作者:吃完_睡
现实生活中无线路由器就是设备入网的关口,如果你的路由器受到了恶意软件感染或攻击,那么你所有联网的设备都容易受到攻击,包括你的电脑、手机、智能设备。
注:当路由器使用 PPPOE 方式获取到公网地址后,此时世界各地以及任何人都可以访问此路由器;为了保护设备被入侵或攻击必须采取一些安全设置。
一. 系统相关 「System」
1. 增加、禁用、修改、限制账号「Users」
新建管理账号「ZhiDeMai」,赋予新账号读取与写入权限「full」,限制新账号仅允许局域网登录「192.168.88.0/24」,输入密码以及确认密码,保存参数;退出并重新登录。
浏览器地址栏输入 192.168.88.1 重新进入路由器后台管理页面;输入账号:ZhiDeMai(新建自定义账号名称)与密码(自定义强密码),成功进入后将默认管理账号「admin」禁用或删除。
注:192.168.88.0/24 = 192.168.88.1~192.168.168.88.254 (官方默认脚本下局域网网段)
使用自定义名称的账号而非默认脚本账号「admin」以及限制账号使用特定 IP 地址访问有助于增强安全。
2. 修改登陆账号密码「Password」
有更换密码需求且不需要更改账号名,通过「Password」可直接修改正在登录中的账号密码。
3. 系统更新「Packages」
请尽量确保路由器所运行的固件版本是最新版;一些较旧的版本存在某些BUG或漏洞,这些BUG或漏洞在新版本中会被修复;尽量让路由器保持最新状态,以确保其安全。
注:家庭日常使用建议选择:稳定版「stable」或长期维护「long term」
二. 网络相关「IP」
1. 禁用、修改、限制服务「Services」
进入「Services」选中要禁用的服务,并点击按钮「D」,即可禁用相关服务;被禁用后的项目将由黑色变成灰色。
点击项目进入详细信息编辑,修改默认端口,限制服务仅允许在局域网内登录,保存并退出登录;浏览器地址栏输入 192.168.88.1:45676 重新进入路由器后台管理页面。
注:「Services」中允许IP及IP网段设置:限制使用此服务全体;比如图中设置的「www」服务仅允许局域网内设备访问,不属于局域网内设备访问都会被拒绝(无法打开网页或网页错误)。
192.168.88.0/24 = 192.168.88.1~192.168.168.88.254 (官方默认脚本下局域网网段)
2. 防火墙「Firewall」
官方默认脚本已配置几条防火墙也完全可以满足日常使用;(很抱歉,本人也属于小白,如果有兴趣可以看官方WIKI或Linux中关于iptables服务部分。)
新增一条防火墙规则,Chain:input,协议:UDP,端口:53,接口列表:WAN,活动:丢弃;保存。
注:此规则防止路由器被别人恶意用来当ddos放大攻击的工具;(图中规则5已经包含此规则,应该不需要添加)
建议:禁用规则3可以禁止外网ping;规则6和7也建议禁用。(如有错误请指正,谢谢。)
3. 通用即插即用「UPNP」
进入「UPNP」查看配置状态。(默认禁用)
注:UPnP是通用即插即用(Universal Plug and Play)的缩写,主要用于设备的智能互联互通;开启后,在局域网中设备或应用程序向路由器发出端口映射请求的时候,路由器就可以自动为支持设备分配端口并进行端口映射以便公网用户能对内网设备发起连接;如无需要应禁用,避免设备在不知情情况下暴露在公网环境中。
4. Neighbors「Neighbors」& Cloud「Cloud」& Web Proxy「Web Proxy」& Socks「Socks」
进入「Neighbors」设置参数。
进入「Cloud」&「Web Proxy」&「Socks」查看配置状态(默认禁用)
三. 工具「Tool」
1. MAC 服务「MAC Server」
MAC 服务,在同一局域网内即使没有给 RouterOS 设置 IP 地址,也可以通过 MAC 地址访问和管理 RouterOS 设备。
2. 宽带测试服务「BTest Server」
禁用BTest Server。
注:测试两台 MikroTik 设备之间吞吐量,日常使用应该禁用。
文章中涉及安全方面设置如有错误请指正,我会尽快修改补充,谢谢;也希望此文可以对值友有所帮助。
参考资料来源: