在我们现实生活中,路由器几乎是所有设备入网的关口。如果我们的路由器受到攻击,所有联网的设备都可能受到攻击,包括电脑、手机、智能设备等。
RouterOS概述
今天我们主要讲一下Mikrotik RouterOS,以下简称ROS,我们在购买ROS或搭建ROS后,需要对安全进行一个简单的加固。
再来进行一个扫盲,简单来讲,Mikrotik 软路由器厂商,该公司位于拉脱维亚。而RouterOS,就是该公司的最核心产品,有软件、也有硬件。引用官网的一段话:
MikroTik RouterOS是一种路由操作系统,并通过该软件将标准的PC电脑变成专业路由器,在软件的开发和应用上不断的更新和发展,软件经历了多次更新和改进,使其功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能,其极高的性价比,受到许多网络人士的青睐。RouterOS在具备现有路由系统的大部分功能,能针对网吧、企业、小型ISP接入商、社区等网络设备接入,基于标准的x86构架的PC。
安全加固建议
ROS可以大致从以下几个方面来加固安全:
1、禁止外网Ping
2、禁用默认账号(admin)
3、设置强密码
4、白名单登录
5、其他
接下来我们把这些步骤全部写出来,让大家一看就懂,一操作就会。
安全加固设置
1、禁止外网Ping
禁Ping是一种最常见的安全措施,可以防止“攻击者”通过Ping扫描来确定您的网络是否存在。可通过以下步骤来禁止外网Ping:
1)登录到Mikrotik RouterOS的管理界面。
2)进入"IP"菜单下的"Firewall"子菜单。
3)在"Firewall Rules"选项卡下,创建一个新的规则。
4)设置"Chain"为"input",“Protocol"为"icmp”。
5)在"Action"设置中选择"drop",即丢弃所有传入的icmp流量。
6)保存并应用规则
2、禁用默认账号(admin)
可通过2种办法来禁用admin,一是直接禁用,使用其他管理员账号登录维护;二是直接修改admin,这样即系统无admin账号;
我们使用第一种方式来演示:
1)登录到Mikrotik RouterOS的管理界面。
2)进入"System"菜单下的"Users"子菜单。
3)找到默认的管理员账号"admin",点击编辑按钮。
4)在"Name"字段中输入一个新的管理员账号名称。
5)保存修改。
3、设置强密码
任何系统的管理员密码都是非常重要的,强密码对于 Mikrotik RouterOS更是如此。为了确保密码的安全性,建议设置一个高强度的管理员密码。以下是一些创建高强度密码的建议:
1)使用至少16个字符的密码,包括大写字母、小写字母、数字和特殊字符3种以上组合。
2)避免使用常见的密码,如"123456"、"password"、“admin”等。
3)定期更改管理员密码,以防止密码泄露,建议3个月修改一次。
管理人员通过设置高强度管理员密码,可以提高系统的安全性,减少密码被破解的风险。
4、白名单登录
ROS本身支持“白名单”或“黑名单”,为了进一步增加系统的安全性,您可以限制允许登录Mikrotik RouterOS的IP网段。
通过限制允许登录的IP网段,您可以防止未经授权的访问尝试。例如只允许办公室IP连接ROS,其他全部DROP。
以下是一些限制允许登录的IP网段的步骤:
1)登录到 ROS 的管理界面。
2)进入"IP" 菜单下的"Services"子菜单。
3)找到"Winbox"服务,点击编辑按钮。
4)在"Allowed Addresses"字段中输入允许登录的IP网段,多个网段之间使用逗号分隔。
5)保存修改。
5、其他
除了上面4台,还有很多其他需要注意的点,例如关闭不必要的服务端口、禁用MAC地址登录、禁止SSH登录并限制允许的IP地址等等。
以上几点的设置,大家可以自行测试,如果还是不行,可网上搜索或留言。
引用资料
6248
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
