Naar hoofdinhoud

Blog

Hoe beveilig je een MikroTik router?

Een MikroTik uit de doos is redelijk goed beveiligd. Tegenwoordig heeft alle MikroTik apparatuur een willekeurig admin wachtwoord. Een stuk beter dan geen wachtwoord :) Maar er zijn wel een aantal best practices die wij altijd uitvoeren.

Stap 1 - Maak een nieuwe gebruiker aan

Elke MikroTik router heeft standaard een “admin” gebruiker. En dat weet elke kwaadwillend persoon ook. Daarom maak je een nieuwe gebruiker aan met een handige gebruikersnaam. Daarna genereer je een lang wachtwoord en dit wachtwoord zet je in je passwordmanager. Vervolgens verwijder je de standaard admin gebruiker.

Stap 2 - Update de MikroTik

Nieuwere software bevat vaak security patches, het is dus belangrijk om de software te updaten. Ga naar System -> Packages. Klik op Check for updates. Kies voor Long term (alleen security patches) of Stable (alle nieuwe features). Klik op Download & Install.

Nadat de nieuwe software geladen is moet je de firmware nog upgraden. Dit doe je door naar System -> RouterBOARD te gaan. Hier klik je op Upgrade en vervolgens op Yes. Herstart hierna de router.

Stap 3 - Wijzig het wireless wachtwoord

Op nieuwere MikroTik routers staat een standaard wifi wachtwoord. Ga naar Wireless -> Security Profiles. Maak een nieuw profiel aan met WPA2. Selecteer dit profiel bij je WiFi interfaces. Zet WPS Mode op disabled.

Stap 4 - Stel de firewall goed in

De standaard MikroTik firewall maakt gebruik van Interface Lists (WAN en LAN). Zorg ervoor dat de juiste interfaces in de juiste Interface Lists staan. Als je een PPPoE verbinding maakt, zet deze interface ook in de WAN interface list.

Stap 5 - Zet services uit

Standaard staan alle services aan. Zet uit: FTP, API, API-SSL, Telnet, WWW en WWW-SSL. Beheer je router altijd via Winbox. Stel Winbox in op een andere poort dan de standaard (8291).

Stap 6 - Externe toegang inrichten met een access list

Maak een Address List aan (IP -> Firewall -> Address List) met de naam remote-access. Vul de IP adressen in van waar je de router wilt benaderen. Voeg een firewall regel toe: Chain: input, Src. Address List: je nieuwe Address List, In. Interface List: WAN, Action: Accept. Zet de regel boven de DROP regels.

Tip: Maak een subdomein aan (bijv. whitelist.bedrijfx.nl) met A records voor je beheer IP adressen. Vul dit subdomein in bij de Address List.

Stap 7 - Zet poortjes uit

Zet ongebruikte poorten uit. Mocht er iemand fysieke toegang krijgen tot het apparaat dan kunnen ze met vrije poortjes niks.

Stap 8 - Stel RoMON goed in

Stel hetzelfde Secret in op alle MikroTik apparatuur op het netwerk. Check dat RoMON niet aan staat op je WAN poort.

Extra - Port forwards

Controleer of lokale IP adressen bij port forwards statisch zijn ingesteld (niet DHCP). Maak een whitelist met IP adressen die de port forward mogen gebruiken.

Als je deze stappen gevolgd hebt is je MikroTik goed beveiligd!

Natuurlijk zijn er altijd uitzonderingen. Wil je dat wij je zakelijke MikroTik controleren? Neem dan contact op.

Meer lezen

Gerelateerde artikelen

Zelf sparren over je ICT?

Herkenbare situatie of juist iets heel anders? Bel of mail gerust we denken graag mee.

Neem contact op Bekijk de diensten