И наконец поговорим про продвинутую защиту MikroTik, которая строится на одном важном вопросе: кто именно может разговаривать с самим роутером и по каким протоколам. В этом и есть главное отличие RouterOS от массы домашних устройств. Здесь можно не просто включить пару базовых опций, а довольно тонко отрезать всё лишнее. Правда, есть и обратная сторона. Одно неверное правило, и роутер уже не отвечает даже вам. Так что ниже не про первый запуск и не про базовые вещи вроде начального пароля, а именно про более глубокую настройку.
У MikroTik есть ещё одна особенность, о которой лучше сказать сразу. В WinBox и WebFig названия разделов и параметров обычно используются в оригинале, без полноценного официального русского интерфейса. Поэтому в статье пункты меню и свойства RouterOS приведены так, как они называются у самого производителя. Иначе получится не помощь, а пересказ с самодельными переводами, которые потом невозможно найти в реальном окне настроек.
Как закрыть плоскость управления и не светить роутер лишний раз
Самая полезная продвинутая мера в RouterOS касается не Wi-Fi и не скорости, а цепочки input. Именно она отвечает за трафик, который идёт на сам роутер. Для домашнего или малого офисного сценария логика простая: из списка WAN к самому устройству не должно прилетать почти ничего, кроме строго разрешённых исключений. MikroTik в своих примерах для port knocking и в материалах по защите прямо исходит из схемы, где входящие подключения с внешней стороны по умолчанию отбрасываются, а нужный доступ открывается точечно. Если это не сделать, роутер становится мишенью для автоматических сканов и попыток проникновения, а такие знакомства обычно ничем хорошим не заканчиваются.
Следующий слой, который у MikroTik часто недооценивают - это доступ по MAC. RouterOS поддерживает MAC Telnet, MAC WinBox и MAC Ping. Удобно? Да, особенно когда IP ещё не поднят. Но после ввода в эксплуатацию держать такой доступ где попало не стоит. В официальной документации MikroTik отдельно показывает параметры allowed-interface-list для /tool mac-server и /tool mac-server mac-winbox. Практический смысл очень простой: либо ограничить MAC-доступ только доверенным интерфейсом, например внутренним мостом, либо вовсе поставить none. Для дома это одна из самых недооценённых защитных мер.
По той же причине стоит привести в порядок Neighbor Discovery. По умолчанию эта функция очень удобна для поиска устройств в одном широковещательном домене, но вместе с удобством она показывает соседям модель, адреса и другие данные. MikroTik прямо рекомендует отключать обнаружение на всех интерфейсах через discover-interface-list=none, если такая видимость не нужна. Более мягкий вариант для реальной жизни выглядит ещё разумнее: оставить обнаружение только на внутреннем списке интерфейсов LAN и не публиковать устройство наружу. Для квартирной сети, офиса и особенно для публичных площадок это здравая настройка, а не паранойя.
Отдельно стоит проверить всё, что RouterOS умеет слушать само по себе. В документации MikroTik по защите перечислены сервисы, которые в рабочей среде лучше держать выключенными без необходимости: Bandwidth Server, Proxy, Socks, UPnP, а также IP Cloud, если не нужен встроенный DDNS и обновление времени. Здесь логика без сюрпризов. Чем меньше на роутере дополнительных сервисов, тем меньше точек, о которые можно удариться. Особенно это важно на устройствах, где RouterOS используют не только как роутер, но и как полигон для экспериментов.
Если удалённый доступ к самому MikroTik всё-таки нужен, самый аккуратный путь не в том, чтобы просто открыть WinBox или WebFig на белый адрес. Гораздо спокойнее оставить управление только через доверенные адреса, а ещё лучше пускать его поверх VPN. В RouterOS v7 для этого давно есть WireGuard. А если хочется совсем аккуратной схемы, MikroTik официально описывает и port knocking, где доступ открывается только после правильной последовательности обращений к портам и добавления адреса в address-list. Для домашней сети мера уже не обязательная, но для удалённого администрирования вполне здравая.
| Настройка | Где искать | Что даёт |
|---|---|---|
| Цепочка input и Interface Lists | IP → Firewall → Filter Rules, Interfaces → Interface List | Отделяет доступ к роутеру от обычного транзитного трафика |
| MAC WinBox / MAC Telnet | Tools → MAC Server | Ограничивает или отключает доступ к роутеру по MAC-адресу |
| Neighbor Discovery | IP → Neighbors | Убирает лишнюю видимость роутера в локальном сегменте |
| IP Cloud | IP → Cloud | Отключает встроенный DDNS, если удалённое имя не нужно |
| Bandwidth Server | Tools → Bandwidth Server | Убирает сервис тестирования пропускной способности из рабочей среды |
Какие продвинутые параметры чаще всего дают реальную защиту
Очень полезная история в RouterOS связана с SSH. У MikroTik сервер SSH включён штатно, а в свойствах есть параметр strong-crypto. В официальной документации производитель прямо рекомендует включать более строгие настройки SSH через /ip ssh set strong-crypto=yes. Это связано с защитой от брутфорса и рисками автоматических атак на слабую аутентификацию. Для роутера, которым управляют через консоль, это одна из самых разумных мелочей. Особенно если доступ идёт не только из локальной сети. Плюс у самого SSH есть параметр password-authentication, и если вход уже переведён на ключи, парольную аутентификацию лучше не держать про запас без причины.
Следующий недооценённый участок, как ни странно, это DNS. В RouterOS параметр allow-remote-requests определяет, будет ли роутер отвечать на DNS-запросы удалённых клиентов. MikroTik отдельно предупреждает: если этот режим включён, доступ к TCP и UDP порту 53 нужно ограничивать только известными узлами. На практике смысл простой. DNS требует защиты, и если роутер не должен работать как DNS-кэш для клиентов, эту функцию лучше не включать вообще. А если должен, то доступ к нему надо резать правилами межсетевого экрана и не превращать устройство в удобный внешний DNS-сервис для всех желающих.
Для защиты от перебора паролей MikroTik предлагает не теорию, а вполне рабочую схему на address-list. В официальном примере по Bruteforce prevention показан вариант защиты SSH через накопление адресов по этапам и последующее помещение источника в чёрный список. Это не волшебная кнопка и не замена нормальному ограничению доступа, но как дополнительный слой работает хорошо. Особенно в сценариях, где SSH должен быть доступен извне для узкого круга адресов.
Ещё один момент, который часто упускают даже опытные пользователи, это права учётных записей. У MikroTik стандартная группа read вовсе не такая безобидная, как кажется по названию. В документации RouterOS прямо сказано, что даже она включает sensitive, reboot и другие важные политики, поэтому такую группу не стоит выдавать недоверенным пользователям. Если кому-то нужен ограниченный доступ к просмотру отдельных параметров, безопаснее создавать собственную группу с точным набором прав, а не надеяться на слово read в названии.
И, наконец, есть чисто микротиковский соблазн включить всё сразу: RoMON, API, REST API, сниффер, контейнеры, прокси, дополнительные сетевые сервисы. RouterOS это позволяет, и именно поэтому на MikroTik особенно важно держаться простого правила. Каждый активный механизм должен отвечать на вопрос зачем он тут вообще нужен. Если в сети нет внешней системы управления, не нужен REST API. Если никто не мониторит роутер по SNMP, незачем оставлять лишние службы только потому, что они когда-нибудь пригодятся. На MikroTik безопасность очень часто выглядит не как сложная магия, а как скучное, но полезное умение вовремя сказать этой функции здесь не место.
- Оставляйте управление роутером только через доверенные интерфейсы и адреса.
- Ограничивайте или отключайте MAC WinBox и MAC Telnet после ввода устройства в работу.
- Не держите Neighbor Discovery включённым на внешней стороне.
- Включайте strong-crypto для SSH и убирайте парольный вход, если уже используете ключи.
- Не включайте allow-remote-requests для DNS без чёткой необходимости и правил фильтрации.
- Осторожнее с группой read. Для ограниченного доступа лучше делать свою группу прав.
- Port knocking полезен там, где нужен редкий удалённый доступ, а не постоянно открытый WinBox.
- Address-list подходит не только для блокировок, но и для аккуратных белых списков.
- IP Cloud, Proxy, Socks, UPnP и Bandwidth Server не стоит держать включёнными без задачи.
FAQ
Есть ли у RouterOS полноценный официальный русский интерфейс?
В повседневной работе WinBox и WebFig используют оригинальные английские названия разделов и параметров, поэтому безопаснее ориентироваться именно на них.
Нужно ли вообще отключать Neighbor Discovery?
На внешних интерфейсах да, это хорошая практика. На внутренней стороне можно оставить только для доверенного списка интерфейсов, если функция действительно нужна.
Стоит ли оставлять MAC WinBox включённым навсегда?
Обычно нет. После ввода роутера в работу лучше ограничить его внутренним сегментом или отключить совсем.
Когда нужен allow-remote-requests в DNS?
Только если роутер действительно должен обслуживать DNS-запросы клиентов. Во всех остальных случаях лучше оставить параметр выключенным.
Какой продвинутый механизм защиты у MikroTik самый практичный?
В реальной жизни лучше всего работают не экзотические трюки, а связка из жёсткой цепочки input, ограничений по Interface Lists, аккуратного SSH, адресных списков и отключения ненужных сервисов.
