Сервер в кармане, или просто о сложном!

главная - Статьи - Mikrotik

Winbox port на Mikrotik

Теги: Mikrotik Безопасность Winbox

Mikrotik - это маленький, но компьютер, имеющий несколько сетевых интерфейсов, операционную систему, память, процессор и, как любая другая "взрослая" операционка, свой функционал здесь разделен на ядро и обслуживающие его сервисы, с помощью которых мы можем настраивать поведение роутера. Один из самых удобных и нужных сервисов - графический интерфейс к настройкам - Winbox. На каком порте mikrotik ждет подключения от клиента Winbox?

Какой порт у winbox?

Узнать этот port не сложно, в графическом виде это IP -> Services, в терминале /ip service

/ip service> print

Flags: X - disabled, I - invalid
#   NAME                    PORT ADDRESS                  CERTIFICATE                      
 0 XI telnet                23
 1 XI ftp                   21 192.168.88.0/24                                                       
 2   www                    80 192.168.88.0/24                                                       
                            192.168.112.0/24                                                      
 3 XI ssh                   22
 4 XI www-ssl               443                           none                            
 5 XI api                   8728
 6   winbox                 8291
 7 XI api-ssl               8729                          none

Winbox слушает порт 8291/tcp.

 

Способы защиты Winbox

 

Winbox - один из удобных, но при этом уязвимых путей к сердцу mikrotik, соответственно, этот сервис надо защищать.

1) Firewall, тут все понятно, запретить/разрешить входящие (input) на порт winbox (8291/tcp).
2) Отключение сервиса winbox (но надо иметь другой доступный способ управлять mikrotik - ssh или web, так что если запрещать winbox, то я бы сначала залогинился по ssh и немного поработал бы в консоли, перед тем, как отключать.
3) Разрешить доступ к порту Winbox только с определенных сетей/адресов в настройках сервиса winbox ("AVAILABLE FROM"):

/ip service> set winbox address=192.168.88.0/24,192.168.112.0/24

Winbox port Mikrotik

Это не решит проблему если будет найдена очередная уязвимость в сервисе winbox, да и все то же самое можно сделать в firewall, поэтому, возможно, это не самый популярный метод.


Авторизуйтесь для добавления комментариев!


    забыли пароль?    новый пользователь?