Deel dit onderwerp alstublieft!

Mikrotik Winbox

Mikrotik Winbox is een Mikrotik router beheer programma waarmee je de routers kan configureren.

Doch je kan met Mikrotik Winbox niet alleen configureren. Je kan namelijk al je routers gaan opslaan in een lijst.
Dit om later door één simpele klik op een bepaalde regel terug in te loggen.

Mensen die Mikrotik Winbox dagelijks gebruiken om de routers te configureren moeten rekening houden met een veiligheid issue.

Gebruik eerst en vooral altijd de recentste versie van Winbox. Deze kan je op de
Mikrotik website downloaden. Anderzijds heeft Mikrotik een ingebouwde updater in Winbox toegevoegd.

Bij gebruik van Mikrotik Winbox in een professionele omgeving moet je rekening houden met veiligheidsmaatregelen

Bij gebruik van Mikrotik Winbox in een professionele omgeving moet je toch rekening houden met enkele veiligheidsmaatregelen. Als je niet uitkijkt hoe je Winbox gebruikt, kan dit namelijk risico's aan je netwerk toevoegen. Dit kan natuurlijk de bedoeling niet zijn.

Ten tweede moet je begrijpen dat opgeslagen routers in Winbox kunnen worden misbruikt. Dit omdat je de inlog gegevens kan ingeven en zodoende automatisch
kan inloggen.  

Ten derde moet je de beste veiligheidsmaatregelen implementeren voor het beheren van inlog gegevens in Winbox.

Indien je een laptop of computer hebt waar Winbox op staat kan iemand door middel van één klik Winbox openen. 
Dit met als gevolg dat iedereen op een bepaalde ingegeven router kan dubbelklikken en inloggen.

Stel een Winbox hoofd wachtwoord in om je routers te beveiligen

Je kan daarvoor een hoofdwachtwoord instellen zodat een wachtwoord is vereist voordat de beheerde Mikrotik routers worden weergegeven.
Klik daarvoor op hoofd wachtwoord instellen en voer twee maal een wachtwoord in.

Wanneer Winbox nu wordt geopend, wordt eerst om het hoofd wachtwoord gevraagd. En dit voordat je toegang krijgt tot de inloggegevens van de beheerde routers.

Na het ingeven van al je beheerde Mikrotik routers nemen veel Mikrotik gebruikers een export van Winbox

Na het opslaan van een hoop beheerde Mikrotik routers exporteren veel Mikrotik gebruikers de lijst voor back-updoeleinden.
 
Hoewel dit zeer handig is zit hier wel een addertje onder het gras. Veel Mikrotik gebruikers zijn daar niet van op de hoogte maar ik leg het even uit.

Een export bewaar je het best in een versleutelde omgeving want...

De Winbox export bevat een zeer groot beveiligingsrisico. Dit als de export .WBX file kan worden bemachtigd door kwaadwilligen. Lees dus dit artikel zeker verder.
 
Het exporteren van je beheerde routers kan worden gedaan door te klikken op Extra en vervolgens te exporteren.
Het geëxporteerde .WBX bestand bevat al de inloggegevens, waardoor het gemakkelijk is om de opgeslagen vermeldingen in Winbox te herstellen.

Doch dit kan echter gevaarlijk zijn, omdat het geëxporteerde .WBX bestand in leesbare tekst is weggeschreven.

Je kan vervolgens het .WBX bestand openen in een meer geavanceerde teksteditor zoals Notepad ++

Deze toont namelijk de IP-adressen of host namen, en zelfs de gebruikersnamen en wachtwoorden. Daarom draagt deze export een zeer groot beveiligingsrisico met zich mee.  

Door het vakje “wachtwoord vergeten” uit te schakelen, kan je dit gedeeltelijk voorkomen. 

Exporteren zonder paswoorden is maar de halve veiligheid

Doch exporteren zonder paswoorden exporteert inderdaad geen wachtwoorden voor een beheerde router. Dus het is een veiligere optie. Maar niet waterdicht.
Natuurlijk zal de export er nog steeds voor zorgen dat gebruikersnamen wordt geëxporteerd.

Dit kan de aanvaller in staat stellen om een wachtwoord brute-force aanval uit te voeren. En dit terwijl hij de gebruikersnamen al weet.

Enkele belangrijke raadgevingen in verband met Mikrotik Winbox

  • Op computers met inloggegevens opgeslagen in Winbox vergrendelt u het best je scherm wanneer u weggaat.
  • Stel een hoofdwachtwoord in dat moet worden ingevoerd voordat u toegang krijgt tot de beheerde Mikrotik routers.
  • Gebruik geen wachtwoorden bij het exporteren van de aangemaakte beheer lijst.
  • check
    Deel het .WBX-export bestand niet met anderen indien het niet noodzakelijk is.
  • check
    Als je toch wachtwoorden in het geëxporteerde WBX-bestand moet hebben, codeert u deze met een robuuste sleutel.
  • check
    Kijk regelmatig of er geen Winbox upgrades zijn.

Is Mikrotik Winbox veilig om de routers te configureren?

Het antwoord is ja, indien je zeker rekening houd met de Winbox upgrades.

Om veiligheidsredenen is Winbox.exe ondertekend met een Extended Validation-certificaat, uitgegeven door SIA Mikrotīkls (MikroTik).
WinBox gebruikt ECSRP voor sleuteluitwisseling en authenticatie. Dit vereiste namelijk een nieuwe en veiligere versie.

Beide partijen, zowel Winbox als de Mikrotik routers verifiëren elkaar zodat geen enkele man in de middel aanval mogelijk is.

Winbox in RoMON-modus vereist dat deze agent de nieuwste versie is om verbinding te kunnen maken met de nieuwste versie van de Mikrotik routers.

Winbox gebruikt vervolgens  AES128-CBC-SHA als versleutelingsalgoritme (vereist Winbox-versie 3.14 of hoger).
Dit resulteert in een hogere beveiligingsgraad waardoor misbruik wordt tegen gegaan. 

Login op je router met Mikrotik Winbox

mikrotik winbox

Sluit een netwerkkabel aan op de pc/laptop waar Winbox is op geconfigureerd. Gebruik alle ethernet poorten maar niet de ether1 poort. 
Waarom niet?  Omdat de ether1 poort bij de default configuratie de WAN aansluiting is. Deze is namelijk beveiligd door de firewall waardoor je niet kan verbinden met Winbox.

Voer het programma verder uit door op het Winbox logo te klikken. De Winbox-tool moet uw router vinden en zijn MAC-adresweergeven.

Wat is beter om in te loggen met winbox, op Mac of IP-adres?

Het is altijd raadzaam om een IP-adres te configureren op de interface waarmee u gaat verbinden. Hoedat zo?

Zodra je een geldig IP-adres op de router hebt dat bereikbaar is door je pc of laptop moet je Winbox sluiten en opnieuw opstarten.


Vervolgens log je verder in met het bereikbare IP-adres waardoor je een stabielere verbinding krijgt.
Waarom vraag je je misschien af ik leg het even uit.

Inloggen via de Mac-laag wordt uitgevoerd via het broadcast-verkeer op layer2.
Inloggen op MAC-adres is niet zo betrouwbaar en daardoor zal je de verbinding met je routerboard af en toe verliezen.

Daar komt nog eens bij dat hackers ondanks je de router hebt afgeschermd met de firewall, toch verbinding kan maken op de router via het MAC-adres.

Mag je dan niet met MAC-adres verbinden? ja in geval van nood kan dit immers de enige oplossing zijn om je router te bereiken.

Doch betreft veiligheid is dit geen aanrader.

Bekijk aandachtig de Mikrotik Winbox video tutorial en ontdek een veiligheidsprobleem