如果您不使用这些服务,建议禁用它们或指定允许访问的IP地址、IP范围或网段;这可以在菜单中调整 /IP/服务。另一种方法是创建规则 /防火墙过滤器 允许或拒绝通过 SSH 或 Telnet 进行的访问。
为了保护 MikroTik 路由器免受 SSH(Secure Shell)和 Telnet 攻击,必须实施一系列安全措施。
这些协议通常用于远程设备管理,但如果配置不当,可能容易受到攻击。
我们为您提供其他重要建议,以加强 MikroTik 路由器的安全性,抵御这些攻击:
1. 更改默认端口
- 对于 SSH 和 Telnet,请考虑将默认端口(SSH 为 22,Telnet 为 23)更改为其他非标准端口号。这可以显着减少自动攻击。
2. 禁用远程登录
- Telnet 并不安全,因为它以明文形式传输凭据和数据。建议完全禁用 Telnet 并使用 SSH 进行远程管理,因为 SSH 会对连接进行加密。
3. 使用强密码
- 确保所有帐户都有强大且唯一的密码。考虑使用密码管理器来生成和存储复杂的密码。
4. 限制IP访问
- 使用防火墙规则将 SSH 访问限制为仅已知且可信的 IP 地址。这极大地限制了谁可以尝试连接到您的路由器。
5. 启用双因素身份验证 (2FA)
- 如果可能,请为 SSH 访问启用双因素身份验证。这增加了额外的安全层。
6. 定期更新软件
- 确保您的 MikroTik 路由器始终更新为最新的 RouterOS 和固件,因为更新通常包括安全补丁。
7. 禁用来自 WAN 的 SSH 和 Telnet 访问
- 如果不需要远程管理路由器,建议禁用 WAN 接口的 SSH 和 Telnet 访问。这可以通过防火墙规则轻松完成。
8. 使用 SSH 密钥代替密码
- 对于 SSH 访问,请选择基于密钥的身份验证而不是密码。基于密钥的身份验证更安全,因为它要求攻击者有权访问私钥。
9. 监控访问尝试
- 配置您的 MikroTik 路由器以记录失败的访问尝试并发出警报。这可以帮助您检测攻击企图并采取主动措施。
10. 正确配置防火墙
- 确保您的防火墙已正确配置为阻止不需要的数据包并限制失败的连接尝试次数,例如使用连接速率功能。
实施这些安全措施可以显着帮助保护您的 MikroTik 路由器免受通过 SSH 和 Telnet 的外部攻击,从而确保网络的完整性和隐私。
这篇文章没有标签。