vitaliy_t1
@vitaliy_t1
Инженер в колледже

Открытые порты Mikrotik после базовой настройки. Есть ли опасность?

Настроил в базовом варианте шлюз на базе Микротик CRS125 (после полного сброса)
Отключил ненужные порты в services, открыл порт на vpn, пробросил порт на rdp
И просканировал на предмет открытых портов. Вот что вышло:
22/tcp open ssh MikroTik RouterOS sshd (protocol 2.0)
135/tcp filtered msrpc
443/tcp open ssl/https?
1723/tcp open pptp MikroTik (Firmware: 1)
2000/tcp open bandwidth-test Mikrotik bandwidth-test server
3389/tcp open ms-wbt-server Microsoft Terminal Service
8291/tcp open unknown
13536/tcp filtered unknown
41425/tcp filtered unknown

Т.е. кроме заказанных мною 22, 1723, 3389 засветились ещё порты. Кто нибудь может подсказать есть ли опасность в данном наборе?
  • Вопрос задан
  • 17032 просмотра
Решения вопроса 1
sizaik
@sizaik
сисадмин, Витебск
Последние два похожи на работающий NAT. 443 - веб-сервер Микротика, 8291 - Winbox (программка для управления микротиком), 2000 - см. описание.
Почему бы в фаерволле не открыть те, которые нужны, а остальные закрыть? Тогда и разбираться не придется.

Для вас это будет выглядеть как-то так (не тестировал, пишу по памяти):
/ip firewall filter
add chain=forward src-address=локальная подсеть
add chain=input protocol=tcp dst-port=22,1723
add chain=input protocol=gre
add chain=forward protocol=tcp dst-port=3389 dst-address=адрес терминального сервера
add chain=input action=drop
add chain=forward action=drop

1. Разрешаем локальным хостам ходить в интернет. Здесь открыто всё, я обычно открываю только http и https, остальное при необходимости.
2. Разрешаем входящие соединения 1723 (pptp) и 22 (управление Микротиком по SSH). Использовать стандартный порт, кстати, небезопасно, но вот тут подсказали очень крутую штуку.
3. Для PPTP еще нужен протокол GRE
4. Доступ по RDP к терминальному серверу, или что там у вас.
5. Все остальные входящие отбрасываем
6. Все остальные маршрутизируемые (через NAT, например) тоже.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 2
CityCat4
@CityCat4
//COPY01 EXEC PGM=IEBGENER
Ну, 443 - это вебморда. 8291 - это winbox. Остальные не знаю.
Ответ написан
Комментировать
@paxlo
Отключайте все кроме основного инструмента управления. Самый безопасный вариант (и удобный) это ssh, перевешивайте на нестандартный порт.

/ip ssh set strong-crypto=yes
/ip neighbor discovery set discover=no [find]
/tool mac-server set disabled=yes [find]
/tool mac-server mac-winbox set disabled=yes [find]
/tool mac-server ping set enabled=no
/ip service disable [find where name!=ssh] set ssh port=34567
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы