Elk accespoint, elke router of switch die niet ‘veilig’ is geconfigureerd vormt een zwakke schakel in het netwerk. Vaak ligt het zwaartepunt in de beveiliging bij de firewall maar dit is slechts een onderdeel van het geheel. Volg bij elk onderdeel in een netwerk de volgende stappen om de mate van beveiliging op te schroeven:

  • Standaard is er een gebruikersaccount aanwezig (System->Users). De naam daarvan is ‘admin’ en het wachtwoord is leeg. (dit wachtwoord moet je bij eerste inlog in v7 overigens wel aanmaken)
    1. Maak een nieuwe gebruiker aan met een nieuwe naam en een nieuw wachtwoord. Noem deze niet ‘admin’, ‘root’, ‘Adminstrator’ of iets dergelijks. Gebruik een ‘gewone’ naam en een uniek wachtwoord en geef dit account ‘full rights.
    2. Log in met het nieuwe account en verwijder het ‘admin’ account
  • Schakel niet gebruikte services uit (IP->Services)
    1. In ieder geval ‘Telnet’ maar ook ‘www’, ‘api’, ‘api-ssl’ en ‘ftp’
  • Als je de mikrotik gebruikt als DNS server vergeet dan niet poort 53, protocol UDP vanaf de WAN te blokkeren in je firewall
    1. Je kunt de mikrotik zo configureren dat deze te allen tijde als DNS server werkt voor de LAN. Op die manier kun je veel doen aan de zgn. Phising problemen.
  • Schakel de ‘bandwith test server’ uit (Tools->BTest Server->Enable uit)
  • Maak een ‘Interface List’ aan met poorten waarop Winbox op Layer 2 bereikbaar moet zijn. Bij voorkeur is dit maar één managementpoort. Gebruik deze lijst in Tools->MAC Server->MAC WinBox Server.
    1. Winbox (en/of SSH) toegang op Layer 3 regel je in de firewall
  • Doe dit ook voor de ‘MAC Telnet Server’ (zelfde menu), schakel de ‘MAC Ping Server’ uit.
  • Doe dit tenslotte ook voor Neighbour Discovery, IP->Neighbours->Discovery Settings
  • In versie 6.x schakel je niet gebruikte pakketten uit bijvoorbeeld IPv6, MPLS, Hotspot in System->Packages.
    1. In versie 7.x kan dit niet meer, schakel dan bijv. IPv6 uit als je dit niet gebruikt in het menu IPV6->Settings
  • Upgrade de mikrotik minimaal twee keer per jaar (om het halve jaar) of eerder als er security issues zijn. Je kunt de ‘Long term’ of ‘Stable’ versie gebruiken maar bij voorkeur de ‘Long term’ gebruiken.
    1. Upgrade ook RouterBOARD, System->RouterBOARD->Upgrade
  • Verlies fysieke toegang tot een apparaat niet uit het oog (server kast op slot bijvoorbeeld)

Tenslotte moet de firewall goed geconfigureerd zijn. Je geeft aan wat wel mag en als laatste regel geef je aan dat al het andere niet mag (de zgn. ‘Deny All’ regel).

Beveiliging is het opwerpen van drempels zodat het moeilijker wordt om toegang te krijgen, maar waterdicht wordt het nooit. Daarom bestaat beveiliging uit drie stappen, Preventie, Detectie en Reactie. Alle drie de stappen moeten geregeld zijn. Preventie is het juist configureren van de apparatuur (zie o.a. voorgaande stappenplan). Voor ‘Detectie’ zijn veel oplossingen beschikbaar, bijvoorbeeld een syslog server (graylog.org) of kijk eens bij solarwinds.com. Detecteren alleen heeft weinig nut als er niet (of niet juist) gereageerd wordt, zorg ervoor dat ook dit deel goed geregeld is.

In de MTCSE (Security Engineer) training leer je nog veel meer over beveiliging, wat er allemaal kan gebeuren op je netwerk en wat je ertegen kunt doen.