Deel dit onderwerp alstublieft!

Mikrotik router beveiligen

Mikrotik router beveiligen wat zijn de essentiële stappen

De Mikrotik router beveiligen is één van de belangrijkste en moeilijkste onderwerpen. De beveiliging van de Mikrotik router bestaat namelijk uit verschillende onderdelen. Doch indien je dit artikel aandachtig doorneemt zal je al de mogelijke beveiligingsrisico's kennen en kunnen oplossen. Want een Mikrotik router beveiligen is een zeer mooie leerschool om deze routers te leren kennen. Je Mikrotik router beveiligen is meer dan alleen het wijzigen van de standaard login. In deze blogpost ga ik je stap voor stap laten zien welke stappen je moet ondernemen om je Mikrotik router en zo ook je netwerk veiliger te maken. Indien je meer wil zien van de Mikrotik router klik hier en lees ook deze blogpost die ik heb gemaakt. Ik raad je aan om een andere blogpost te lezen. Deze gaat over het beveiligen van een Mikrotik accespoint of draadloze router. Deze blogpost kan je hier bekijken

mikrotik router beveiligen

Je Mikrotik router beveiligen waarom vraag je je misschien af

Ik neem de proef op de som en sluit een Mikrotik router aan op de modem van mijn ISP. Ik heb uiteraard een paswoord ingegeven maar voor de rest heb ik niets gedaan. Na ongeveer 7 minuten krijg ik al meldingen van inlog pogingen. Ik kan het uiteraard niet nalaten om je een screenshot van dit gebeuren te laten zien.
Het duurt niet lang om de Mikrotik router op het internet te ontdekken is het niet? Kwaadwillige personen scannen voortdurend met speciaal ontworpen software en duizenden computers het internet af naar kwetsbare netwerktoestellen. Hier hoort ook de nog niet beveiligde Mikrotik router bij. Daarom is deze zo vlug door deze scanners gevonden. De Mikrotik router beschermen moet dus grondig en met kennis van zaken gebeuren. Denk ook indien je gebruik maakt van UPnP dit zou neen tijdelijke oplossing moeten zijn. Het correct gebruiken van UPnP kan je hier zien.

secure your Mikrotik router

Wat ga je zien in de eerste video over het beschermen van je Mikrotik router

Je pas aangekochte Mikrotik router beveiligen

Neem nu aan ik heb een nieuwe Mikrotik router aangekocht. Het eerste punt waar ik aan denk is het wijzigen van de standaard login. De standaard login heeft als gebruikersnaam "admin" en als paswoord moet ik niets invullen. Ik ga de gebruikersnaam "admin" niet blijven gebruiken en maak een volledige nieuwe gebruiker aan.
Een voorbeeld hiervan is: gebruikersnaam: W!reLessInf0 paswoord: "M%@gvEi8?_`2Z3r~vTUpA_9,R{4^d;v.'B-#L. Dit is een sterke login die niet gemakkelijk te achterhalen is. Ik verwijder daarna ook de gebruiker admin. Mijn Mikrotik router beveiligen is nog niet ten einde want dit is één van de vele stappen die ik kan ondernemen.  Gebruik nooit de namen zoals: admin, support, root, superuser. Dit zijn de eerste namen die de kwaadwilligen uitproberen. Het is zeker niet voldoende om de default login te wijzigen want dit is maar een tipje van de sluier. 

Controleer of je router over de laatste nieuwe RouterOS beschikt 

Ik controleer regelmatig op upgrades van de RouterOS en de firmware. Dit is ook een belangrijk punt omdat deze upgrades ervoor zorgen dat fouten uit het besturingssysteem worden gehaald. Uiteraard worden ook nieuwe functies geïmplementeerd. Indien je een Mikrotik router hebt die je bedrijf van internet voorziet raad ik je zeker aan de long term versie te gebruiken. Deze bevat niet de nieuwste snufjes maar in deze RouterOS versie zitten de minste fouten. Als particuliere gebruiker kan je ook voor de stable version gaan. Het onderstaand artikel van security.nl wijst op de noodzaak om je router regelmatig te controleren op updates. Denk nu niet dat dit bij andere merken routers niet gebeurd want niets is minder waar. Iedere router krijgt wel eens te maken met zulke praktijken. Heb je het vermoeden dat je router is geïnfecteerd dan kan je dit ongedaan maken met netinstall. Doch weet dit dat bij een netinstall procedure alle configuraties onherroepelijk wordt gewist.

Mikrotik router beschermen

Bron: security.nl

Schakel niet gebruikte packages en services uit 

Om de Mikrotik router beveiliging terug naar een hoger niveau te brengen schakel ik ongebruikte packages uit. Deze packages zijn te vinden in "system" "packages".
In het onderstaande afbeelding schakel ik IPv6 uit omdat ik deze niet nodig heb. Doch ik kan ook andere niet gebruikte packages gaan uitschakelen. Om maar een voorbeeld te geven de hotspot functie. Ik ga dit allemaal tonen in de eerste video.  

Mikrotik router beveiligen

Schakel niet gebruikte services uit en wijzig de standaard poort voor Winbox en SSH

In deze stap schakel ik niet gebruikte services uit. Wat voorbeelden hiervan zijn: API, API SSL, Telnet enz. Daar ik hier geen gebruik van maak ga ik deze services gaan uitschakelen. Ik minimaliseer hiermee de openstaande netwerkpoorten. Nog een zeer belangrijk gegeven ik wijzig de standaard poorten voor Winbox en SSH. Op deze manier bescherm ik de Mikrotik router terug wat meer. Op de onderstaande afbeelding zie je dat ik ook de IP-range heb ingegeven vanaf de service mag aangesproken worden. Ik kan dus inloggen met Winbox op de poort 10577 en mijn computer moet zich in het subnet 192.168.88.1 bevinden. Dit is hier als voorbeeld. Doch ik gebruik strikt genomen nooit de default IP-range 192.168.88.0/24. Waarom niet? Omdat deze IP-range verraad dat het om een Mikrotik router gaat. Vergeet ook niet te kijken naar de firewall service ports. Deze schakel ik ook uit indien ik deze niet nodig heb.

Mikrotik router beschermen

Je Mikrotik router beschermen door bepaalde tools uit te schakelen

Je moet weten dat de Mikrotik router over tools beschikt die kunnen misbruikt worden. Ik denk aan de bandwidth-server. De bandwidth-server is een mooie tool en maakt het mogelijk om de snelheid te meten tussen twee punten in je netwerk. Ik schakel deze uit. Indien ik deze tool nodig heb kan ik deze alsnog inschakelen.
Dit is trouwens een tool die heel goed kan gebruikt worden om je router en netwerk aan te vallen. Hoe je deze tool uitschakelt zie je allemaal in de eerste video.
Wil je meer weten over de Mikrotik bandwidth-server lees dit artikel die ik heb aangemaakt. 

Secure your Mikrotik router

Schakel MAC services uit

Mac services uitschakelen behoort ook tot mijn to do lijst. Dit omdat MAC-adressen kunnen gespooft en misbruikt worden. Het heeft ook geen zin om firewall rules aan te maken om je Mikrotik router te beschermen. Je kan met Winbox inloggen op de Mikrotik router met het MAC-adres. Dan heeft een firewall geen enkel nut.
Ik schakel hiervoor steeds de MAC-services uit om misbruik van de Mikrotik router tegen te gaan. Indien je deze niet wil uitschakelen maak gebruik van de interface list om ervoor te zorgen dat de MAC-services niet op elke interface kan gebruikt worden. Zie deze video die ik hierover heb gemaakt.

Schakel MNDP uit beter bekent als Mikrotik Network Discovery Tool

De Mikrotik network discovery tool is een groot hulpmiddel om je Mikrotik router te vinden. Doch hier schuilt terug het gevaar dat deze kan misbruikt worden. Ik schakel deze steeds uit. Maar vooraleer ik  dit doe controleer ik eerst of ik kan inloggen op de Mikrotik router via het IP-adres. Tenslotte ken je toch het IP-adres van de Mikrotik router. Ook kan ik gebruik maken van de interface-list om te bepalen op welke interfaces de MNDP mag gebruikt worden. Ik denk aan de management interface. Hier kan ik terug de video aanbevelen over de interface list. 

Maak de SSH versleuteling op de Mikrotik router sterker

Bij default is de SSH wel versleuteld doch je kan deze encryptie sterker maken. Op de onderstaande screenshot zie je dat de "strong-crypto niet is geactiveerd. Deze sterke encryptie activeren is een aanrader om je Mikrotik router meer te beveiligen. Ook het regenereren van de host-key is een aanrader. De host-key vernieuw je het best indien je de Mikrotik router nieuw hebt aangekocht of indien je een Mikrotik router tweedehands hebt aangekocht. Dit draagt terug wat bij om meer veiligheid te creëren. Bij het resetten van de Mikrotik router met of zonder default configuratie zorg er steeds voor dat de strong-crypto geactiveerd is. Bij een reset van een Mikrotik router moet je de strong-crypto terug gaan instellen. 

secure your Mikrotik router

Wijzig de default SNMP community om je Mikrotik router beveiliging te optimaliseren

Ieder netwerk toestel kan worden gemonitord met verschillende software. Hiervoor wordt gebruik gemaakt van verschillende monitor software. Om er enkele op te noemen: IcingaNagios maar Mikrotik heeft ook zijn eigen monitor software. De naam hiervan is The Dude. Wat de naam ook is van deze monitor software. Deze maken allemaal gebruik van SNMP om de status van de netwerktoestellen te gaan ophalen. En hier schuilt ook het gevaar op misbruik indien deze wordt ingeschakeld. In het laatste deel van video één zie je hoe je dit gevaar kan beperken. Dit door een andere trap community te gebruiken dan de publieke. Alle bovenstaande Mikrotik beveiligingen kan je zien in de onderstaande video. Op deze manier krijg je een beter beeld over de Mikrotik router beveiliging. Maar er zijn nog onderwerpen waar je dient rekening mee te houden. Vergeet niet dat je uw switch ook kan beveiligen tegen ongeoorloofde toegang op je netwerk. Dit kan door middel van Dot1x. Hoe je Dot1x configureert kan je hier uitgebreid bekijken.

Wat zijn de belangrijkste stappen om je Mikrotik router te beveiligen

In deze eerste video over het beveiligen van de Mikrotik router overloop ik de stappen die je het best kan toepassen indien je uw router in bedrijf wil stellen. Veel onwetende mensen sluiten de Mikrotik router aan op het internet zonder eerst te kijken wat ze moeten doen. Deze video brengt daar verandering in. Om deze te bekijken klik op het nummer 1, voor de volgende video op nummer 2 enz. Deze 


Wat zijn de belangrijkste stappen en firewall rules om je Mikrotik router te beveiligen

In deze gelijkaardige video geef ik terug de raad om je Mikrotik router niet direct op het internet te plaatsen maar ik ga hier toch wat meer stappen gaan tonen in verband met de draadloze beveiliging. Maar dit niet alleen want je krijgt hier te zien hoe je door middel van firewall rules je router meer kan beschermen. Dit is zeker een meerwaarde deze te kennen. Ik raad je aan om ook deze video volledig door te nemen.


Gebruik port knocking voor extra veiligheid bij het inloggen op je router

Om de Mikrotik router nog beter te beveiligen ga ik port knocking configureren. Port knocking zorgt ervoor dat een dicht staande poort wordt geopend bij het gebruik van een juiste combinatie van netwerkpoorten. Ik moet bij wijze van spreken eerst gaan aankloppen bij de Mikrotik router. Dit met een zogenaamde cijfercode, anders gaat de Winbox poort niet open. Veel wil ik hierover niet kwijt. Bekijk deze tutorial en alles wordt duidelijk. Dit wil ook zeggen dat de poortscanners geen enkele poort open ziet staan. En dit heeft een groot voordeel. Zie dit niet als de optimale beveiliging maar hiermee maken we het de kwaadwilligen nog wat moeilijker.


Begrijp de Mikrotik firewall filter chains INPUT, FORWARD en OUTPUT

Leer de Mikrotik firewall filter basis begrijpen. Wat betekent de chain input, forward en output precies. In deze uiteenzetting leer je wat deze chains zijn en hoe je ze moet gebruiken. De Mikrotik router beveiligen kan uitsluitend gebeuren indien je kennis hebt van deze basis firewall filter rules.


Begrijp nog meer de Mikrotik firewall filter rules

Leer de Mikrotik firewall filter rules meer begrijpen aan de hand van wat firewall filter toepassingen. Deze video zal je zeker helpen om nog meer begrip te krijgen bij het beveiligen van de Mikrotik router. Dit is eveneens een aanrader om deze te bekijken.


Besluit

Je ziet dat de Mikrotik router beveiligen meer inhoud dan alleen maar de login te veranderen. Denk aan deze geziene punten zodat je uw Mikrotik en niet te vergeten je netwerk beveiligd op de juiste manier. Indien je uw Mikrotik switch wil beveiligen met dot1x kan je dit ook nalezen en bekijken in deze blogpost genaamd; "Mikrotik dot1x configuratie". Deze configuratie kan uitsluitend worden uitgevoerd indien je router is uitgerust met RouterOS v7 en de vernieuwde UserManager.

Blijf op de hoogte van nieuwe video tutorials

Deze website maakt gebruik van cookies. Door deze site te blijven gebruiken, accepteert u het gebruik van deze cookies.