Безопасность сетей и маршрутизации
Безопасность — это ключевой аспект любой сети, будь то домашняя, корпоративная или дата-центр. Неправильная настройка роутеров и серверов делает сеть уязвимой к атакам, утечкам данных и несанкционированному доступу. В этой статье рассмотрим основные практики безопасности с упором на MikroTik, Wi-Fi и VPN.
1. Firewall: фильтрация трафика
Firewall — это первый рубеж защиты сети. Он позволяет управлять входящим и исходящим трафиком, ограничивая доступ к сервисам и портам.
-
🔹 Фильтрация по IP-адресам
-
Разрешить доступ только с доверенных адресов.
-
Например, разрешить подключение к серверу Winbox только с офисного IP:
-
-
🔹 Фильтрация по портам
-
Закрыть все ненужные порты.
-
Например, если FTP сервер не используется — блокируем порт 21:
-
-
🔹 Логирование атак
-
Можно вести журнал блокированных попыток:
-
2. Закрытие ненужных сервисов
Многие роутеры по умолчанию включают сервисы, которые могут быть опасны при доступе из интернета.
-
Telnet — устаревший и небезопасный протокол. Заменить на SSH или отключить.
-
FTP — передаёт пароли в открытом виде, лучше SFTP.
-
Winbox снаружи — доступ к настройкам роутера через интернет потенциально опасен.
Рекомендация: разрешать доступ только с конкретных IP или через VPN.
Пример на MikroTik:
3. Ограничение доступа к VPN
VPN защищает трафик, но если его не ограничить, злоумышленник может попытаться подключиться извне.
-
Разрешать подключение только с известных IP.
-
Настроить AllowedIPs в WireGuard или IPsec.
-
Настроить firewall для блокировки всех попыток кроме VPN:
4. Обновление прошивки и RouterOS
-
MikroTik выпускает обновления для исправления уязвимостей.
-
Регулярно проверяйте доступность новых версий:
-
Устанавливайте обновления после резервного копирования конфигурации.
5. Безопасность Wi-Fi
Wi-Fi — частый источник атак. Основные рекомендации:
-
Использовать WPA3, или WPA2 если устройства старые.
-
WPA3 более защищён от атак на пароль (Brute Force, Dictionary Attack).
-
-
Отключить WPS (Wi-Fi Protected Setup) — уязвим к подбору PIN.
-
Скрыть SSID — не гарантирует защиту, но снижает видимость сети.
-
Разделять сети для гостей и сотрудников — через VLAN или отдельный SSID.
-
Использовать длинный и сложный пароль.
Пример на MikroTik для WPA3/WPA2:
6. Резюме ключевых правил безопасности
№ | Правило | Зачем |
---|---|---|
1 | Firewall: фильтруй IP и порты | Ограничивает доступ и защищает от атак |
2 | Закрывай ненужные сервисы | Уменьшает поверхность атаки |
3 | VPN только для доверенных IP | Не даёт подключаться посторонним |
4 | Регулярные обновления | Исправление уязвимостей |
5 | Wi-Fi с WPA3/WPA2, отключение WPS | Защита беспроводной сети |
6 | Разделение сетей (VLAN) | Изоляция отделов и гостей |