Наша почта:
В Москве:
РФ (звонок бесплатный):
Проблема ближнего радиуса
{ Сетевой администратор в MT-Courses }
Николай Кузнецов
Видео доклада
Презентация спикера
Безопасность MikroTik: Анализ реальных угроз и защита сетевой инфраструктуры
Настройка безопасности — это не разовое действие, а непрерывный процесс. На сегодняшний день RouterOS является одной из самых защищенных систем, если говорить о закрытии критических уязвимостей в самом коде. Но большинство взломов происходит не из-за ошибок разработчиков, а из-за неправильной конфигурации и непонимания того, как работают протоколы в «ближнем радиусе».
Ниже представлен детальный разбор критических зон риска и пошаговая стратегия защиты, которая превратит роутер из легкой мишени в невидимую крепость.
Ниже представлен детальный разбор критических зон риска и пошаговая стратегия защиты, которая превратит роутер из легкой мишени в невидимую крепость.
Состояние безопасности MikroTik в 2024 году
Многие привыкли считать, что MikroTik — это устройство, которое нужно постоянно «латать». Но реальность изменилась.
- Минимум уязвимостей в коде:В актуальных версиях RouterOS практически нет «дыр», позволяющих зайти извне без пароля.
- Проблема человеческого фактора:99% взломов сегодня — это либо использование стандартных паролей, либо открытые сервисы управления, либо ошибки в настройке L2-протоколов.
- Смена вектора атак:Злоумышленники перестали биться в закрытую дверь фаервола и переключились на атаки внутри локальных сегментов или через облачные среды.
Миф о «чистой конфигурации» (Blank Config)
В среде системных администраторов популярна идея: «Удали заводской конфиг и настрой всё сам». Но для новичка или невнимательного профи это самый короткий путь к взлому.
Что происходит, когда вы выбираете Blank Configuration:
Что происходит, когда вы выбираете Blank Configuration:
- Открыты все двери:Все IP-службы (SSH, Telnet, HTTP, Winbox) начинают слушать на всех физических портах.
- Никакой фильтрации:На устройстве нет ни одного правила фаервола. Даже маскарадинг отсутствует.
- Публичность:Роутер начинает рассылать пакеты об обнаружении соседей (Neighbor Discovery) во все стороны, включая порт провайдера.
Совет:
Если вы не уверены на 100%, что успеете закрыть порты до того, как в роутер прилетит первый пакет из интернета — оставляйте дефолтный конфиг. Он вполне адекватен и закрывает 80% базовых рисков.
Если вы не уверены на 100%, что успеете закрыть порты до того, как в роутер прилетит первый пакет из интернета — оставляйте дефолтный конфиг. Он вполне адекватен и закрывает 80% базовых рисков.
Угрозы «ближнего радиуса» на уровне L2
Большинство администраторов следят за IP-трафиком, но полностью игнорируют уровень L2 (канальный уровень). Это «слепая зона», через которую часто прилетают самые болезненные атаки.
Где прячется опасность:
Где прячется опасность:
Сети провайдеров:
Если вы подключены к провайдеру, который не изолирует клиентов друг от друга, ваш роутер «видит» сотни других устройств, и они «видят» вас.
Бизнес-центры:
Общая сетевая инфраструктура часто позволяет злоумышленнику из соседнего офиса атаковать ваш роутер в обход любого фаервола.
Дата-центры:
Виртуальные маршрутизаторы в облаке часто живут в одном огромном L2-сегменте.
Взлом Capsman V2 — Как крадут ваши Wi-Fi пароли
Capsman — это мощный инструмент для управления точками доступа, но в версии V2 он обладает опасной «дружелюбностью».
Механика атаки:
Механика атаки:
- Менеджер Capsman по умолчанию слушает входящие запросы на всех интерфейсах.
- Злоумышленник в том же L2-сегменте настраивает свой MikroTik как управляемую точку (CAP).
- Его устройство посылает запрос на поиск контроллера через порт, смотрящий в общую сеть.
- Ваш Capsman видит «новую точку» и автоматически отправляет ей всю конфигурацию Wi-Fi, включая пароли и настройки безопасности.
Результат:
У злоумышленника в руках полная копия вашей корпоративной беспроводной сети. Если включен capsman-forwarding, он получает доступ ко всей вашей внутренней локалке.
У злоумышленника в руках полная копия вашей корпоративной беспроводной сети. Если включен capsman-forwarding, он получает доступ ко всей вашей внутренней локалке.
Дорожная карта по защите Capsman
Чтобы ваш Wi-Fi не «утек» к соседям, пройдите по этому списку:
Ограничение интерфейсов:
В настройках Capsman Manager никогда не оставляйте выбор интерфейсов по умолчанию. Явно укажите только локальный бридж.
Сертификаты:
Используйте проверку по сертификатам (Require Peer Certificate). Это гарантирует, что к контроллеру подключатся только ваши точки.
Capsman V3 (AX):
Если оборудование позволяет, переходите на новую версию. Там настройки безопасности вынесены на передний план и сделаны более строгими.
Разделение трафика:
Старайтесь не использовать capsman-forwarding для гостевых сетей.
CHR в облаке — Почему «соседи» по хостингу опасны
Cloud Hosted Router (CHR) — это удобно, но облачная среда — это не домашний роутер за NAT. Это устройство, выставленное «лицом» в потенциально враждебную среду.
- Neighbor Discovery в облаке:Запустив CHR, вы часто можете увидеть через него мак-адреса и имена роутеров других клиентов хостинга. Это значит, что и они видят вас.
- MAC-атаки:Злоумышленник может попытаться подключиться к вам через MAC-Telnet или MAC-Winbox. Фаервол L3 (цепочка input) такие попытки не блокирует, так как они работают ниже уровнем.
- Сниффинг трафика:В неизолированных облачных сетях через инструменты типа Torch можно увидеть чужой широковещательный трафик.
Гигиена управления и MAC-сервисы
Черные входы в систему часто остаются открытыми просто по забывчивости.
Что нужно сделать немедленно:
Что нужно сделать немедленно:
- Выключить Neighbor Discovery:В меню IP -> Neighbors уберите Discovery со всех внешних интерфейсов. Оставьте его только для доверенного порта администратора.
- MAC-атаки:Злоумышленник может попытаться подключиться к вам через MAC-Telnet или MAC-Winbox. Фаервол L3 (цепочка input) такие попытки не блокирует, так как они работают ниже уровнем.
- Сниффинг трафика:В неизолированных облачных сетях через инструменты типа Torch можно увидеть чужой широковещательный трафик.
Ловушка Honeypot — Не выстрелите себе в ногу
Популярный совет — заносить в черный список (Blacklist) всех, кто стучится на закрытые порты. Кажется, что это логично, но это идеальный вектор для DoS-атаки на самого себя.
Риск IP Spoofing (подмены адреса):
Риск IP Spoofing (подмены адреса):
Злоумышленник знает, что у вас стоит «ловушка».
Он шлет вам пакет, подделывая адрес отправителя. В качестве отправителя он ставит адрес вашего провайдера, DNS-сервера Google или ваш собственный IP.
Ваш роутер видит «стук» в закрытую дверь и банит доверенный адрес.
Вы теряете связь с провайдером или сами не можете зайти в сеть.
Как правильно работать с ловушками:
- Всегда создавайте белый список (Whitelist) и ставьте его выше правил блокировки.
- Используйте ханипоты только если вы реально публикуете сервисы в интернет.
- Не баньте навсегда. Используйте динамические списки на 15–30 минут. Этого хватит, чтобы сбить сканер, но не положить сеть надолго при ошибке.
GRE-туннели без шифрования — Проходной двор
Туннели GRE часто используют для связи офисов из-за их простоты. Но GRE сам по себе не имеет никакой защиты.
В чем подвох: Злоумышленник может отправить вам GRE-пакет, в заголовке которого укажет IP-адрес вашего удаленного офиса. Роутер «распакует» этот пакет и отправит его содержимое во внутреннюю сеть, думая, что это легитимный трафик из туннеля. Так можно обойти фаервол на внешнем интерфейсе и атаковать, например, внутреннюю IP-ATC.
В чем подвох: Злоумышленник может отправить вам GRE-пакет, в заголовке которого укажет IP-адрес вашего удаленного офиса. Роутер «распакует» этот пакет и отправит его содержимое во внутреннюю сеть, думая, что это легитимный трафик из туннеля. Так можно обойти фаервол на внешнем интерфейсе и атаковать, например, внутреннюю IP-ATC.
Решение:
- Только IPsec: Любой GRE-туннель должен быть защищен через IPsec. Это гарантирует, что пакеты не были подменены в пути.
- Фильтрация внутри туннеля: Настраивайте правила в цепочке forward, которые разрешают из GRE-интерфейса только те подсети, которые там действительно должны быть.
Тактика «полной тишины» (Drop vs Reject)
Как роутер должен реагировать на запрещенные пакеты? Есть два варианта: вежливо ответить (Reject) или промолчать (Drop).
Почему стоит выбирать DROP:
Почему стоит выбирать DROP:
- Скрытность:Злоумышленник не понимает, живой ли хост или там вообще пустота.
- Экономия ресурсов:Роутеру не нужно тратить ресурсы процессора на формирование ответного пакета «доступ запрещен».
- Требования безопасности:Для критических систем скрытие информации о работоспособности хоста — это стандарт.
- Подсказка: Если вы хотите быть «невидимкой», отключайте также ответы на ICMP-запросы (пинг) на внешнем интерфейсе. Это собьет с толку большинство автоматических сканеров.
Чек-лист финальной настройки
Проверьте ваш роутер прямо сейчас по этим пунктам:
- Пароли:
- Уникальные, длинные, без стандартного admin
- IP Services:Оставлены только нужные сервисы, доступ к ним ограничен по address-list.
- Neighbors:Обнаружение выключено на WAN и облачных портах.
- MAC Server:Доступ по MAC-адресу закрыт снаружи.
- DNS:Опция Allow Remote Requests выключена, если роутер не должен работать как DNS-сервер для интернета.
- Туннели:Все внешние соединения (GRE, IPIP, L2TP) завернуты в IPsec или используют современные протоколы типа WireGuard.
- Обновления:Установлена последняя версия RouterOS (Long-term или Stable).
Финал
Безопасность MikroTik — это не про «волшебную кнопку», а про здравый смысл. Самый лучший фаервол не спасет, если у вас открыт MAC-Winbox на порту провайдера или Capsman отдает пароли любому встречному устройству.
Соблюдайте гигиену на уровне L2, не доверяйте слепо гайдам из интернета без понимания логики правил и всегда помните: в сетевой безопасности «лучше молчать, чем отвечать».
Соблюдайте гигиену на уровне L2, не доверяйте слепо гайдам из интернета без понимания логики правил и всегда помните: в сетевой безопасности «лучше молчать, чем отвечать».
В Москве:
РФ (звонок бесплатный):
Наша почта:
GetNet
Остались вопросы?
Группа компаний VoxLink © 2011-2026