Zaleca się wyłączenie tych usług, jeżeli z nich nie korzystasz lub określenie adresów IP, zakresów IP lub segmentów sieci, które będą umożliwiać dostęp; można to ustawić w menu /IP/Usługi. Innym sposobem jest utworzenie reguł /filtr zapory sieciowej aby zezwolić lub zabronić dostępu przez SSH lub Telnet.

Aby chronić routery MikroTik przed atakami SSH (Secure Shell) i Telnet, konieczne jest wdrożenie szeregu środków bezpieczeństwa.

Protokoły te są powszechnie używane do zdalnego zarządzania urządzeniami, ale mogą być podatne na ataki, jeśli nie zostaną odpowiednio skonfigurowane.

Dajemy Ci inne kluczowe zalecenia, jak wzmocnić bezpieczeństwo Twojego routera MikroTik przed tymi atakami:

1. Zmień domyślny port

• W przypadku SSH i Telnet rozważ zmianę domyślnych portów (22 dla SSH i 23 dla Telnet) na inne niestandardowe numery portów. Może to znacznie ograniczyć ataki automatyczne.

2. Wyłącz Telnet

• Telnet nie jest bezpieczny, ponieważ przesyła dane uwierzytelniające i dane w postaci zwykłego tekstu. Zaleca się całkowite wyłączenie Telnetu i używanie SSH do zdalnego zarządzania, ponieważ SSH szyfruje połączenie.

3. Używaj silnych haseł

• Upewnij się, że wszystkie konta mają silne, unikalne hasła. Rozważ użycie menedżera haseł do generowania i przechowywania złożonych haseł.

4. Ogranicz dostęp według adresu IP

• Użyj reguł zapory sieciowej, aby ograniczyć dostęp SSH tylko do znanych i zaufanych adresów IP. To znacznie ogranicza liczbę osób, które mogą próbować połączyć się z Twoim routerem.

5. Włącz uwierzytelnianie dwuskładnikowe (2FA)

• Jeśli to możliwe, włącz uwierzytelnianie dwuskładnikowe dla dostępu SSH. Dodaje to dodatkową warstwę bezpieczeństwa.

6. Regularnie aktualizuj oprogramowanie

• Upewnij się, że Twój router MikroTik jest zawsze zaktualizowany do najnowszej wersji RouterOS i oprogramowania sprzętowego, ponieważ aktualizacje często zawierają poprawki bezpieczeństwa.

7. Wyłącz dostęp SSH i Telnet z sieci WAN

• Jeśli nie potrzebujesz zdalnego zarządzania routerem, zaleca się wyłączenie dostępu SSH i Telnet z poziomu interfejsu WAN. Można to łatwo zrobić za pomocą reguł zapory sieciowej.

8. Używaj kluczy SSH zamiast haseł

• W przypadku dostępu SSH wybierz uwierzytelnianie oparte na kluczach zamiast haseł. Uwierzytelnianie oparte na kluczach jest bezpieczniejsze, ponieważ wymaga od atakującego dostępu do klucza prywatnego.

9. Monitoruj próby dostępu

• Skonfiguruj swój router MikroTik tak, aby rejestrował i ostrzegał o nieudanych próbach dostępu. Może to pomóc w wykryciu prób ataku i podjęciu proaktywnych działań.

10. Skonfiguruj poprawnie zaporę sieciową

• Upewnij się, że zapora sieciowa jest prawidłowo skonfigurowana, aby blokować niechciane pakiety i ograniczać liczbę nieudanych prób połączenia, na przykład korzystając z funkcji Szybkość połączenia.

Wdrożenie tych środków bezpieczeństwa może znacząco pomóc chronić router MikroTik przed atakami zewnętrznymi za pośrednictwem SSH i Telnet, zapewniając w ten sposób integralność i prywatność Twojej sieci.