Deel dit onderwerp alstublieft!

mikrotik router beveiligen tegen inbraak en aanvallen

Hoe kan je uw Mikrotik router beveiligen tegen inbraak en brute-force aanvallen. Ik toon wat je zoal kan doen om je Mikrotik router te beveiligen.
Lees zeker deze punten eens door zodat je weet waarover het allemaal gaat. En wat je hoeft te doen.

Weet je dat het zeven minuten duurde vooraleer ik bezoek had op mijn onbeveiligde Mikrotik router. Het duurt dus niet lang vooraleer duizenden gemanipuleerde computers je router kunnen vinden. De duizenden computers zijn gehackte computers van onwetende mensen. Deze door hackers gemanipuleerde computers worden zombies genaamd en vormen één botnet.

Beveilig dus je Mikrotik router, en uiteraard ook andere routers. Maar hier bespreek ik de beveiliging van een Mikrotik router. Mikrotik router beveiligen gebeurd op een geheel andere manier dan de standaard routers. Je kan deze uitgebreid gaan beveiligen en deze beveiligingen ga ik je stap voor stap tonen.

Gedenk dat ieder netwerk zijn eigen specifieke beveiligingen vereist. Deze bespreking  geeft je een basis wat je zoal kan doen om je router en netwerk veiliger te maken.

mikrotik router beveiligen

mikrotik router beveiligen op fysiek vlak daar gaat de eerste video over

Mikrotik router beveiligen indien deze fysiek kan benaderd en gemanipuleerd kan worden

Indien de router op een plaats staat die door anderen kan benaderd worden kan je deze ook gaan beveiligen door in een rack te plaatsen die kan gesloten worden.
Maar soms is dat niet haalbaar om zo'n rack aan te kopen. Dus ga ik ervan uit dat de Mikrotik router fysiek kan aangeraakt worden. Wat kan je zoal doen om je mikrotik router te beveiligen en daarbij je netwerk zo veilig mogelijk te maken. Ik overloop  een paar belangrijke punten in deze eerste video.

  1. Schakel de toegankelijkheid van de LCD uit indien deze op de router aanwezig is.
  2. Wijzig de default login op de goede manier door zowel de gebruikersnaam als het paswoord te wijzigen.
  3. Schakel de console poort uit als je deze niet gebruikt. Je kan die inschakelen als je die nodig hebt.
  4. Niet gebruikte interfaces schakel je het best uit, dit voorkomt dat mensen met slechte bedoelingen met de router kunnen verbinden.
  5. De onnodige services zoals API en zo meer uitschakelen.
  6. Blok ongeoorloofde inlogpogingen op je Mikrotik router door middel van firewall rules en address-lists.
  7. Schakel de MAC-server en MAC ping-server uit. Daarmee voorkom je dat kwaadwilligen via MAC-adres op je router komen.
  8. Indien gewenst schakel ook neighbors discovery uit op de Mikrotik router.
  9. Blok externe DNS aanvragen om DNS aanvallen en misbruik van je router te minimaliseren.
  10. Verwijder niet gebruikte packages of schakel deze uit.
  11. Schakel de tool bandwidth server uit of gebruik op zijn minst een paswoord. Want misbruik van deze bandwidth server kan leiden tot het vastlopen van je Mikrotik router.
  12. Gebruik bij SSH strong-crypto om meer veiligheid te creëren. 
  13. Regenerate SSH encryptie bij de eerste opstart van je nieuwe Mikrotik router.
  14. Maak een nieuwe SNTP community aan en maak de public SNTP community onbereikbaar.
  15. Configureer welk netwerktoestel mag verbinden op een bepaalde interface van je Mikrotik router en welke niet.

Video 1 beveilig je Mikrotik router als die fysiek bereikbaar is en wat basis instellingen


Mikrotik router beveiligen door middel van firewall rules 

mikrotik router beveiligen

De Mikrotik router firewall ondersteund pakketfiltering en biedt daarmee beveiligingsfuncties die worden gebruikt om het pakketverkeer naar of via de router  en vanaf de router te beheren. Men noemt deze termen de INPUT, FORWARD en OUTPUT chain. Met deze geïmplementeerde functies kan je de Mikrotik router beveiligen. 

In samenwerking met de NAT functies dient de Mikrotik firewall als een beschermmiddel voor zowel de router zelf, als de netwerken achter de router te beschermen tegen ongeoorloofde toegang en aanvallen van buitenaf je netwerk. De firewall kan ook de ingelogde cliënts beschermen tegen elkaar. En dat door middel van Client isolatie.

Goed geconfigureerde firewalls houden bedreigingen op je router en netwerk tegen

Netwerkfirewalls houden bedreigingen tegen om op deze manier de router zelf en gevoelige gegevens die beschikbaar zijn binnen je netwerk te beschermen. Wanneer verschillende netwerken worden samengevoegd, bijvoorbeeld internet en uw privé netwerk. Is er altijd een bedreiging dat iemand van buiten uw netwerk inbreekt in uw Mikrotik router en/of privé netwerk met alle gevolgen van dien.

De Mikrotik Firewall kan worden geconfigureerd om de veiligheidsrisico’s op je netwerk te voorkomen of tot een minimum te herleiden.

Een goed geconfigureerde firewall is dus zeer belangrijk bij een efficiënte en veilige netwerkinfrastructuur. Doch de configuratie van de Mikrotik firewall is steeds anders en sterk afhankelijk van je eigen netwerk en noden.  
Daarom heeft Mikrotik RouterOS een zeer krachtige firewall implementatie met vele functies.


Je mikrotik router beveiligen is een combinatie van verschillende handelingen. Daarom maak ik verschillende video tutorials. Van basis beveiligingstips tot wat diepgaandere beveiligingsnormen.
Je zal zien hoe je uw Mikrotik router beter kunt beschermen tegen aanvallen vanaf het externe netwerk en hoe je router beter kunt bewapenen tegen aanvallen.

Omdat ik je niet wil overstelpen met onnodige info, ga ik de router beveiliging stap voor stap met je bespreken. Zodat je deze ook kan uitvoeren op je Mikrotik router.
Wees bewust dat er dagelijks veel mensen het slachtoffer worden van router, netwerk en computer hacking en Brute-force attacs. Lees en bekijk deze tutorial dus grondig door.

Mikrotik router beveiligen door middel van de firewall tegen inkomende aanvallen vanaf de WAN interface

De Mikrotik router beveiligen tegen aanvallen vanaf het publieke netwerk is geen overbodige luxe. Met het publieke netwerk wordt namelijk de WAN interface bedoeld. De WAN interface zorgt ervoor dat het internet tot in je router wordt getransporteerd. Nu is het aan u om ongeoorloofde logins en manipulaties te voorkomen. Dit ga ik je nu tonen in de tweede video. Je Mikrotik router beveiligen door middel van de IMPUT, FORWARD en OUTPUT chain.

De drie belangrijkste chain's van de Mikrotik firewall filter zijn

INPUT CHAIN
De input chain wordt gebruikt om data pakketten met het bestemmings-IP-adres van de router te verwerken. Zoals de chain "input" laat vermoeden zijn dit data pakketten die de router binnenkomen via de WAN of andere interfaces. Pakketten die door de router gaan, worden niet verwerkt volgens de regels van de input chain. Daarvoor dient de forward chain.

FORWARD CHAIN
De forward chain behandeld de datapakketten die door de router passeren. Bijvoorbeeld je wil op het internet surfen en surft naar WirelessInfo.be.
Deze aanvraag wordt naar de WAN interface doorgestuurd naar het internet toe richting de webserver waar de website WirelessInfo.be wordt gehost.
Dit is zeer eenvoudig uitgelegd want in werkelijkheid moet de aanvraag ook een DNS-server passeren en zo meer.

OUTPUT CHAIN 
De output chain wordt gebruikt om pakketten te verwerken die afkomstig zijn van de router zelf. De verwerkte pakketten worden door één van de interfaces  naar buiten geleid. laten. 

Mikrotik router beveiligen de basis firewall besproken en aanvullende firewall rules

Je mikrotik router beveiligen is een combinatie van verschillende handelingen. Daarom maak ik verschillende video tutorials. Van basis beveiligingstips tot wat diepgaandere beveiligingsnormen.
Je zal zien hoe je uw Mikrotik router beter kunt beschermen tegen aanvallen vanaf het externe netwerk en hoe je router beter kunt bewapenen tegen aanvallen.

Omdat ik je niet wil overstelpen met onnodige info, ga ik de router beveiliging stap voor stap met je bespreken. Zodat je deze ook kan uitvoeren op je Mikrotik router.
Wees bewust dat er dagelijks veel mensen het slachtoffer worden van router, netwerk en computer hacking en Brute-force attacs. Lees en bekijk deze tutorial dus grondig door.

  1. Bespreking van de default firewall functies.
  2. Welke functie heeft elke default firewall rule.
  3. Het aanmaken van een catch-all firewall rule.
  4. Aanmaken van een  adres list genaamd management en routers. En dit voor een firewall rule te maken om de router te beschermen tegen ongeoorloofde logins.
  5. Kopiëren en plakken van de bogon list in new terminal  

Video 2 beveilig je Mikrotik router door een goede opgebouwde firewall wat is de bogon list

Default firewall configuratie + aanvullende firewall rules besproken in de bovenstaande tutorial

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="blok externe dns aanvragen udp" dst-port=53 in-interface=ether1 protocol=udp
add action=drop chain=input comment="blok externe dns aanvragen tcp" dst-port=53 in-interface=ether1 protocol=tcp
add action=drop chain=forward comment="drop bogon list" dst-address-list=bogons log=yes log-prefix=bogon-list
add action=drop chain=input comment="drop ongeautoriseerde logins naar de router toe" dst-address-list=routers dst-port=21,22,23,80,443,8291 protocol=tcp src-address-list=!management
add action=drop chain=input comment="drop al het andere verkeer"

Je kan deze code kopiëren en aanpassen volgens de ingestelde interfaces. Dan pas kan je deze plakken in new terminal van je Mikrotik router.
Indien de interface ether1 bijvoorbeeld een andere naam heeft bij je Mikrotik router zullen er foutmeldingen optreden.

Niet internet gerelateerde IP-ranges of anders gezegd de bogon-list

Deze adres lijst zijn niet gerelateerd met publieke IP-adressen die horen niet op het internet.
Deze IP-adres ranges behoren en worden dus gebruikt op interne netwerken en sommige zijn gereserveerd voor IANA. Deze IP-range lijst wordt ook de bogon list genaamd.

Indien je LAN-netwerk deze niet internet gerelateerde IP-adressen probeert te bereiken via de WAN interface worden die onherroepelijk geblokt.

Ook indien de niet gerelateerde internet IP-adressen vanaf je WAN-netwerk je LAN-netwerk probeert te bereiken zullen die eveneens worden geblokt.

De bogon list

/ip firewall address-list
add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" disabled=no list=bogons
add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A # Check if you need this subnet before enable it"\
disabled=yes list=bogons
add address=127.0.0.0/8 comment="Loopback [RFC 3330]" disabled=no list=bogons
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" disabled=no list=bogons
add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B # Check if you need this subnet before enable it"\
disabled=yes list=bogons
add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C # Check if you need this subnet before enable it"\
disabled=yes list=bogons
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" disabled=no list=bogons
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" disabled=no list=bogons
add address=198.18.0.0/15 comment="NIDB Testing" disabled=no list=bogons
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" disabled=no list=bogons
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" disabled=no list=bogons
add address=224.0.0.0/4 comment="MC, Class D, IANA # Check if you need this subnet before enable it"\

 Video 3 beveilig je Mikrotik router door port scanners, syn flooder en meer te blokken

Voordat ik begin bespreek ik hier alleen de veiligheid van Mikrotik routers. Doch iedere router van welk merk ook heeft met zulke praktijken te maken.
Hackers zijn namelijk constant op zoek naar kwetsbare routers, dus zo ook de Mikrotik routers. En dit door speciale scripts en poortscanners.

Op deze manier kunnen hackers zwakheden opsporen zoals exploits en gaan misbruiken. 
Het is dan ook de bedoeling dat je deze gaat blokkeren. Dit kan met de onderstaande code te kopiëren en plakken in new terminal.

Bekijk video deel 3 om te zien hoe je dit op een eenvoudige manier kan uitvoeren. Op deze manier kan je uw Mikrotik router beveiligen tegen inbraak en brute-force aanvallen.

Vergeet niet regelmatig te kijken of er RouterOS upgrades zijn. 

  1. RouterOS en firmware upgrade onder de loep genomen.
  2. Het blokken van port scanners, syn flooder en zo meer.

Blokkeren van syn-flooder, port-scanners en misbruik van het ICMP protocol

/ip firewall filter
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Port scanners to list " disabled=no
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP FIN Stealth scan"
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/FIN scan"
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/RST scan"
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="FIN/PSH/URG scan"
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="ALL/ALL scan"
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP NULL scan"
add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no

Vond je deze tutorial interessant?

Deel deze zoveel mogelijk op sociaal media zoals Facebook en Google+ alstublieft