Deel dit onderwerp alstublieft!

Mikrotik router beveiligen

De Mikrotik router beveiligen is één van de belangrijkste en moeilijkste onderwerpen. De beveiliging van de Mikrotik router bestaat namelijk uit verschillende onderdelen. Doch indien je dit artikel aandachtig doorneemt zal je al de mogelijk beveiligingsrisico's kennen en kunnen oplossen. Want een Mikrotik router beveiligen is een zeer mooie leerschool om deze routers te leren kennen. Je Mikrotik router beveiligen is meer dan alleen het wijzigen van de standaard login. In deze blogpost ga ik je stap voor stap laten zien welke stappen je moet ondernemen om je Mikrotik router en zo ook je netwerk veiliger te maken.

mikrotik router beveiligen

Je Mikrotik router beveiligen waarom vraag je je misschien af

Ik neem de proef op de som en sluit een Mikrotik router aan op de modem van mijn ISP. Ik heb uiteraard een paswoord ingegeven maar voor de rest heb ik niets gedaan. Na ongeveer 7 minuten krijg ik al meldingen van inlog pogingen. Ik kan het uiteraard niet nalaten om je een screenshot van dit gebeuren te laten zien.
Het duurt niet lang om de Mikrotik router op het internet te ontdekken is het niet? Kwaadwillige personen scannen voortdurend met speciaal ontworpen software en duizenden computers het internet af naar kwetsbare netwerktoestellen. Hier hoort ook de nog niet beveiligde Mikrotik router bij. Daarom is deze zo vlug door deze scanners gevonden. De Mikrotik router beschermen moet dus grondig en met kennis van zaken gebeuren.

secure your Mikrotik router

Wat ga je zien in de eerste video over het beschermen van je Mikrotik router

Je pas aangekochte Mikrotik router beveiligen

Neem nu aan ik heb een nieuwe Mikrotik router aangekocht. Het eerste punt waar ik aan denk is het wijzigen van de standaard login. De standaard login heeft als gebruikersnaam "admin" en als paswoord moet ik niets invullen. Ik ga de gebruikersnaam "admin" niet blijven gebruiken en maak een volledige nieuwe gebruiker aan.
Een voorbeeld hiervan is: gebruikersnaam: W!reLessInf0 paswoord: "M%@gvEi8?_`2Z3r~vTUpA_9,R{4^d;v.'B-#L. Dit is een sterke login die niet gemakkelijk te achterhalen is. Ik verwijder daarna ook de gebruiker admin. Mijn Mikrotik router beveiligen is nog niet ten einde want dit is één van de vele stappen die ik kan ondernemen.  

Controleer of je router over de laatste nieuwe RouterOS beschikt 

Ik controleer regelmatig op upgrades van de RouterOS en de firmware. Dit is ook een belangrijk punt omdat deze upgrades ervoor zorgen dat fouten uit het besturingssysteem worden gehaald. Uiteraard worden ook nieuwe functies geïmplementeerd. Indien je een Mikrotik router hebt die je bedrijf van internet voorziet raad ik je zeker aan de long term versie te gebruiken. Deze bevat niet de nieuwste snufjes maar in deze RouterOS versie zitten de minste fouten. Als particuliere gebruiker kan je ook voor de stable version gaan. Het onderstaand artikel van security.nl wijst op de noodzaak om je router regelmatig te controleren op updates.
Denk nu niet dat dit bij andere merken routers niet gebeurd want niets is minder waar. Iedere router krijgt wel eens te maken met zulke praktijken. Heb je het vermoeden dat je router is geïnfecteerd dan kan je dit ongedaan maken met netinstall. Doch alle configuraties worden onherroepelijk gewist.

Mikrotik router beschermen

Bron: security.nl

Schakel niet gebruikte packages en services uit 

Om de Mikrotik router beveiliging terug naar een hoger niveau te brengen schakel ik ongebruikte packages uit. Deze packages zijn te vinden in "system" "packages".
In het onderstaande afbeelding schakel ik de IPv6 uit omdat ik deze niet nodig heb. Doch ik kan ook andere niet gebruikte packages gaan uitschakelen. Om maar een voorbeeld te geven de hotspot functie. Ik ga dit allemaal tonen in de eerste video

Mikrotik router beveiligen

Schakel niet gebruikte services uit en wijzig de standaard poort voor Winbox en SSH

In deze stap schakel ik niet gebruikte services uit. Wat voorbeelden hiervan zijn: API, API SSL, Telnet enz. Daar ik hier geen gebruik van maak ga ik deze services gaan uitschakelen. Ik minimaliseer hiermee de openstaande netwerkpoorten. Nog een zeer belangrijk gegeven ik wijzig de standaard poorten voor Winbox en SSH. Op deze manier bescherm ik de Mikrotik router terug wat meer. Op de onderstaande afbeelding zie je dat ik ook de IP-range heb ingegeven vanaf de service mag aangesproken worden. Ik kan dus inloggen met Winbox op de poort 10577 en mijn computer moet zich in het subnet 192.168.88.1 bevinden. Dit is hier als voorbeeld. Doch ik gebruik strikt genomen nooit de default IP-range 192.168.88.0/24. Waarom niet? Omdat deze IP-range verraad dat het om een Mikrotik router gaat. Vergeet ook niet te kijken naar de firewall service ports. Deze schakel ik ook uit indien ik deze niet nodig heb.

Mikrotik router beschermen

Je Mikrotik router beschermen door bepaalde tools uit te schakelen

Je moet weten dat de Mikrotik router over tools beschikt die kunnen misbruikt worden. Ik denk aan de bandwidth-server. De bandwidth-server is een mooie tool en maakt het mogelijk om de snelheid te meten tussen twee punten in je netwerk. Ik schakel deze uit. Indien ik deze tool nodig heb kan ik deze alsnog inschakelen.
Dit is trouwens een tool die heel goed kan gebruikt worden om je router en netwerk aan te vallen. Hoe je deze tool uitschakelt zie je allemaal in de eerste video.
Wil je meer weten over de Mikrotik bandwidth-server lees dit artikel die ik heb aangemaakt. 

Secure your Mikrotik router

Schakel MAC services uit

Mac services uitschakelen behoort ook tot mijn to do lijst. Dit omdat MAC-adressen kunnen gespooft en misbruikt worden. Het heeft ook geen zin om firewall rules aan te maken om je Mikrotik router te beschermen. Je kan met Winbox inloggen op de Mikrotik router met het MAC-adres. Dan heeft een firewall geen enkel nut.
Ik schakel hiervoor steeds de MAC-services uit om misbruik van de Mikrotik router tegen te gaan. Indien je deze niet wil uitschakelen maak gebruik van de interface list om ervoor te zorgen dat de MAC-services niet op elke interface kan gebruikt worden. Zie deze video die ik hierover heb gemaakt.

Schakel MNDP uit beter bekent als Mikrotik Network Discovery Tool

De Mikrotik network discovery tool is een groot hulpmiddel om je Mikrotik router te vinden. Doch hier schuilt terug het gevaar dat deze kan misbruikt worden. Ik schakel deze steeds uit. Maar vooraleer ik  dit doe controleer ik eerst of ik kan inloggen op de Mikrotik router via het IP-adres. Tenslotte ken je toch het IP-adres van de Mikrotik router. Ook kan ik gebruik maken van de interface-list om te bepalen op welke interfaces de MNDP mag gebruikt worden. Ik denk aan de management interface. Hier kan ik terug de video aanbevelen over de interface list.

Maak de SSH versleuteling op de Mikrotik router sterker

Bij default is de SSH wel versleuteld doch je kan deze encryptie sterker maken. Op de onderstaande screenshot zie je dat de "strong-crypto niet is geactiveerd. Deze sterke encryptie activeren is een aanrader om je Mikrotik router meer te beveiligen. Ook het regenereren van de host-key is een aanrader. De host-key vernieuw je het best indien je de Mikrotik router nieuw hebt aangekocht of indien je een Mikrotik router tweedehands hebt aangekocht. Dit draagt terug wat bij om meer veiligheid te creëren. Bij het resetten van de Mikrotik router met of zonder default configuratie zorg er steeds voor dat de strong-crypto geactiveerd is. Bij een reset van een Mikrotik router moet je de strong-crypto terug gaan instellen. 

secure your Mikrotik router

Wijzig de default SNMP community om je Mikrotik router beveiliging te optimaliseren

Ieder netwerk toestel kan worden gemonitord met verschillende software. Hiervoor wordt gebruik gemaakt van verschillende monitor software. Om er enkele op te noemen: IcingaNagios maar Mikrotik heeft ook zijn eigen monitor software. Zo heeft Mikrotik ook zijn eigen software daarvoor. De naam is The Dude. Wat de naam ook is van deze monitor software. Deze maken allemaal gebruik van SNMP om de status van de netwerktoestellen te gaan ophalen. En hier schuilt ook het gevaar op misbruik indien deze wordt ingeschakeld. In het laatste deel van video één zie je hoe je dit gevaar kan beperken. Dit door een andere trap community te gebruiken dan de publieke. Alle bovenstaande Mikrotik beveiligingen kan je zien in de onderstaande video. Op deze manier krijg je een beter beeld over de Mikrotik router beveiliging. Maar er zijn nog onderwerpen waar je dient rekening mee te houden.


Gebruik port knocking voor extra veiligheid bij het inloggen op je router

Om de Mikrotik router grondig te gaan beveiligen ga ik port knocking gaan configureren. Port knocking zorgt ervoor dat een dicht staande poort wordt geopend bij het gebruik van een juiste combinatie van netwerkpoorten. Ik moet bij wijze van spreken eerst gaan aankloppen bij de Mikrotik router. Dit met een zogenaamde cijfercode, anders gaat de Winbox poort niet open. Veel wil ik hierover niet kwijt. Bekijk deze tutorial en alles wordt duidelijk. Dit wil ook zeggen dat de poortscanners geen enkele poort open ziet staan. En dit heeft een groot voordeel. Zie dit niet als de optimale beveiliging maar hier maken we het de kwaadwilligen nog wat moeilijker.

Bekijk andere onderwerpen op mijn YouTube kanaal

Wil je op de hoogte blijven van nieuwe filmpjes abonneer je op mijn kanaal

Please follow and like us:
Pin Share

Deze website maakt gebruik van cookies. Door deze site te blijven gebruiken, accepteert u het gebruik van deze cookies.