Il est recommandé de désactiver ces services si vous ne les utilisez pas ou de spécifier les adresses IP, les plages IP ou les segments de réseau dont l'accès sera autorisé ; cela peut être ajusté dans le menu /IP/Services. Une autre façon consiste à créer des règles de /filtre pare-feu pour autoriser ou refuser l'accès via SSH ou Telnet.

Pour protéger les routeurs MikroTik des attaques SSH (Secure Shell) et Telnet, il est essentiel de mettre en œuvre une série de mesures de sécurité.

Ces protocoles sont couramment utilisés pour la gestion des appareils à distance, mais peuvent être vulnérables aux attaques s'ils ne sont pas configurés correctement.

Nous vous donnons d'autres recommandations clés pour renforcer la sécurité de votre routeur MikroTik contre ces attaques :

1. Changer le port par défaut

• Pour SSH et Telnet, envisagez de remplacer les ports par défaut (22 pour SSH et 23 pour Telnet) par d'autres numéros de port non standard. Cela peut réduire considérablement les attaques automatisées.

2. Désactiver Telnet

• Telnet n'est pas sécurisé car il transmet les informations d'identification et les données en texte clair. Il est recommandé de désactiver complètement Telnet et d'utiliser SSH pour la gestion à distance, car SSH crypte la connexion.

3. Utilisez des mots de passe forts

• Assurez-vous que tous les comptes disposent de mots de passe forts et uniques. Pensez à utiliser un gestionnaire de mots de passe pour générer et stocker des mots de passe complexes.

4. Restreindre l'accès par IP

• Utilisez des règles de pare-feu pour restreindre l'accès SSH aux seules adresses IP connues et fiables. Cela limite considérablement le nombre de personnes pouvant tenter de se connecter à votre routeur.

5. Activer l'authentification à deux facteurs (2FA)

• Si possible, activez l'authentification à deux facteurs pour l'accès SSH. Cela ajoute une couche de sécurité supplémentaire.

6. Mettre régulièrement à jour le logiciel

• Assurez-vous que votre routeur MikroTik est toujours mis à jour avec le dernier RouterOS et le dernier micrologiciel, car les mises à jour incluent souvent des correctifs de sécurité.

7. Désactivez l'accès SSH et Telnet depuis le WAN

• Si vous n'avez pas besoin de gérer le routeur à distance, il est recommandé de désactiver l'accès SSH et Telnet depuis l'interface WAN. Cela peut être facilement réalisé via des règles de pare-feu.

8. Utilisez des clés SSH au lieu de mots de passe

• Pour l'accès SSH, optez pour une authentification par clé plutôt que par mot de passe. L'authentification par clé est plus sécurisée car elle nécessite que l'attaquant ait accès à la clé privée.

9. Surveiller les tentatives d'accès

• Configurez votre routeur MikroTik pour qu'il enregistre et alerte en cas d'échec des tentatives d'accès. Cela peut vous aider à détecter les tentatives d’attaque et à prendre des mesures proactives.

10. Configurer correctement le pare-feu

• Assurez-vous que votre pare-feu est correctement configuré pour bloquer les paquets indésirables et limiter le nombre de tentatives de connexion infructueuses, par exemple en utilisant la fonction Connection Rate.

La mise en œuvre de ces mesures de sécurité peut contribuer de manière significative à protéger votre routeur MikroTik contre les attaques externes via SSH et Telnet, garantissant ainsi l'intégrité et la confidentialité de votre réseau.