· 16 мин чтения

Безопасность MikroTik firewall: полный хардeнинг офисного роутера

Безопасность MikroTik firewall: полный хардeнинг офисного роутера

Привет! Я, Семёнов Евгений Сергеевич, директор ITFresh. За 15 с лишним лет в IT, поверьте, мне довелось увидеть многое. В том числе и парочку очень громких историй с уязвимостями в RouterOS. Помните Chimay-Red 2018-го? Или CVE-2018-14847, когда Winbox-пароли улетали, как горячие пирожки? Не забываем и о куче менее известных эксплойтов через SMB. Каждый раз, что интересно, проблемы возникали не у тех, кто грамотно работал с MikroTik. Страдали те, кто, честно говоря, просто забивал на обновления и нормальный хардeнинг. Из личного опыта скажу: MikroTik сам по себе — это очень надёжный и защищённый офисный роутер. Главное — правильно его настроить. Вот для этого мы и написали этот гайд: он поможет вам превратить ваш MikroTik в настоящий «крепкий орешек».

Шаг 1: обновление RouterOS до текущей stable

Помните: на любом новом устройстве *всегда* проверяйте текущую версию RouterOS. Мы, например, не раз сталкивались, когда к нам приходили роутеры с 6.47 двухлетней давности — а это, по сути, открытая дверь для атак. Что делаем перед настройкой?

/system package update check-for-updates channel=stable
/system package update install

# После перезагрузки — обновляем загрузчик
/system routerboard upgrade
# Перезагрузка
/system reboot

Мы рекомендуем обновлять long-term ветку RouterOS минимум раз в квартал. Лично я всегда настраиваю клиентам Netwatch — он сам проверит, вышла ли новая версия, и сразу пришлёт уведомление на почту.

Шаг 2: минимизация открытых сервисов

# Показать, что работает
/ip service print

# Отключаем лишнее
/ip service disable telnet,ftp,api,api-ssl,www

# SSH и Winbox ограничиваем source-address
/ip service set ssh port=2222 address=192.168.10.0/24,10.100.0.0/24
/ip service set winbox port=54321 address=192.168.10.0/24,10.100.0.0/24
/ip service set www-ssl port=443 address=192.168.10.0/24
/ip service enable www-ssl
/ip service disable www

# Отключаем MAC-доступ на внешних интерфейсах
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN
/tool mac-server ping set enabled=no

# Отключаем Neighbor Discovery на WAN
/ip neighbor discovery-settings set discover-interface-list=LAN

Шаг 3: сильные пароли и отдельные пользователи

# Удаляем дефолтный admin без пароля
/user set admin disabled=yes

# Создаём нового админа с сильным паролем
/user add name=itfresh password="Complex!Pass&2026#9841" group=full \
  address=192.168.10.0/24,10.100.0.0/24 \
  comment="Главный админ, доступ только из офиса и VPN"

# Для мониторинга создаём read-only
/user add name=monitoring password="ReadOnlyPass!2026" group=read \
  address=192.168.10.5

# Включаем требование сильных паролей
/user settings set minimum-password-length=12 \
  minimum-categories=3

Шаг 4: ключи SSH вместо паролей

# На рабочей станции
ssh-keygen -t ed25519 -f ~/.ssh/mikrotik_office

# Загружаем на MikroTik (FTP отключён, поэтому scp или drag-n-drop в Winbox)
scp -P 2222 ~/.ssh/mikrotik_office.pub itfresh@192.168.10.1:/

# Привязываем ключ
/user ssh-keys import public-key-file=mikrotik_office.pub user=itfresh

# Отключаем парольный вход
/ip ssh set allow-none-crypto=no strong-crypto=yes

Шаг 5: firewall с хардeнингом

/ip firewall filter
# 1. Дропаем инвалид
add chain=input connection-state=invalid action=drop
# 2. Разрешаем установленные
add chain=input connection-state=established,related action=accept
# 3. Разрешаем ICMP с ratelimit
add chain=input protocol=icmp limit=50,10:packet action=accept
# 4. Разрешаем из LAN
add chain=input in-interface-list=LAN action=accept
# 5. Разрешаем из VPN (IPsec)
add chain=input ipsec-policy=in,ipsec action=accept
# 6. Whitelist управления (для непредсказуемой роуминговой работы)
add chain=input src-address-list=mgmt-whitelist action=accept
# 7. Бан за брут
add chain=input src-address-list=ssh-banned action=drop
add chain=input src-address-list=winbox-banned action=drop
# 8. Финал
add chain=input action=drop log=yes log-prefix="INPUT-DROP"

Шаг 6: двухфакторная защита Winbox через port knocking

Что такое Port knocking? Это такая хитрая штука: чтобы открыть основной сервис, вам сначала нужно 'постучаться' по нескольким портам, и обязательно в правильной последовательности. Идеальное решение для тех, кто часто работает с разных IP-адресов.

/ip firewall filter
# Стадия 1: стук в 7001
add chain=input protocol=tcp dst-port=7001 \
  action=add-src-to-address-list address-list=knock1 \
  address-list-timeout=10s
# Стадия 2: стук в 7002, если уже в knock1
add chain=input protocol=tcp dst-port=7002 src-address-list=knock1 \
  action=add-src-to-address-list address-list=knock2 \
  address-list-timeout=10s
# Финал: разрешение Winbox если в knock2
add chain=input protocol=tcp dst-port=54321 src-address-list=knock2 \
  action=accept
# Иначе — drop
add chain=input protocol=tcp dst-port=54321 action=drop

Клиент подключается через knock-script.sh IP 7001 7002, потом запускает Winbox.

Шаг 7: IPsec VPN для управления

На практике, для удалённого админского доступа мы в ITFresh всегда используем IPsec IKEv2 или WireGuard. Как это работает на деле? Всё просто: пользователь активирует VPN-клиент, получает внутренний IP вида 10.100.0.x, и только с него становятся доступны все нужные management-порты.

# Базовый IKEv2 c сертификатом
/ip ipsec profile
add name=ike2-admin dh-group=modp2048 enc-algorithm=aes-256-cbc \
  hash-algorithm=sha256

/ip ipsec proposal
add name=ike2-admin-proposal auth-algorithms=sha256 \
  enc-algorithms=aes-256-cbc pfs-group=modp2048

/ip pool add name=vpn-admins ranges=10.100.0.10-10.100.0.50

/ip ipsec mode-config
add name=admin-config address-pool=vpn-admins address-prefix-length=32 \
  system-dns=no static-dns=192.168.10.1 split-include=192.168.10.0/24

/ip ipsec policy group add name=admin-policies

/ip ipsec policy
add group=admin-policies src-address=10.100.0.0/24 \
  dst-address=192.168.10.0/24 template=yes

/ip ipsec peer
add name=admin-peer exchange-mode=ike2 profile=ike2-admin \
  passive=yes send-initial-contact=no

/ip ipsec identity
add peer=admin-peer auth-method=digital-signature certificate=admin-ca \
  mode-config=admin-config policy-template-group=admin-policies \
  generate-policy=port-strict

Кейс: защита сети после попытки взлома через CVE

Представьте: в ноябре 2025-го к нам обратилась небольшая логистическая компания из Москвы. У них был инцидент. На MikroTik RB3011 стояла RouterOS 6.48.3, да ещё и с портом 8291, открытым прямо наружу. Что нашли в логах? Попытку эксплуатации известной уязвимости! Хоть атакующий и не смог проникнуть внутрь, сканеры оставили колоссальные 40 000 записей всего за три дня. После их звонка мы провели полный хардeнинг. Управились за 4 часа.

Что в итоге? За последующие три месяца мы зафиксировали 230 000 попыток подключения на разные порты. Все до единой были успешно заблокированы. Ни одного входа! Сам комплекс работ обошёлся в 38 000 рублей, плюс 8 000 рублей в месяц за сопровождение и постоянный аудит логов.

Регулярные проверки

Полный хардeнинг MikroTik под ключ

Я беру на себя аудит безопасности вашего MikroTik и его настройку под самые строгие корпоративные стандарты. Это включает в себя закрытие всех лишних сервисов, настройку IPsec/WireGuard для безопасного управления, внедрение каскадной защиты от брута и, конечно, постоянный мониторинг логов. Дополнительно в комплект услуг обязательно входят детальная документация и продуманный план восстановления после инцидента.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — безопасность MikroTik

Какие сервисы отключить в первую очередь?
FTP, Telnet, SMB, API, Bandwidth-test, Neighbor Discovery на WAN.
Стоит ли менять порт Winbox?
Да, перенос на нестандартный порт снижает поток ботнетов на 99%.
Как защититься от CVE?
Регулярные обновления + ограничение управления через VPN.
Нужен ли IPsec для удалённого администрирования?
Обязательно. Управление из интернета без VPN — риск.
Как узнать о попытке взлома?
Remote syslog, Netwatch-алерты, мониторинг address-list ssh-banned.

Подпишитесь на рассылку ITfresh

Каждую неделю мы выпускаем полезные, практические гайды. Они точно пригодятся и IT-руководителям, и сисадминам. Темы? От безопасности и 1С до миграций и резервного копирования. Плюс делимся реальными лайфхаками из наших проектов!

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.