{"id":512,"date":"2020-11-14T22:00:14","date_gmt":"2020-11-14T21:00:14","guid":{"rendered":"https:\/\/www.main.tk\/?page_id=512"},"modified":"2021-05-22T09:53:50","modified_gmt":"2021-05-22T07:53:50","slug":"podstawowe-zabezpieczenie-routera","status":"publish","type":"page","link":"http:\/\/www.main.tk\/?page_id=512","title":{"rendered":"Podstawowe zabezpieczenie routera"},"content":{"rendered":"\n

Wst\u0119p<\/span><\/h2>\n\n\n\n

Fabryczne ustawienia router\u00f3w Mikrotik s\u0105 powszechnie znane, podobnie jak i innych marek. Dlatego nale\u017cy pozmienia\u0107 podstawowe ustawienia, aby uniemo\u017cliwi\u0107 niepowo\u0142ane dzia\u0142ania. Tym zajmiemy si\u0119 w poni\u017cszym opisie.<\/p>\n\n\n\n

Zmiana u\u017cytkownika admin<\/strong><\/em><\/span><\/h2>\n\n\n\n

Standardowo w ka\u017cdym Mikrotik mamy jednego u\u017cytkownika z pe\u0142nymi prawami i nazywa si\u0119 on admin<\/span><\/em>. Jest to jedna z pierwszych rzeczy jakie nale\u017cy zmieni\u0107.<\/p>\n\n\n\n

\"\"
Domy\u015blny u\u017cytkownik admin <\/strong>nie mo\u017ce egzystowa\u0107 w systemie<\/span><\/em><\/figcaption><\/figure>\n\n\n\n

Musimy wy\u0142\u0105czy\u0107 tego u\u017cytkownika, zaraz po tym jak utworzymy sobie nowego u\u017cytkownika z pe\u0142nymi uprawnieniami. Ten nowy u\u017cytkownik musi mie\u0107 niepowtarzaln\u0105 nazw\u0119, a has\u0142o nale\u017cycie z\u0142o\u017cone i d\u0142ugie.<\/p>\n\n\n\n

Ponadto przy dodawaniu niestandardowych u\u017cytkownik\u00f3w mo\u017cemy u\u015bci\u015bli\u0107 ich prawa, np. tylko do odczytu konfiguracji – read<\/span><\/em> lub do zapisu – write<\/span><\/em> lecz pozbawionych pewnych funkcji jak np. tworzenia u\u017cytkownik\u00f3w itp. Mo\u017cliwym jest tak\u017ce okre\u015blenie z jakiego lub jakiej puli adres\u00f3w dany u\u017cytkownik mo\u017ce si\u0119 logowa\u0107.<\/p>\n\n\n\n

\"\"
Nowy u\u017cytkownik mo\u017ce mie\u0107 okre\u015blone prawa, \u0142\u0105cznie z pul\u0105 adresow\u0105 z jakiej si\u0119 mo\u017ce \u0142\u0105czy\u0107<\/span><\/em><\/figcaption><\/figure>\n\n\n\n

Wy\u0142\u0105czenie niepotrzebnych us\u0142ug<\/span><\/h2>\n\n\n\n

Nieu\u017cywane us\u0142ugi obs\u0142ugiwane standardowo przez router jest konicznym z kilku powod\u00f3w. Najwa\u017cniejszym jest jego bezpiecze\u0144stwo, kt\u00f3rym si\u0119 teraz zajmujemy.<\/p>\n\n\n\n

Dlatego za pomoc\u0105 menu IP -> Services<\/span><\/em> wy\u0142\u0105czymy niepotrzebne, nieu\u017cywane us\u0142ugi.<\/p>\n\n\n\n

\"\"
W\u0142\u0105czona pozosta\u0142a tylko us\u0142uga dla po\u0142\u0105cze\u0144 z WinBox oraz po\u0142\u0105cze\u0144 poprzez https<\/span><\/em><\/figcaption><\/figure>\n\n\n\n

Us\u0142ug\u0119 \u0142\u0105czenia poprzez http r\u00f3wnie\u017c wy\u0142\u0105czamy, a pozostawiamy lub te\u017c wy\u0142\u0105czamy do czasu, us\u0142ug\u0119 \u0142\u0105czenia poprzez https<\/em>. Po utworzeniu certyfikat\u00f3w na routerze i podpisaniu ich uzyskamy mo\u017cliwo\u015b\u0107 po\u0142\u0105cze\u0144 szyfrowanych z routerem za pomoc\u0105 protoko\u0142u SSL<\/em><\/a>. Przy czym nale\u017cy w\u00f3wczas wykluczy\u0107, przez zaznaczenie only v 1.2<\/em> (dost\u0119pne dopiero w ostatnich wersjach Router OS)<\/em>, u\u017cywanie nieaktualizowanych przegl\u0105darek, kt\u00f3re umo\u017cliwiaj\u0105 korzystanie ze zdezaktualizowanych protoko\u0142\u00f3w SSL<\/em><\/a>. Tworzenie certyfikat\u00f3w b\u0119dzie uj\u0119te w opisie o tworzeniu i uruchamianiu serwera openVPN<\/a><\/em> na Mikrotik.<\/p>\n\n\n\n

Wy\u0142\u0105czenie dost\u0119pu poprzez MAC<\/span><\/h2>\n\n\n\n

Standardowo Mikrotik ma w\u0142\u0105czony serwer MAC, kt\u00f3ry umo\u017cliwia po\u0142\u0105czenie si\u0119 z routerem, kt\u00f3ry nie posiada domy\u015blnego adresu IP, co ma miejsce po resecie routera bez za\u0142adowania domy\u015blnej konfiguracji.<\/p>\n\n\n\n

Aby ograniczy\u0107 dost\u0119p do serca sieci nale\u017cy poczyni\u0107 poni\u017csze kroki.<\/p>\n\n\n\n

Wybieramy Tools -> MAC Server<\/em><\/span> i klikamy na MAC Telnet Server<\/span><\/em>. Zmieniamy all<\/span><\/em> na none<\/span><\/em>.<\/p>\n\n\n\n

\"\"
Zmieniamy all na none<\/span><\/em><\/figcaption><\/figure>\n\n\n\n

Kolejno wybieramy MAC WinBox Server<\/span><\/em> i zmieniamy all<\/span><\/em> na none<\/em><\/span>.<\/p>\n\n\n\n

\"\"
Podobnie jak powy\u017cej<\/span><\/em><\/figcaption><\/figure>\n\n\n\n

Ostatnim elementem, kt\u00f3ry zmienimy jest brak odpowiedzi na pingi po adresie sprz\u0119towym.<\/p>\n\n\n\n

\"\"
Wy\u0142\u0105czamy MAC ping<\/span><\/em><\/figcaption><\/figure>\n\n\n\n

Podsumowanie<\/span><\/h2>\n\n\n\n

W tych prostych krokach uczynili\u015bmy nasz router Mikrotik zdecydowanie bardziej bezpiecznym. Zapraszam do innych opis\u00f3w.<\/p>\n","protected":false},"excerpt":{"rendered":"

Wst\u0119p Fabryczne ustawienia router\u00f3w Mikrotik s\u0105 powszechnie znane, podobnie jak i innych marek. Dlatego nale\u017cy pozmienia\u0107 podstawowe ustawienia, aby uniemo\u017cliwi\u0107 niepowo\u0142ane dzia\u0142ania. Tym zajmiemy si\u0119 w poni\u017cszym opisie. Zmiana u\u017cytkownika admin Standardowo w ka\u017cdym Mikrotik mamy jednego u\u017cytkownika z pe\u0142nymi prawami i nazywa si\u0119 on admin. Jest to jedna z pierwszych rzeczy jakie nale\u017cy zmieni\u0107. Musimy wy\u0142\u0105czy\u0107 tego u\u017cytkownika, zaraz po tym jak utworzymy sobie […]<\/p>\n","protected":false},"author":2,"featured_media":0,"parent":434,"menu_order":0,"comment_status":"open","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-512","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"http:\/\/www.main.tk\/index.php?rest_route=\/wp\/v2\/pages\/512","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/www.main.tk\/index.php?rest_route=\/wp\/v2\/pages"}],"about":[{"href":"http:\/\/www.main.tk\/index.php?rest_route=\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"http:\/\/www.main.tk\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/www.main.tk\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=512"}],"version-history":[{"count":17,"href":"http:\/\/www.main.tk\/index.php?rest_route=\/wp\/v2\/pages\/512\/revisions"}],"predecessor-version":[{"id":1438,"href":"http:\/\/www.main.tk\/index.php?rest_route=\/wp\/v2\/pages\/512\/revisions\/1438"}],"up":[{"embeddable":true,"href":"http:\/\/www.main.tk\/index.php?rest_route=\/wp\/v2\/pages\/434"}],"wp:attachment":[{"href":"http:\/\/www.main.tk\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=512"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}