Protected RouterBOOT - защищаем Mikrotik
Дата обновления: 14.07.2022Теги: Безопасность Mikrotik
Вы никогда не думали о том, что в вашем любимом микротике могут храниться вполне себе конфиденциальные сведения? Пароль админа может быть одинаковым на нескольких роутерах, логины, пароли или сертификаты VPN, параметры маршрутизации, логика сетевого машрутизатора и т.п. А теперь представьте, если в один прекрасный день ваш роутер... нет, не сгорит, а его украдут? Например, в бизнес-центре. Или в филиале. Просто вдруг вам позвонит рядовой сотрудник с жалобой, что "пропал интернет". Вы приедете, а роутера нет. А в нем бекапы были за последние 3 года, вские комментарии параметров и прочее. Например, для RouterOS 6.29-6.42 есть инструкции, как сменить пароль без потери конфигурации. А что еще найдут? Или просто - как защитить роутер от того, чтобы его тупо не перепрошили без вашего ведома, подключившись к роутеру локально?
От этого есть защита. Называется Protected RouterBOOT.
Protected RouterBOOT
Это режим защиты, в котором блокируется загрузчик, блокируется стандартное поведение кнопки Reset, нельзя сбросить устройство через Netinstall, не работает консоль. Войти в роутер можно только зная логин/пароль админа.
protected-routerboot (enabled | disabled; Default: disabled)
/system routerboard settings set protected-routerboot=enabled
Если включен Protected RouterBOOT (System - Routerboard - Settings) и вы забудете пароль админа, единственный путь для сброса роутера будет переформатирование NAND и RAM, но вы должны будете знать, сколько секунд удерживать кнопку Reset.
Параметры:
reformat-hold-button (5s .. 300s; Default: 20s)
reformat-hold-button-max (5s .. 600s; Default: 10m)
enable-jumper-reset
Пример команды:
/system routerboard settings set protected-routerboot=enabled reformat-hold-button="80s" reformat-hold-button-max="90s"
В качестве спасательного средства можно сбросить ВСЕ нажав и удерживая кнопку Reset ДОЛЬШЕ чем время reformat-hold-button
, но меньше, чем reformat-hold-button-max
(начиная с RouterBOOT 3.38.3). Т.е. если вы включили защищенный режим, установили reformat-hold-button
в 80 секунд, а reformat-hold-button-max
в 90 секунд, то только отпустив кнопку в этом временном интервале можно будет сбросить mikrotik. Если сделать такой период с 230 до 240 сек, то фактически, вы установите непроходимую защиту от сброса. Это же надо знать, что кнопку сброса надо отпустить в этом конкретном промежутке времени.
Если установить reformat-hold-button
и reformat-hold-button-max
в одно значение, скажем, 20 сек, или 100 (не важно), то все. Кирпич. Сбросить девайс будет невозможно (без программатора или выпаивания микросхем) но это уже экстрим и выходит за рамки статьи).
Запрет сброса джампером на плате:
/system routerboard settings set enable-jumper-reset=no
По-умолчанию, опция enable-jumper-reset
установлена в yes.
Действия с этими параметрами в wiki Mikrotik называют EXTREMELY DANGEROUS (чрезвыйчайно опасно). Но, согласитесь, таким может похвастать не всякий роутер!
Если уж дойдет до восстановления, то для удобства отсчета нужного времени роутер будет мигать светодиодом - секунду горит, секунду выключен.
Возможные последствия: процесс обслуживания может существенно усложниться. А если вы случайно сами пароль потеряете, то усложнится в разы :)
Перед любыми действиями с этими настойками ДУМАЙТЕ несколько раз, надо ли вам это, делайте бекап конфига (/export file=backup.rsc) и обязательно скопируйте файл бекапа на внешний носитель.
Авторизуйтесь для добавления комментариев!