Mikrotik в офисе: что обязан знать IT-директор о безопасности своего роутера
Привет, я Семёнов Евгений Сергеевич, директор АйТи Фреш. С 2010 года мы занимаемся обслуживанием IT-инфраструктур московских компаний. За эти годы через мои руки прошли сотни офисов, и почти в каждом я видел роутер Mikrotik — это уже де-факто стандарт для бизнеса, без вариантов. Но вот какая штука: чаще всего его настроили один раз, когда заезжали в офис, и с тех пор про него напрочь забыли. А это очень зря! Mikrotik – любимая игрушка хакеров, и в моей практике десятки случаев, когда офисный роутер годами тихонько работал на чужой ботнет. Эта статья написана специально для вас, руководителя, чтобы вы наконец поняли, что на самом деле происходит в вашей сети.
Почему именно Mikrotik — мишень номер один
Mikrotik — это латвийская компания, которая делает очень функциональные роутеры, причём за очень разумные деньги. Знаете, они стоят буквально в каждом втором московском офисе, а уж в каждом первом провайдерском узле – так точно. И вот почему они становятся идеальной мишенью для хакеров: таких устройств в мире миллионы, RouterOS у всех одинаковая. Нашёл одну уязвимость — и вуаля, получил доступ к целой армии устройств одним эксплойтом. Это же рай для взломщиков!
Представьте, за последние семь лет в RouterOS обнаружили как минимум пять серьёзных уязвимостей, через которые можно было запросто захватить роутер удалённо. Помните самую громкую? Это CVE-2018-14847, та самая Winbox-уязвимость. Через неё за один день в 2018 году ботнет VPNFilter заразил по всему миру больше 200 тысяч устройств! А в 2023-м была история с CVE-2023-30799, которая позволяла поднять привилегии до root через обычный admin-аккаунт. И это, заметьте, только то, о чём нам известно публично, кто знает, что ещё скрывается.
Когда я впервые приезжаю на аудит к новому клиенту, у которого в офисе стоит Mikrotik, я смотрю не на настройки безопасности в первую очередь. Мой взгляд цепляется за признаки уже случившейся компрометации. Почему? Потому что вероятность, что роутер уже взломан, для тех, кого никто не обслуживает регулярно, — это где-то 30–40%. Просто представьте!
Признаки того, что ваш роутер уже взломали
Проверьте это сами, или, если не уверены, попросите вашего подрядчика. Если сработал хотя бы один пункт из списка, знайте: у вас проблема, и вмешиваться нужно срочно!
- Странные пользователи в системе. Кроме админа и одного-двух доверенных, ничего быть не должно. Имена типа «vpnservice», «system», «user1» — красные флаги.
- Незнакомые скрипты в планировщике. Разработчики хакеров любят прятать свои инструменты в шедулере, чтобы они автозапускались. Если в списке задач есть что-то, чего ни вы, ни ваш админ не помнит — копать.
- Включённые SOCKS или Web Proxy. Это режимы, которые в офисе обычно не нужны. Хакеры включают их, чтобы превратить ваш роутер в анонимайзер для своих дел.
- Подозрительные DNS-серверы. Если вместо провайдерских или 8.8.8.8 в настройках DNS висят какие-то российские или зарубежные IP, которых вы не помните — через них перехватывают ваш трафик.
- Странные правила NAT. Если есть правило, перенаправляющее порты с внешнего интерфейса на внутренние сервисы, которое вы не настраивали — это бэкдор.
- Жалобы провайдера. Если провайдер хоть раз присылал письмо «обнаружена подозрительная активность с вашего IP» — это серьёзный сигнал.
Хочу рассказать вам случай из прошлого квартала. Я проводил аудит для одной производственной компании в Подольске. Mikrotik у них стоял с 2019 года. Прежний подрядчик давно уволился, а новый только-только пришёл. Открываю я значит настройки, а там… пять чужих скриптов в шедулере, два неизвестных пользователя с полным доступом, SOCKS-прокси на нестандартном порту. И самое шокирующее: за месяц через этот роутер пролетело 1.7 терабайта неизвестного трафика. Получается, хакеры использовали офисный канал клиента для анонимизации своих атак как минимум полгода! К счастью, провайдер ещё не заблокировал их, но ведь мог бы в любой момент.
Базовый чек-лист безопасности Mikrotik
Что должен сделать ваш подрядчик? Это можно проверить, даже если вы совсем не разбираетесь в RouterOS. Просто запросите у него подробный письменный отчёт. Это ваше право!
| Шаг | Что делает | Зачем |
|---|---|---|
| 1. Смена пароля admin | Сложный пароль 16+ символов | Защита от подбора |
| 2. Удаление лишних пользователей | Только нужные аккаунты | Меньше точек входа |
| 3. Закрытие управления из интернета | WinBox/SSH только из локальной сети или VPN | 99% атак отсекается |
| 4. Отключение лишних сервисов | SOCKS, Web Proxy, UPnP, Bandwidth Server, Cloud DDNS | Меньше функций — меньше дыр |
| 5. Обновление RouterOS | Последняя стабильная версия | Закрытие известных уязвимостей |
| 6. Файрвол по принципу «запретить всё» | Открыты только нужные порты | Изоляция от интернета |
| 7. Защита от сканирования портов | Автобан сканеров | Снижение фонового шума атак |
| 8. Бэкап конфигурации | Ежедневная копия на отдельный сервер | Быстрое восстановление после взлома |
Обычно эти 8 шагов занимают у нашего инженера всего 1.5–2 часа на один роутер, если начинать с нуля. Стоимость таких работ? Это от 12 000 рублей разово за один Mikrotik. И, конечно, вы получите подробный письменный отчёт с пояснением каждого шага. Мы ничего не скрываем.
Сегментация сети: почему это нужно даже маленькому офису
Есть такое распространённое заблуждение: «да у нас всего 15 человек, зачем нам делить сеть?» А вот зачем! Среди этих 15 человек могут быть бухгалтер с 1С и кассой, директор с конфиденциальными договорами, гости в переговорной, IP-камеры безопасности и, конечно, принтер. И стоит одному ноутбуку заразиться через флешку — как зараза тут же перекинется на всё остальное. Думаете, стоит рисковать?
Правильная сегментация в офисе делается через VLAN — это, по сути, виртуальные сети внутри одного физического кабеля. Минимальная разумная схема выглядит так:
- VLAN 10 «Офис» — рабочие компьютеры, принтеры, серверы. Изолировано от всего остального.
- VLAN 20 «1С и финансы» — только бухгалтерия и сервер 1С. Доступ строго ограничен.
- VLAN 30 «Гости» — гостевой WiFi, переговорные. Доступ только в интернет, не в офисную сеть.
- VLAN 40 «IoT» — IP-камеры, умные розетки, термостаты. Изолировано — эти устройства часто уязвимы.
Mikrotik умеет всё это делать «из коробки», то есть вам не нужны никакие дополнительные лицензии. Настройка обычно занимает всего 1–2 часа. У одного нашего клиента в Митино, например, сегментация спасла ситуацию: она помогла локализовать заражение шифровальщиком. Вирус через заражённую флешку попал на компьютер дизайнера, но дальше VLAN «Офис» не прошёл. Бухгалтерия и 1С остались чистыми! Без сегментации шифровальщик гулял бы по всей сети, это точно.
VPN для удалённой работы и филиалов
Если в вашей компании есть удалённые сотрудники или даже филиалы, то VPN на Mikrotik закрывает, поверьте, 90% всех возможных задач. Есть два основных, рабочих варианта:
- WireGuard — современный протокол, быстрый и простой, доступен на новых RouterOS 7.x. Подключение клиента — 2 минуты по QR-коду.
- L2TP/IPsec — старый, но универсально совместимый со всеми Windows, Mac, телефонами без установки дополнительного клиента.
Поднять VPN на Mikrotik с нуля обойдётся вам от 8 000 рублей за один сервер, плюс 1 500 рублей за каждого подключённого пользователя. А если сравнить с альтернативными коммерческими решениями, такими как Cisco AnyConnect или Fortinet FortiClient, то там ценник начинается от 50 000 рублей за лицензию, да ещё и ежегодная подписка. Так что, согласитесь, Mikrotik здесь — самый разумный и выгодный по цене вариант для офиса, особенно если у вас до 50 РМ.
Реальные цены на работы и обслуживание
Чтобы вы понимали порядок цифр на московском рынке в 2026 году:
| Работа | Цена | Срок |
|---|---|---|
| Аудит Mikrotik с письменным отчётом | 3 500 ₽ | 1 рабочий день |
| Базовый hardening (8 шагов) | 12 000 ₽ | 1 рабочий день |
| Hardening + VLAN-сегментация | 18 000 ₽ | 1–2 рабочих дня |
| Hardening + VLAN + VPN (5 пользователей) | 26 000 ₽ | 2–3 рабочих дня |
| Очистка после компрометации | от 22 000 ₽ | 1–2 рабочих дня |
| Ежемесячное обслуживание (1 роутер) | 1 500 ₽/мес | — |
| Подключение нового филиала по VPN | от 9 000 ₽ | 1 рабочий день |
Что входит в абонентское обслуживание? Это мониторинг доступности 24/7, ежедневный бэкап конфигурации, ежемесячный аудит правил файрвола, своевременные обновления RouterOS и, конечно, оперативное реагирование на любые инциденты. Случилось что-то ночью или в выходные? Не волнуйтесь, алерт прилетает мне прямо в Telegram, и инженер начинает разбираться без вашего звонка. Мы всегда начеку.
Когда стоит менять модель Mikrotik
Я очень часто вижу такую картину: офис вырос с 10 до 30 человек, появились IP-телефоны, добавились удалённые сотрудники, а на роутере по-прежнему стоит старенький RB750 за 4 000 рублей, который купили «на временно» 6 лет назад. И что в итоге? Он уже просто не тянет! VPN тормозит, файрвол еле успевает справляться, обновления RouterOS не встают из-за нехватки памяти. Очевидно, что замена такого устройства давно назрела.
Ориентир по моделям на 2026 год:
- До 10 РМ, без VPN — hEX (RB750Gr3), 6 500 руб.
- До 20 РМ, лёгкий VPN — hAP ax² (C52iG), 9 000 руб.
- До 30 РМ, активный VPN, WiFi 6 — hAP ax³, 13 500 руб.
- До 50 РМ, тяжёлый VPN, VLAN — RB4011iGS+, 22 000 руб.
- 50+ РМ, серьёзная нагрузка — CCR2004-1G-12S+2XS, от 65 000 руб.
Слушайте, не покупайте роутер «с запасом в 10 раз» — вы просто переплатите за функции, которыми никогда не будете пользоваться. Но и не экономьте 5 000 рублей на устройстве, через которое проходит весь ваш бизнес-трафик! Мой совет: разумный выбор — это модель «впритык плюс 30% запаса». Так вы будете в безопасности и не потратите лишнего.
Бесплатная диагностика вашего Mikrotik
Я лично готов за 1 рабочий день провести полный аудит вашего офисного роутера и прислать вам письменный отчёт. В нём вы найдёте список обнаруженных уязвимостей, признаки компрометации (если, конечно, они есть) и чёткие рекомендации по их исправлению, включая расценки. И всё это без каких-либо обязательств с вашей стороны! А если вдруг нужна срочная очистка, мы выезжаем в течение 24 часов по Москве и в радиусе 50 км от МКАД.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы про Mikrotik в офисе
- Как понять, что Mikrotik в моём офисе скомпрометирован?
- Косвенные признаки: интернет тормозит без понятной причины, провайдер присылал письма про спам или подозрительный трафик, в логах видны входы со странных IP, изменилась скорость скачивания. Точная диагностика — выгрузка конфига роутера и проверка специалистом. Стоит 3 000–5 000 руб. за устройство.
- Подойдёт ли Mikrotik для офиса на 30 рабочих мест?
- Да. Модели hAP ax3 или RB4011 справятся с офисом до 50 РМ, включая VPN для удалёнки и сегментацию сети на VLAN. Цена самого роутера 12 000–25 000 руб., настройка под ключ — от 15 000 руб.
- Чем Mikrotik лучше Keenetic или TP-Link для бизнеса?
- Профессиональный функционал: управляемые VLAN, IPsec/WireGuard VPN, продвинутый файрвол, скрипты автоматизации, SNMP-мониторинг, централизованное управление WiFi через CAPsMAN. Keenetic для дома, Mikrotik для офиса. TP-Link Omada — что-то среднее.
- Сколько стоит обслуживание Mikrotik в офисе?
- В рамках абонентского обслуживания АйТи Фреш — 1 200–2 500 руб. в месяц за один роутер. Это включает мониторинг, обновления RouterOS, ежемесячный аудит правил, бэкап конфигурации и реагирование на инциденты.
- Можно ли удалённо управлять Mikrotik в нескольких офисах?
- Да. Стандартное решение — поднять VPN-туннель между офисами, плюс развернуть мониторинг через The Dude или Zabbix. Один администратор управляет 10–15 точками без выезда. Изменения тиражируются через скрипты или централизованную конфигурацию.
