6 рекомендаций по безопасному управлению роутерами MikroTik с помощью Winbox

6 рекомендаций по безопасному управлению роутерами MikroTik с помощью Winbox

Специалисты считают, что приложение Winbox от компании MikroTik одно из лучших, созданных для управления маршрутизаторами, с которыми когда-либо сталкивались по работе. Удобный интерфейс доступен через Webfig в любое время, хотя многое можно делать из командной строки.

Существуют некоторые меры предосторожности, которые необходимо принять во внимание тем, кто ежедневно использует Winbox для управления клиентскими устройствами, инфраструктурой WISP и т. д. К сожалению, сказано это было не для красного словца, программисты и тестировщики не успевают как следует проверить код и выкатывают релизы в продакшен с соответствующими результатами:
Раскрытие критической уязвимости в Winbox CVE-2018-14847

Но при соблюдении определенных правил использования Winbox, мы можем существенно снизить риски проникновения в нашу систему посторонних лиц. Никто не сможет подсказать какое количество времени вам понадобиться, для того, чтобы почистить инфраструктуру от заражения.

Во-первых, нам нужно убедиться, что Winbox обновлен.
Во-вторых, нам нужно понять, как можно с умом использовать сохраненные учетные данные.
В-третьих, нам необходимо внедрить в управлении информационной инфраструктурой своей организации лучшие практики для управления учетными данными в Winbox в целом.

Обновления

Лучше всего использовать новейшее стабильное, официально поддерживаемое программное обеспечение. К сожалению, на просторах сети можно столкнуться с софтом, который выполняет не совсем те функции, которые ожидаешь. Ссылка на официальный дистрибутив:
на февраль 2019 года MikroTik разместила версию 3.18 Winbox

Также это утверждение верно и для RouterOS. MikroTik добавил встроенный модуль обновления в Winbox, поэтому регулярные проверки новых версий приложение не отнимут много времени.

Откройте Winbox, затем нажмите Инструменты и проверьте наличие обновлений:check-winbox-for-updates

Делайте это на регулярной основе, примерно раз в месяц, на случай, если была выпущена новая версия, которая исправляет дыры в безопасности или добавляет новые функциональные возможности.

Управляемые хосты

Мы можем хранить профили подключения устройств в Winbox, чтобы упростить их повторное подключение. К сожалению, это может привести к плохой практике управления учетными данными. Ввод IP-адреса или имени хоста, логина и пароля, а затем нажатие кнопки «Добавить / установить» сохраняет наши учетные данные:

adding-managed-host
Добавление управляемого хоста

Любой, кто подойдет к компьютеру с открытым Winbox, может дважды щелкнуть на запись в табличной части и получить полный контроль над маршрутизатором. Мы можем установить мастер-пароль, который потребует пароль, прежде чем показать список доступных роутеров. Нажмите Set Master Password и повторите пароль дважды:

setting-winbox-master-password
Установка мастер-пароля Winbox

Благодаря вышеописанным действиям Winbox сначала запрашивает мастер-пароль, прежде чем дать нам доступ к учетным данным вашего оборудования.

using-master-password-in-winbox
Использование мастер-пароля в Winbox

Конечно, если компьютер с Winbox остается без присмотра после того, как мастер-пароль введен, данная защита не принесет нам никакой пользы, поэтому блокировка компьютера обязательна.

Для резервного копирования десятком или даже сотен профилей управляемого сетевого оборудования многие администраторы MikroTik сохраняют файл на диск. А затем этот файл может долго гулять между коллегами.

Экспорт списка учетных данных жно выполнить, нажав Инструменты (Tools), затем Экспорт (Export):

экспорт настроек winbox
Экспорт управляемых сетевых устройств из Winbox

СЮРПРИЗ! Экспортированный файл .WBX содержит всю регистрационную информацию в открытом виде, что позволяет легко восстановить сохраненные записи и пароли.

Содержимое файла находится в незашифрованном виде. Экспорт файла и его открытие в более сложном текстовом редакторе, таком как Notepad ++, показывает наши IP-адреса или имена хостов, имена пользователей и пароли:

winbox-plaintext-credentials
Учетные данные в Winbox хранятся открытым текстом

Сняв флажок «Сохранить пароль» (Keep Password), мы можем запретить Winbox сохранять пароль, но данный способ не очень удобен для повседневного использования.
Использование инструмента – Экспорт без паролей (Export Without Passwords) не выгружает пароли для управляемый устройств, поэтому это более безопасный вариант. Конечно, он по-прежнему будет экспортировать имена пользователей, что может позволить злоумышленнику начать атаку с помощью подбора пароля, но паролей он видеть не будет.

Выводы

Необходимо следовать следующим рекомендациям при хранении учетных данных в Winbox:

  1. На компьютерах с учетными данными, хранящимися в Winbox, блокируйте экран при отходе.
  2. Установите мастер-пароль, который необходимо ввести перед доступом к записям управляемого хоста.
  3. Не включайте пароли при экспорте списка управляемых хостов.
  4. Не делитесь файлом экспорта .WBX с другими.
  5. Если у вас должны быть пароли в экспортированном файле .WBX, зашифруйте его надежным ключом.
  6. Для путешествующих ноутбуков и планшетов с учетными данными, хранящимися в Winbox, шифруйте весь диск на случай кражи.

Поделиться
Класснуть
Телеграфировать

Оставьте комментарий

Adblock
detector