Mikrotik RouterOS(ROS)软路由安全加固

在我们现实生活中，路由器几乎是所有设备入网的关口。如果我们的路由器受到攻击，所有联网的设备都可能受到攻击，包括电脑、手机、智能设备等。

RouterOS概述

今天我们主要讲一下Mikrotik RouterOS，以下简称ROS，我们在购买ROS或搭建ROS后，需要对安全进行一个简单的加固。

再来进行一个扫盲，简单来讲，Mikrotik 软路由器厂商，该公司位于拉脱维亚。而RouterOS，就是该公司的最核心产品，有软件、也有硬件。引用官网的一段话：

MikroTik RouterOS是一种路由操作系统，并通过该软件将标准的PC电脑变成专业路由器，在软件的开发和应用上不断的更新和发展，软件经历了多次更新和改进，使其功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能，其极高的性价比，受到许多网络人士的青睐。RouterOS在具备现有路由系统的大部分功能，能针对网吧、企业、小型ISP接入商、社区等网络设备接入，基于标准的x86构架的PC。

安全加固建议

ROS可以大致从以下几个方面来加固安全：

1、禁止外网Ping
2、禁用默认账号（admin）
3、设置强密码
4、白名单登录
5、其他

接下来我们把这些步骤全部写出来，让大家一看就懂，一操作就会。

安全加固设置

1、禁止外网Ping

禁Ping是一种最常见的安全措施，可以防止“攻击者”通过Ping扫描来确定您的网络是否存在。可通过以下步骤来禁止外网Ping：

1）登录到Mikrotik RouterOS的管理界面。

2）进入"IP"菜单下的"Firewall"子菜单。

3）在"Firewall Rules"选项卡下，创建一个新的规则。

4）设置"Chain"为"input"，“Protocol"为"icmp”。

5）在"Action"设置中选择"drop"，即丢弃所有传入的icmp流量。

6）保存并应用规则

2、禁用默认账号（admin）

可通过2种办法来禁用admin，一是直接禁用，使用其他管理员账号登录维护；二是直接修改admin，这样即系统无admin账号；

我们使用第一种方式来演示：

1）登录到Mikrotik RouterOS的管理界面。

2）进入"System"菜单下的"Users"子菜单。

3）找到默认的管理员账号"admin"，点击编辑按钮。

4）在"Name"字段中输入一个新的管理员账号名称。

5）保存修改。

3、设置强密码

任何系统的管理员密码都是非常重要的，强密码对于 Mikrotik RouterOS更是如此。为了确保密码的安全性，建议设置一个高强度的管理员密码。以下是一些创建高强度密码的建议：

1）使用至少16个字符的密码，包括大写字母、小写字母、数字和特殊字符3种以上组合。

2）避免使用常见的密码，如"123456"、"password"、“admin”等。

3）定期更改管理员密码，以防止密码泄露，建议3个月修改一次。

管理人员通过设置高强度管理员密码，可以提高系统的安全性，减少密码被破解的风险。

4、白名单登录

ROS本身支持“白名单”或“黑名单”，为了进一步增加系统的安全性，您可以限制允许登录Mikrotik RouterOS的IP网段。

通过限制允许登录的IP网段，您可以防止未经授权的访问尝试。例如只允许办公室IP连接ROS，其他全部DROP。

以下是一些限制允许登录的IP网段的步骤：

1）登录到 ROS 的管理界面。

2）进入"IP" 菜单下的"Services"子菜单。

3）找到"Winbox"服务，点击编辑按钮。

4）在"Allowed Addresses"字段中输入允许登录的IP网段，多个网段之间使用逗号分隔。

5）保存修改。

5、其他

除了上面4台，还有很多其他需要注意的点，例如关闭不必要的服务端口、禁用MAC地址登录、禁止SSH登录并限制允许的IP地址等等。

以上几点的设置，大家可以自行测试，如果还是不行，可网上搜索或留言。

引用资料

Securing your router

How To Secure Mikrotik Devices