· 14 мин чтения

Mikrotik в офисе: что обязан знать IT-директор о безопасности своего роутера

Mikrotik в офисе: что обязан знать IT-директор о безопасности своего роутера

Привет, я Семёнов Евгений Сергеевич, директор АйТи Фреш. С 2010 года мы занимаемся обслуживанием IT-инфраструктур московских компаний. За эти годы через мои руки прошли сотни офисов, и почти в каждом я видел роутер Mikrotik — это уже де-факто стандарт для бизнеса, без вариантов. Но вот какая штука: чаще всего его настроили один раз, когда заезжали в офис, и с тех пор про него напрочь забыли. А это очень зря! Mikrotik – любимая игрушка хакеров, и в моей практике десятки случаев, когда офисный роутер годами тихонько работал на чужой ботнет. Эта статья написана специально для вас, руководителя, чтобы вы наконец поняли, что на самом деле происходит в вашей сети.

Почему именно Mikrotik — мишень номер один

Mikrotik — это латвийская компания, которая делает очень функциональные роутеры, причём за очень разумные деньги. Знаете, они стоят буквально в каждом втором московском офисе, а уж в каждом первом провайдерском узле – так точно. И вот почему они становятся идеальной мишенью для хакеров: таких устройств в мире миллионы, RouterOS у всех одинаковая. Нашёл одну уязвимость — и вуаля, получил доступ к целой армии устройств одним эксплойтом. Это же рай для взломщиков!

Представьте, за последние семь лет в RouterOS обнаружили как минимум пять серьёзных уязвимостей, через которые можно было запросто захватить роутер удалённо. Помните самую громкую? Это CVE-2018-14847, та самая Winbox-уязвимость. Через неё за один день в 2018 году ботнет VPNFilter заразил по всему миру больше 200 тысяч устройств! А в 2023-м была история с CVE-2023-30799, которая позволяла поднять привилегии до root через обычный admin-аккаунт. И это, заметьте, только то, о чём нам известно публично, кто знает, что ещё скрывается.

Когда я впервые приезжаю на аудит к новому клиенту, у которого в офисе стоит Mikrotik, я смотрю не на настройки безопасности в первую очередь. Мой взгляд цепляется за признаки уже случившейся компрометации. Почему? Потому что вероятность, что роутер уже взломан, для тех, кого никто не обслуживает регулярно, — это где-то 30–40%. Просто представьте!

Признаки того, что ваш роутер уже взломали

Проверьте это сами, или, если не уверены, попросите вашего подрядчика. Если сработал хотя бы один пункт из списка, знайте: у вас проблема, и вмешиваться нужно срочно!

Хочу рассказать вам случай из прошлого квартала. Я проводил аудит для одной производственной компании в Подольске. Mikrotik у них стоял с 2019 года. Прежний подрядчик давно уволился, а новый только-только пришёл. Открываю я значит настройки, а там… пять чужих скриптов в шедулере, два неизвестных пользователя с полным доступом, SOCKS-прокси на нестандартном порту. И самое шокирующее: за месяц через этот роутер пролетело 1.7 терабайта неизвестного трафика. Получается, хакеры использовали офисный канал клиента для анонимизации своих атак как минимум полгода! К счастью, провайдер ещё не заблокировал их, но ведь мог бы в любой момент.

Базовый чек-лист безопасности Mikrotik

Что должен сделать ваш подрядчик? Это можно проверить, даже если вы совсем не разбираетесь в RouterOS. Просто запросите у него подробный письменный отчёт. Это ваше право!

ШагЧто делаетЗачем
1. Смена пароля adminСложный пароль 16+ символовЗащита от подбора
2. Удаление лишних пользователейТолько нужные аккаунтыМеньше точек входа
3. Закрытие управления из интернетаWinBox/SSH только из локальной сети или VPN99% атак отсекается
4. Отключение лишних сервисовSOCKS, Web Proxy, UPnP, Bandwidth Server, Cloud DDNSМеньше функций — меньше дыр
5. Обновление RouterOSПоследняя стабильная версияЗакрытие известных уязвимостей
6. Файрвол по принципу «запретить всё»Открыты только нужные портыИзоляция от интернета
7. Защита от сканирования портовАвтобан сканеровСнижение фонового шума атак
8. Бэкап конфигурацииЕжедневная копия на отдельный серверБыстрое восстановление после взлома

Обычно эти 8 шагов занимают у нашего инженера всего 1.5–2 часа на один роутер, если начинать с нуля. Стоимость таких работ? Это от 12 000 рублей разово за один Mikrotik. И, конечно, вы получите подробный письменный отчёт с пояснением каждого шага. Мы ничего не скрываем.

Сегментация сети: почему это нужно даже маленькому офису

Есть такое распространённое заблуждение: «да у нас всего 15 человек, зачем нам делить сеть?» А вот зачем! Среди этих 15 человек могут быть бухгалтер с 1С и кассой, директор с конфиденциальными договорами, гости в переговорной, IP-камеры безопасности и, конечно, принтер. И стоит одному ноутбуку заразиться через флешку — как зараза тут же перекинется на всё остальное. Думаете, стоит рисковать?

Правильная сегментация в офисе делается через VLAN — это, по сути, виртуальные сети внутри одного физического кабеля. Минимальная разумная схема выглядит так:

Mikrotik умеет всё это делать «из коробки», то есть вам не нужны никакие дополнительные лицензии. Настройка обычно занимает всего 1–2 часа. У одного нашего клиента в Митино, например, сегментация спасла ситуацию: она помогла локализовать заражение шифровальщиком. Вирус через заражённую флешку попал на компьютер дизайнера, но дальше VLAN «Офис» не прошёл. Бухгалтерия и 1С остались чистыми! Без сегментации шифровальщик гулял бы по всей сети, это точно.

VPN для удалённой работы и филиалов

Если в вашей компании есть удалённые сотрудники или даже филиалы, то VPN на Mikrotik закрывает, поверьте, 90% всех возможных задач. Есть два основных, рабочих варианта:

Поднять VPN на Mikrotik с нуля обойдётся вам от 8 000 рублей за один сервер, плюс 1 500 рублей за каждого подключённого пользователя. А если сравнить с альтернативными коммерческими решениями, такими как Cisco AnyConnect или Fortinet FortiClient, то там ценник начинается от 50 000 рублей за лицензию, да ещё и ежегодная подписка. Так что, согласитесь, Mikrotik здесь — самый разумный и выгодный по цене вариант для офиса, особенно если у вас до 50 РМ.

Реальные цены на работы и обслуживание

Чтобы вы понимали порядок цифр на московском рынке в 2026 году:

РаботаЦенаСрок
Аудит Mikrotik с письменным отчётом3 500 ₽1 рабочий день
Базовый hardening (8 шагов)12 000 ₽1 рабочий день
Hardening + VLAN-сегментация18 000 ₽1–2 рабочих дня
Hardening + VLAN + VPN (5 пользователей)26 000 ₽2–3 рабочих дня
Очистка после компрометацииот 22 000 ₽1–2 рабочих дня
Ежемесячное обслуживание (1 роутер)1 500 ₽/мес
Подключение нового филиала по VPNот 9 000 ₽1 рабочий день

Что входит в абонентское обслуживание? Это мониторинг доступности 24/7, ежедневный бэкап конфигурации, ежемесячный аудит правил файрвола, своевременные обновления RouterOS и, конечно, оперативное реагирование на любые инциденты. Случилось что-то ночью или в выходные? Не волнуйтесь, алерт прилетает мне прямо в Telegram, и инженер начинает разбираться без вашего звонка. Мы всегда начеку.

Когда стоит менять модель Mikrotik

Я очень часто вижу такую картину: офис вырос с 10 до 30 человек, появились IP-телефоны, добавились удалённые сотрудники, а на роутере по-прежнему стоит старенький RB750 за 4 000 рублей, который купили «на временно» 6 лет назад. И что в итоге? Он уже просто не тянет! VPN тормозит, файрвол еле успевает справляться, обновления RouterOS не встают из-за нехватки памяти. Очевидно, что замена такого устройства давно назрела.

Ориентир по моделям на 2026 год:

Слушайте, не покупайте роутер «с запасом в 10 раз» — вы просто переплатите за функции, которыми никогда не будете пользоваться. Но и не экономьте 5 000 рублей на устройстве, через которое проходит весь ваш бизнес-трафик! Мой совет: разумный выбор — это модель «впритык плюс 30% запаса». Так вы будете в безопасности и не потратите лишнего.

Бесплатная диагностика вашего Mikrotik

Я лично готов за 1 рабочий день провести полный аудит вашего офисного роутера и прислать вам письменный отчёт. В нём вы найдёте список обнаруженных уязвимостей, признаки компрометации (если, конечно, они есть) и чёткие рекомендации по их исправлению, включая расценки. И всё это без каких-либо обязательств с вашей стороны! А если вдруг нужна срочная очистка, мы выезжаем в течение 24 часов по Москве и в радиусе 50 км от МКАД.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы про Mikrotik в офисе

Как понять, что Mikrotik в моём офисе скомпрометирован?
Косвенные признаки: интернет тормозит без понятной причины, провайдер присылал письма про спам или подозрительный трафик, в логах видны входы со странных IP, изменилась скорость скачивания. Точная диагностика — выгрузка конфига роутера и проверка специалистом. Стоит 3 000–5 000 руб. за устройство.
Подойдёт ли Mikrotik для офиса на 30 рабочих мест?
Да. Модели hAP ax3 или RB4011 справятся с офисом до 50 РМ, включая VPN для удалёнки и сегментацию сети на VLAN. Цена самого роутера 12 000–25 000 руб., настройка под ключ — от 15 000 руб.
Чем Mikrotik лучше Keenetic или TP-Link для бизнеса?
Профессиональный функционал: управляемые VLAN, IPsec/WireGuard VPN, продвинутый файрвол, скрипты автоматизации, SNMP-мониторинг, централизованное управление WiFi через CAPsMAN. Keenetic для дома, Mikrotik для офиса. TP-Link Omada — что-то среднее.
Сколько стоит обслуживание Mikrotik в офисе?
В рамках абонентского обслуживания АйТи Фреш — 1 200–2 500 руб. в месяц за один роутер. Это включает мониторинг, обновления RouterOS, ежемесячный аудит правил, бэкап конфигурации и реагирование на инциденты.
Можно ли удалённо управлять Mikrotik в нескольких офисах?
Да. Стандартное решение — поднять VPN-туннель между офисами, плюс развернуть мониторинг через The Dude или Zabbix. Один администратор управляет 10–15 точками без выезда. Изменения тиражируются через скрипты или централизованную конфигурацию.

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя IT и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.