近期互联网整对Mirotik系列路由器做了大规模的渗透和入侵,所以提供给大家ros安全加固方法:
1.将默认用户名admin更改为其他名称
/user set 0 name=superrootman
2.设置高强度的密码
/user set 0 password="很复杂的密码!@#"
3.通过IP地址访问
/user set 0 allowed-address=xxxx/yy
4.只保留安全的服务
/ip service disable telnet,ftp,www,api,api-ssl
注意:该操作会禁用Telnet,FTP,WWW,API,API-SSL
5.更改默认端口,这将立即停止大多数随机SSH暴力登录尝试
/ip service set ssh port=220
6.设置Winbox允许登陆的网段
/ip service set winbox address=192.168.0.0/16
7.禁用mac-telnet服务
/tool mac-server set allowed-interface-list=none
8.禁用mac-winbox服务
/tool mac-server mac-winbox set allowed-interface-list=none
9.禁用mac-ping服务
/tool mac-server ping set enabled=no
10.邻居发现
MikroTik邻居发现协议用于显示和识别网络中的其他MikroTik设备,禁用所有接口上的邻居发现
11.禁用IPv4 的邻居发现协议
/ip neighbor discovery-settings set discover-interface-list=none
12.禁用IPv6 的邻居发现协议
/ipv6 nd set [find] disabled=yes
13.带宽服务器用于测试两个MikroTik路由器之间的吞吐量,请在测试后禁用它
/tool bandwidth-server set enabled=no
14.DNS缓存
/ip dns set allow-remote-requests=no
15.设置更安全的SSH访问,打开SSH强加密
/ip ssh set strong-crypto=yes
16.关闭 Proxy,Socks代理
/ip proxy set enabled=no
/ip socks set enabled=no
17.MikroTik UPnP服务(通用即插即用协议)
/ip upnp set enabled=no
18.MikroTik自带的DDNS服务器(动态域名解析)
如果不是使用的话请用以下命令禁用
/ip cloud set ddns-enabled=no update-time=no
某些型号的RouterBOARD有LCD模块用于信息显示
/lcd set enabled=no
19.如果你的路由器不提供VPN服务,请用以下命令关闭VPN
/interface l2tp-server server set enabled=no
/interface pptp-server server set enabled=no
/interface sstp-server server set enabled=no
/interface ovpn-server server set enabled=no
20.禁用在设备上使用Radius进行授权
/user aaa set use-radius=no
21.禁ping