Winbox port на Mikrotik
Дата обновления: 04.02.2022Теги: Mikrotik Безопасность Winbox
Mikrotik - это маленький, но компьютер, имеющий несколько сетевых интерфейсов, операционную систему, память, процессор и, как любая другая "взрослая" операционка, свой функционал здесь разделен на ядро и обслуживающие его сервисы, с помощью которых мы можем настраивать поведение роутера. Один из самых удобных и нужных сервисов - графический интерфейс к настройкам - Winbox. На каком порте mikrotik ждет подключения от клиента Winbox?
Какой порт у winbox?
Узнать этот port не сложно, в графическом виде это IP -> Services, в терминале /ip service
/ip service> print Flags: X - disabled, I - invalid # NAME PORT ADDRESS CERTIFICATE 0 XI telnet 23 1 XI ftp 21 192.168.88.0/24 2 www 80 192.168.88.0/24 192.168.112.0/24 3 XI ssh 22 4 XI www-ssl 443 none 5 XI api 8728 6 winbox 8291 7 XI api-ssl 8729 none
Winbox слушает порт 8291/tcp.
Способы защиты Winbox
Winbox - один из удобных, но при этом уязвимых путей к сердцу mikrotik, соответственно, этот сервис надо защищать.
1) Firewall, тут все понятно, запретить/разрешить входящие (input) на порт winbox (8291/tcp).
2) Отключение сервиса winbox (но надо иметь другой доступный способ управлять mikrotik - ssh или web, так что если запрещать winbox, то я бы сначала залогинился по ssh и немного поработал бы в консоли, перед тем, как отключать.
3) Разрешить доступ к порту Winbox только с определенных сетей/адресов в настройках сервиса winbox ("AVAILABLE FROM"):
/ip service> set winbox address=192.168.88.0/24,192.168.112.0/24
Это не решит проблему если будет найдена очередная уязвимость в сервисе winbox, да и все то же самое можно сделать в firewall, поэтому, возможно, это не самый популярный метод.
Winbox по MAC-адресу
Вы удивитесь, если попробуете, к примеру, запретить доступ к Winbox с помощью firewall. К примеру, по IP вы запретите заходить на mikrotik, но по mac-адресу все равно можно будет войти на роутер. Хорошенькое дело! IP - это третий уровень модели OSI, а MAC - второй. Надо идти глубже! Про bridge слыхали? Вот. Надо запрещать доступ к Winbox на уровне бриджа - там нет established и related, там все похоже, но немного иначе. И действовать надо очень осторожно, запрещая что-то сначала не на всех интерфейсах, а, к примеру, только на одном. И - логируйте господа, логируйте!
Другими словами, лучшая защита winbox - это отключить его совсем!
Авторизуйтесь для добавления комментариев!