Deel dit onderwerp alstublieft!

Mikrotik Winbox

Mikrotik Winbox is een door Mikrotik ontworpen programma waarmee je de Mikrotik routers volledig kan instellen en configureren. Winbox is uiteraard alleen te gebruiken bij Mikrotik routers. Maar dit is nog niet alles wat je met het programma Winbox kan doen.

Je kan met Mikrotik Winbox niet alleen configureren. Je kan ook al je Mikrotik routers gaan opslaan in een lijst. Door middel van deze lijst kan je eenvoudig inloggen. En je krijgt ook een beter overzicht van al je routers die je beheert.


Ook is er in Mikrotik Winbox een discovery tool ingebouwd waarmee je naar Mikrotik routers kan gaan scannen. Dit gebeurd op de layer2 laag van het OSI model.
Dat wil zeggen dat de discovery tool geen routers zal vinden die zich in een andere netwerksegmenten bevindt.

Indien je Mikrotik Winbox gebruikt in een professionele omgeving neem dan veiligheidsmaatregelen

Bij gebruik van Mikrotik Winbox in een professionele omgeving moet je toch rekening houden met enkele veiligheidsmaatregelen. Als je niet uitkijkt hoe je Winbox gebruikt, kan dit namelijk veiligheidsrisico's aan je netwerk toevoegen. En dit kan uiteraard de bedoeling niet zijn.

Je moet begrijpen dat in Winbox opgeslagen routers kunnen worden misbruikt. Dit omdat je dan toegang krijgt tot de opgeslagen inlog gegevens.
Op deze manier kan iemand die toegang heeft tot je pc of laptop waar Winbox opstaat gemakkelijk op de Mikrotik routers inloggen.

Je zal veiligheidsmaatregelen moeten nemen zodat onbevoegde personen geen toegang krijgen tot de Winbox gegevens. Want anders word inloggen zeer gemakkelijk.

Stel een Winbox hoofd wachtwoord in om je routers te beveiligen

Je kan daarvoor een hoofdwachtwoord instellen zodat een wachtwoord is vereist voordat de beheerde Mikrotik routers worden weergegeven.
Klik daarvoor op hoofd wachtwoord instellen en voer twee maal een wachtwoord in.

Wanneer Winbox nu wordt geopend, wordt eerst om het hoofd wachtwoord gevraagd. En dit voordat je toegang krijgt tot de inloggegevens van de beheerde routers.

Na het ingeven van al je beheerde Mikrotik routers nemen veel Mikrotik gebruikers een export van Winbox

Na het opslaan van een hoop beheerde Mikrotik routers exporteren veel Mikrotik gebruikers de lijst voor back-updoeleinden.
 
Hoewel dit zeer handig is zit hier wel een addertje onder het gras. Veel Mikrotik gebruikers zijn daar niet van op de hoogte maar ik leg het even uit.

Een export bewaar je het best in een versleutelde omgeving want...

De Winbox export bevat een zeer groot beveiligingsrisico. Dit als de export .WBX file kan worden bemachtigd door kwaadwilligen. Lees dus dit artikel zeker verder.
 
Het exporteren van je beheerde routers kan worden gedaan door te klikken op Extra en vervolgens te exporteren.
Het geëxporteerde .WBX bestand bevat al de inloggegevens, waardoor het gemakkelijk is om de opgeslagen vermeldingen in Winbox te herstellen.

Doch dit kan echter gevaarlijk zijn, omdat het geëxporteerde .WBX bestand in leesbare tekst is weggeschreven.

Je kan vervolgens het .WBX bestand openen in een meer geavanceerde teksteditor zoals Notepad ++

Deze toont namelijk de IP-adressen of host namen, en zelfs de gebruikersnamen en wachtwoorden. Daarom draagt deze export een zeer groot beveiligingsrisico met zich mee.  

Door het vakje “wachtwoord vergeten” uit te schakelen, kan je dit gedeeltelijk voorkomen. 

Exporteren zonder paswoorden is maar de halve veiligheid

Doch exporteren zonder paswoorden exporteert inderdaad geen wachtwoorden voor een beheerde router. Dus het is een veiligere optie. Maar niet waterdicht.
Natuurlijk zal de export er nog steeds voor zorgen dat gebruikersnamen wordt geëxporteerd.

Dit kan de aanvaller in staat stellen om een wachtwoord brute-force aanval uit te voeren. En dit terwijl hij de gebruikersnamen al weet.

Enkele belangrijke raadgevingen in verband met Mikrotik Winbox

  • Op computers met inloggegevens opgeslagen in Winbox vergrendelt u het best je scherm wanneer u weggaat.
  • Stel een hoofdwachtwoord in dat moet worden ingevoerd voordat u toegang krijgt tot de beheerde Mikrotik routers.
  • Gebruik geen wachtwoorden bij het exporteren van de aangemaakte beheer lijst.
  • check
    Deel het .WBX-export bestand niet met anderen indien het niet noodzakelijk is.
  • check
    Als je toch wachtwoorden in het geëxporteerde WBX-bestand moet hebben, codeert u deze met een robuuste sleutel.
  • check
    Kijk regelmatig of er geen Winbox upgrades zijn.

Is Mikrotik winbox gebruiken veilig om de routers te configureren?

Het antwoord is simpel "ja" indien je steeds met de laatste nieuwe Winbox aan de slag gaat. Controleer regelmatig op Winbox updates.

Om veiligheidsredenen is het programma Winbox  ondertekend met een Extended Validation-certificaat, uitgegeven door SIA Mikrotīkls (MikroTik).
WinBox gebruikt ECSRP voor sleuteluitwisseling en authenticatie. Deze nieuwe beveiliging is geïmplementeerd  in de nieuwe en veiligere Winbox versie.

Beide partijen, zowel Winbox als de Mikrotik routers verifiëren elkaar. Op deze manier kan geen man in de middel aanval meer worden uitgevoerd.

Winbox maakt gebruik van  het AES128 - CBC - SHA versleutelingsalgoritme en vereist Winbox versie 3.14 of hoger. Dit resulteert in een hogere beveiligingsgraad. 

Mikrotik Winbox gebruiken om op je Mikrotik router in te loggen

mikrotik winbox

Mikrotik winbox gebruiken doe je door de bovenstaande afbeelding eerst uit te voeren. Dit om een verbinding te bewerkstelligen tussen de router en de laptop.
Sluit een netwerkkabel aan op de laptop waar Winbox opstaat. Om de Mikrotik router aan te sluiten mag je alle ethernet poorten gebruiken uitgezonderd ether1.
 
Waarom niet?  Omdat de ether1 poort bij de default configuratie de WAN aansluiting is. Deze is namelijk beveiligd door de firewall waardoor je niet kan verbinden met Winbox. Niemand hoeft toegang te hebben tot je Mikrotik router via de WAN poort. Dit is een groot veiligheidsrisico. Hier zie je hoe je de router beter kunt  beveiligen. 

Nu kan je Mikrotik Winbox gebruiken. Klik op het Winbox icoon om Winbox te openen. Het Winbox programma zal nu een discovery uitvoeren. De gevonden Mikrotik routers zie je dan tevoorschijn komen.

Wat is beter om in te loggen met winbox, op Mac of IP-adres?

Het is altijd raadzaam om een IP-adres te configureren op de interface waarmee u gaat verbinden. Hoedat zo?
Zodra je een geldig IP-adres op de router hebt dat bereikbaar is door je pc of laptop moet je Winbox sluiten en opnieuw opstarten.

Door in te loggen op het IP-adres krijg je een stabielere verbinding die niet steeds wegvalt. Waarom vraag je je misschien af ik leg het even uit.

Inloggen via de Mac-laag wordt uitgevoerd via het
broadcast-verkeer die wordt verzonden op de layer2 van de OSI laag.
Inloggen op MAC-adres is niet zo betrouwbaar en daardoor zal je de verbinding met je Mikrotik router af en toe verliezen. Op zich geen groot probleem maar...

Daar komt nog eens bij dat hackers ondanks je de router hebt afgeschermd met de firewall, toch verbinding kan maken op de router via het MAC-adres.
Mag je dan niet met MAC-adres verbinden? ja in geval van nood kan dit immers de enige oplossing zijn om je router te bereiken.

Doch betreft veiligheid is dit geen aanrader.

Bekijk aandachtig de Mikrotik Winbox video tutorial en ontdek een veiligheidsprobleem 

Indien je Winbox goed begrijpt kan je eventueel eens een kijkje nemen hoe een Mikrotik basis configuratie te configureren. Dit is de beste leerschool om stilaan bekent te raken met de Mikrotik routers. Een tweede basis tutorial is hoe je de basis draadloze instellingen moet maken. 
Ik wens je alvast veel succes toe.