabled=no port=53 protocol=udp
add action=accept chain=input comment="Accept DNS - TCP" disabled=no port=53 protocol=tcp
add action=accept chain=input comment="Accept to established connections" connection-state=established\
disabled=no
add action=accept chain=input comment="Accept to related connections" connection-state=related disabled=no
add action=accept chain=input comment="Full access to SUPPORT address list" disabled=no src-address-list=support
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED"\
disabled=yes
add action=accept chain=ICMP comment="Echo request - Avoiding Ping Flood" disabled=no icmp-options=8:0 limit=1,5 protocol=icmp
add action=accept chain=ICMP comment="Echo reply" disabled=no icmp-options=0:0 protocol=icmp
add action=accept chain=ICMP comment="Time Exceeded" disabled=no icmp-options=11:0 protocol=icmp
add action=accept chain=ICMP comment="Destination unreachable" disabled=no icmp-options=3:0-1 protocol=icmp
add action=accept chain=ICMP comment=PMTUD disabled=no icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" disabled=no protocol=icmp
add action=jump chain=output comment="Jump for icmp output" disabled=no jump-target=ICMP protocol=icmp

Niet internet gerelateerde ip-range of bogon list

/ip firewall address-list
add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" disabled=no list=bogons
add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A # Check if you need this subnet before enable it"\
disabled=yes list=bogons
add address=127.0.0.0/8 comment="Loopback [RFC 3330]" disabled=no list=bogons
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" disabled=no list=bogons
add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B # Check if you need this subnet before enable it"\
disabled=yes list=bogons
add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C # Check if you need this subnet before enable it"\
disabled=yes list=bogons
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" disabled=no list=bogons
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" disabled=no list=bogons
add address=198.18.0.0/15 comment="NIDB Testing" disabled=no list=bogons
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" disabled=no list=bogons
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" disabled=no list=bogons
add address=224.0.0.0/4 comment="MC, Class D, IANA # Check if you need this subnet before enable it"\

Deze adres lijst zijn niet gerelateerd met publieke IP-adressen die op het internet horen.
Deze IP-adres ranges behoren en worden dus gebruikt op interne netwerken en sommige zijn gereserveerd voor IANA bijvoorbeeld. Deze IP-range lijst wordt ook de bogon list genaamd.

Indien je LAN-netwerk deze niet internet gerelateerde IP-adressen probeert te bereiken via de WAN interface worden die onherroepelijk geblokt.

Ook indien de niet gerelateerde internet IP-adressen vanaf je WAN-netwerk je LAN-netwerk probeert te bereiken zullen die worden geblokt.

Er volgen binnenkort nog enkele belangrijke fases

Vond je deze tutorial interessant?

Deel deze zoveel mogelijk op sociaal media zoals Facebook en Google+ alstublieft


Vond je dit artikel interessant? Deel deze met je vrienden en anderen alstublieft