Подробный рассказ об известных на сегодняшний день багах в RouterOS ты можешь найти в статье «Опасный MikroTik. Разбираемся в уязвимостях популярных роутеров».

Обновления

Несмотря на страшные описания и действительно большую опасность, которую таят в себе уязвимости, стоит отдать должное разработчикам MikroTik: они в кратчайшие сроки выпускают патчи. Многие дыры закрываются еще до их утечки в паблик, оставшиеся — в течение дня-двух. Поэтому первое, на что нужно обратить внимание, — актуальность версии RouterOS на твоем девайсе. Автоматически система не обновляется, поэтому за появлением новых версий нужно следить вручную. В разделе Software на сайте MikroTik лежат актуальные версии операционной системы и отдельных пакетов. Простейший способ обновиться: System -> Packages -> Check For Updates -> Download and Install.

Те же действия можно выполнить, набрав в консольной строке роутера следующую команду: /system package update install.

Доступны четыре ветки разработки: Long-term, Stable, Testing Рё Development. Для критичных систем рекомендуется ставить Long-term. Железка, которая может полежать пару РјРёРЅСѓС‚ РІ процессе обновления, достойна Stable, остальные ветки оставь для экспериментов РЅР° домашнем роутере. Перед обновлением внимательно читай Changelog. Р?РЅРѕРіРґР° полностью перерабатываются некоторые части РћРЎ, после чего РѕРЅРё РЅРµ СЃРїРѕСЃРѕР±РЅС‹ работать СЃРѕ старой конфигурацией (так было, например, СЃ bridge РІ 6.41).

Если ты счастливый владелец нескольких роутеров MikroTik, помни, что массовый апгрейд стандартными средствами невозможен, но можно воспользоваться The Dude или самописными скриптами.

Packages

Следующее, за что можно взяться для повышения безопасности, — отключить ненужную функциональность. Не используешь IPv6 — отключай, не нужен Wi-Fi — отключи весь модуль, отвечающий за него (все в том же меню System → Packages). Обрати внимание, что полностью удалить из системы можно только дополнительные пакеты, то есть те, что не входят в routeros-platformname.

Службы

Р’СЃРµ СѓРіСЂРѕР·С‹ для MikroTik работают, только если админ заранее РЅРµ позаботился Рѕ безопасности. РџСЂРё элементарных настройках служб Рё файрвола роутер проработает РіРѕРґС‹ без обновлений. Р’ меню IP в†’ Services отключи ненужные службы. Рекомендую открывать только SSH Рё Winbox СЃ определенных адресов, остальное — disable. РўРѕРіРѕ же самого эффекта можно добиться командой /ip service disable ftp.

Теги: CSS