Сервер в кармане, или просто о сложном!

главная - Статьи - Mikrotik

Protected RouterBOOT - защищаем Mikrotik

Дата: 12.02.2020

Теги: Безопасность Mikrotik

Вы никогда не думали о том, что в вашем любимом микротике могут храниться вполне себе конфиденциальные сведения? Пароль админа может быть одинаковым на нескольких роутерах, логины, пароли или сертификаты VPN, параметры маршрутизации, логика сетевого машрутизатора и т.п. А теперь представьте, если в один прекрасный день ваш роутер... нет, не сгорит, а его украдут? Например, в бизнес-центре. Или в филиале. Просто вдруг вам позвонит рядовой сотрудник с жалобой, что "пропал интернет". Вы приедете, а роутера нет. А в нем бекапы были за последние 3 года, вские комментарии параметров и прочее. Например, для RouterOS 6.29-6.42 есть инструкции, как сменить пароль без потери конфигурации. А что еще найдут? Или просто - как защитить роутер от того, чтобы его тупо не перепрошили без вашего ведома, подключившись к роутеру локально?

От этого есть защита. Называется Protected RouterBOOT.

Protected RouterBOOT

Это режим защиты, в котором блокируется загрузчик, блокируется стандартное поведение кнопки Reset, нельзя сбросить устройство через Netinstall, не работает консоль. Войти в роутер можно только зная логин/пароль админа.

protected-routerboot (enabled | disabled; Default: disabled)

/system routerboard settings set protected-routerboot=enabled

Если включен Protected RouterBOOT (System - Routerboard - Settings) и вы забудете пароль админа, единственный путь для сброса роутера будет переформатирование NAND и RAM, но вы должны будете знать, сколько секунд удерживать кнопку Reset.

Параметры:

reformat-hold-button (5s .. 300s; Default: 20s)

reformat-hold-button-max (5s .. 600s; Default: 10m)

В качестве спасательного средства можно сбросить ВСЕ нажав и удерживая кнопку Reset ДОЛЬШЕ чем время reformat-hold-button, но меньше, чем reformat-hold-button-max (начиная с RouterBOOT 3.38.3). Т.е. если вы включили защищенный режим, установили reformat-hold-button в 80 секунд, а reformat-hold-button-max в 90 секунд, то только отпустив кнопку в этом временном интервале можно будет сбросить mikrotik. Если сделать такой период с 230 до 240 сек, то фактически, вы установите непроходимую защиту от сброса. Это же надо знать, что кнопку сброса надо отпустить в этом конкретном промежутке времени.

Если установить reformat-hold-button и reformat-hold-button-max в одно значение, скажем, 20 сек, или 100 (не важно), то все. Кирпич. Сбросить девайс будет невозможно (без программатора или выпаивания микросхем) но это уже экстрим и выходит за рамки статьи).

Действия с этими параметрами в wiki Mikrotik называют EXTREMELY DANGEROUS (чрезвыйчайно опасно). Но, согласитесь, таким может похвастать не всякий роутер!

Если уж дойдет до восстановления, то для удобства отсчета нужного времени роутер будет мигать светодиодом - секунду горит, секунду выключен.

Перед любыми действиями с этим режимом делайте бекап конфига (/export file=backup.rsc) и обязательно скопируйте файл бекапа на внешний носитель.


Авторизуйтесь для добавления комментариев!


    забыли пароль?    новый пользователь?