Użytkownik może zarządzać dostępem do usług IP działających w systemie Mikrotik RouterOS poprzez wyłączanie niewykorzystywanych usług lub też ograniczanie dostępu do nich. Często o tym zapominamy, a jest to naprawdę szeroko otwarta furtka do naszego systemu, a następnie całej sieci. Zastanówmy się czy administrujemy naszym systemem poprzez przeglądarkę WWW. W większości przypadków odpowiemy sobie że sporadycznie lub wcale. Po zainstalowaniu, system Mikrotik RouterOS uruchamia się z domyślnie włączonymi usługami TELNET, FTP, WWW, SSH :

[admin@MikroTik] > ip service print
Flags: X - disabled, I - invalid
 #   NAME                      PORT  ADDRESS             CERTIFICATE
 0   telnet                    23    0.0.0.0/0        
 1   ftp                       21    0.0.0.0/0        
 2   www                       80    0.0.0.0/0        
 3   ssh                       22    0.0.0.0/0        
 4 X www-ssl                   443   0.0.0.0/0           none
    Jeśli korzystamy z usługi SSH to wyłączmy TELNET i ograniczmy dostęp do SSH poprzez przypisanie konkretnego adresu IP z którego można będzie wykonać połączenie. Należy także przenieść SSH na wysoki niestandardowy port. Taka zmiana w niczym nam nie zaszkodzi, ale potencjalnemu napastnikowi już tak. Szczególnie mam tu na myśli roboty skanujące sieć Internet w celu odnalezienia otwartych standardowych portów.
    Jeśli usługa SSH pracuje na domyślnym porcie 22 a nasz system ma przypisany publiczny adres IP to w logach systemowych możemy często zaobserwować próbę ataku słownikowego.

[admin@MikroTik] > log print

jun/19/2008 02:34:38 system,error,critical login failure for
user workshop from 221.124.0.130 via ssh
jun/19/2008 02:34:42 system,error,critical login failure for
user mailnull from 221.124.0.130 via ssh
jun/19/2008 02:34:46 system,error,critical login failure for
user nfsnobody from 221.124.0.130 via ssh
jun/19/2008 02:34:50 system,error,critical login failure for
user rpcuser from 221.124.0.130 via ssh
jun/19/2008 02:34:55 system,error,critical login failure for
user rpc from 221.124.0.130 via ssh
jun/19/2008 02:34:59 system,error,critical login failure for
user gopher from 221.124.0.130 via ssh
• Zmienimy standardowy port 22 usługi SSH na port 2002 i nadamy prawo do pracy w systemie z adresu 10.0.0.100:

[admin@MikroTik] ip service> set ssh port 2222 address=10.0.0.100

[admin@MikroTik] ip service> print
Flags: X - disabled, I - invalid
 #   NAME                       PORT  ADDRESS            CERTIFICATE
 0 X telnet                     23    0.0.0.0/0        
 1   ftp                        21    0.0.0.0/0        
 2 X www                        80    0.0.0.0/0        
 3   ssh                        2002  10.0.0.100/32    
 4 X www-ssl                    443   0.0.0.0/0          none
• Wyłączmy teraz usługę WWW i TELNET w naszym systemie:

[admin@MikroTik] > ip service disable www

[admin@MikroTik] > ip service disable telnet

[admin@MikroTik] > ip service print     
Flags: X - disabled, I - invalid
 #   NAME                       PORT  ADDRESS            CERTIFICATE
 0 X telnet                     23    0.0.0.0/0        
 1   ftp                        21    0.0.0.0/0        
 2 X www                        80    0.0.0.0/0        
 3   ssh                        2002  10.0.0.100/32       
 4 X www-ssl                    443   0.0.0.0/0          none
W każdej chwili, jeśli zajdzie taka potrzeba, możemy każdą usługę aktywować wydając przykładowe polecenie - /ip service enable  www

    Następna sprawa - często bagatelizowana przez administratorów - to możliwość dostępu do systemu Mikrotik RouteOS poprzez MAC adres interfejsu platformy sprzętowej. Do połączenia z systemem poprzez MAC adres możemy użyć aplikacji Neighbor Viewer lub Winbox dla systemu Windows. Połączenie to możemy także zainicjować z samego systemu Mikrotik RouterOS poprzez polecenie /tool mac-telnet

• Poleceniem /tool mac-server możemy kontrolować możliwość dostępu do systemu poprzez MAC telnet.

[admin@MikroTik] > tool mac-server print
Flags: X - disabled
 #   INTERFACE  
 0   all       
Jak widzimy połączenie MAC Telnet możemy wykonać z każdym fizycznym interfejsem który jest aktywny i dostępny w systemie. Poniższą komendą usuniemy tę możliwość:

[admin@MikroTik] > tool mac-server remove 0

[admin@MikroTik] > tool mac-server print 
Flags: X - disabled
 #   INTERFACE  
• Poleceniem /tool mac-server mac-winbox możemy kontrolować możliwość dostępu do systemu poprzez Winbox.

{hidefrom=registered}( ... )

Pełna treść tego artykułu zarezerwowana jest dla zarejestrowanych użytkowników AkademiaWiFi.pl


{mosloadposition advert1} {/hidefrom}{viewonly=registered}
[admin@MikroTik] > tool mac-server mac-winbox print  
Flags: X - disabled
 #   INTERFACE  
 0   all       
    Poniższe polecenia ustawią w systemie Mikrotik RouterOS możliwość dostępu do systemu tylko poprzez interfejs ether1 :

[admin@MikroTik] > tool mac-server mac-winbox disable 0
[admin@MikroTik] > tool mac-server mac-winbox print   
Flags: X - disabled
 #   INTERFACE  
 0 X all        

[admin@MikroTik] > tool mac-server mac-winbox add interface=ether1 disabled=no
[admin@MikroTik] > tool mac-server mac-winbox print                           
Flags: X - disabled
 #   INTERFACE  
 0 X all        
 1   ether1    
{/viewonly}

Our website is protected by DMC Firewall!