главная - Статьи - Mikrotik

Winbox port на Mikrotik

Дата обновления: 04.02.2022

Теги: Mikrotik Безопасность Winbox

Mikrotik - это маленький, но компьютер, имеющий несколько сетевых интерфейсов, операционную систему, память, процессор и, как любая другая "взрослая" операционка, свой функционал здесь разделен на ядро и обслуживающие его сервисы, с помощью которых мы можем настраивать поведение роутера. Один из самых удобных и нужных сервисов - графический интерфейс к настройкам - Winbox. На каком порте mikrotik ждет подключения от клиента Winbox?

Какой порт у winbox?

Узнать этот port не сложно, в графическом виде это IP -> Services, в терминале /ip service

/ip service> print

Flags: X - disabled, I - invalid
#   NAME                    PORT ADDRESS                  CERTIFICATE                      
 0 XI telnet                23
 1 XI ftp                   21 192.168.88.0/24                                                       
 2   www                    80 192.168.88.0/24                                                       
                            192.168.112.0/24                                                      
 3 XI ssh                   22
 4 XI www-ssl               443                           none                            
 5 XI api                   8728
 6   winbox                 8291
 7 XI api-ssl               8729                          none

Winbox слушает порт 8291/tcp.

 

Способы защиты Winbox

 

Winbox - один из удобных, но при этом уязвимых путей к сердцу mikrotik, соответственно, этот сервис надо защищать.

1) Firewall, тут все понятно, запретить/разрешить входящие (input) на порт winbox (8291/tcp).
2) Отключение сервиса winbox (но надо иметь другой доступный способ управлять mikrotik - ssh или web, так что если запрещать winbox, то я бы сначала залогинился по ssh и немного поработал бы в консоли, перед тем, как отключать.
3) Разрешить доступ к порту Winbox только с определенных сетей/адресов в настройках сервиса winbox ("AVAILABLE FROM"):

/ip service> set winbox address=192.168.88.0/24,192.168.112.0/24

Это не решит проблему если будет найдена очередная уязвимость в сервисе winbox, да и все то же самое можно сделать в firewall, поэтому, возможно, это не самый популярный метод.

Winbox по MAC-адресу

Вы удивитесь, если попробуете, к примеру, запретить доступ к Winbox с помощью firewall. К примеру, по IP вы запретите заходить на mikrotik, но по mac-адресу все равно можно будет войти на роутер. Хорошенькое дело! IP - это третий уровень модели OSI, а MAC - второй. Надо идти глубже! Про bridge слыхали? Вот. Надо запрещать доступ к Winbox на уровне бриджа - там нет established и related, там все похоже, но немного иначе. И действовать надо очень осторожно, запрещая что-то сначала не на всех интерфейсах, а, к примеру, только на одном. И - логируйте господа, логируйте!

Другими словами, лучшая защита winbox - это отключить его совсем! 

Авторизуйтесь для добавления комментариев!

    забыли пароль?    новый пользователь?