Загрузка

Безопасность сетей и маршрутизации

Безопасность — это ключевой аспект любой сети, будь то домашняя, корпоративная или дата-центр. Неправильная настройка роутеров и серверов делает сеть уязвимой к атакам, утечкам данных и несанкционированному доступу. В этой статье рассмотрим основные практики безопасности с упором на MikroTik, Wi-Fi и VPN.

1. Firewall: фильтрация трафика

Firewall — это первый рубеж защиты сети. Он позволяет управлять входящим и исходящим трафиком, ограничивая доступ к сервисам и портам.

  • 🔹 Фильтрация по IP-адресам

    • Разрешить доступ только с доверенных адресов.

    • Например, разрешить подключение к серверу Winbox только с офисного IP:

      /ip firewall filter add chain=input src-address=192.168.19.0/24 protocol=tcp dst-port=8291 action=accept
      /ip firewall filter add chain=input protocol=tcp dst-port=8291 action=drop

  • 🔹 Фильтрация по портам

    • Закрыть все ненужные порты.

    • Например, если FTP сервер не используется — блокируем порт 21:

      /ip firewall filter add chain=input protocol=tcp dst-port=21 action=drop

  • 🔹 Логирование атак

    • Можно вести журнал блокированных попыток:

      /ip firewall filter add chain=input protocol=tcp dst-port=23 action=drop log=yes

2. Закрытие ненужных сервисов

Многие роутеры по умолчанию включают сервисы, которые могут быть опасны при доступе из интернета.

  • Telnet — устаревший и небезопасный протокол. Заменить на SSH или отключить.

  • FTP — передаёт пароли в открытом виде, лучше SFTP.

  • Winbox снаружи — доступ к настройкам роутера через интернет потенциально опасен.
    Рекомендация: разрешать доступ только с конкретных IP или через VPN.

Пример на MikroTik:

/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ip service set winbox address=192.168.19.0/24

3. Ограничение доступа к VPN

VPN защищает трафик, но если его не ограничить, злоумышленник может попытаться подключиться извне.

  • Разрешать подключение только с известных IP.

  • Настроить AllowedIPs в WireGuard или IPsec.

  • Настроить firewall для блокировки всех попыток кроме VPN:

/ip firewall filter add chain=input protocol=udp dst-port=51820 src-address-list=trusted action=accept
/ip firewall filter add chain=input protocol=udp dst-port=51820 action=drop

4. Обновление прошивки и RouterOS

  • MikroTik выпускает обновления для исправления уязвимостей.

  • Регулярно проверяйте доступность новых версий:

/system package update check-for-updates

  • Устанавливайте обновления после резервного копирования конфигурации.

5. Безопасность Wi-Fi

Wi-Fi — частый источник атак. Основные рекомендации:

  1. Использовать WPA3, или WPA2 если устройства старые.

    • WPA3 более защищён от атак на пароль (Brute Force, Dictionary Attack).

  2. Отключить WPS (Wi-Fi Protected Setup) — уязвим к подбору PIN.

  3. Скрыть SSID — не гарантирует защиту, но снижает видимость сети.

  4. Разделять сети для гостей и сотрудников — через VLAN или отдельный SSID.

  5. Использовать длинный и сложный пароль.

Пример на MikroTik для WPA3/WPA2:

/interface wireless security-profiles
add name=secure_auth mode=dynamic-keys authentication-types=wpa2-psk,wpa3-psk wpa2-pre-shared-key="СложныйПароль" wpa3-pre-shared-key="ЕщёСложнее"

6. Резюме ключевых правил безопасности

Правило Зачем
1 Firewall: фильтруй IP и порты Ограничивает доступ и защищает от атак
2 Закрывай ненужные сервисы Уменьшает поверхность атаки
3 VPN только для доверенных IP Не даёт подключаться посторонним
4 Регулярные обновления Исправление уязвимостей
5 Wi-Fi с WPA3/WPA2, отключение WPS Защита беспроводной сети
6 Разделение сетей (VLAN) Изоляция отделов и гостей