ROS路由安全设置

2019-09-0223:12:29 发表评论 44 views
阿里云首台5折

ROS路由安全设置

  1. 将默认用户名admin更改为其他名称
    /user set 0 name=myros
  2. 设置高强度的密码
    /user set 0 password=“d*2bBsweUBe3@”
  3. 通过IP地址访问
    /user set 0 allowed-address=xxxx/yy
  4. 只保留安全的服务
    /ip service disable telnet,f​​tp,www,api,api-ssl
  5. 更改默认端口,这将立即停止大多数随机SSH暴力登录尝试
    /ip service set ssh port=220
  6. 设置Winbox允许登陆的网段
    /ip service set winbox address=192.168.88.0/24
  7. 禁用mac-telnet服务
    /tool mac-server set allowed-interface-list=none
  8. 禁用mac-winbox服务
    /tool mac-server mac-winbox set allowed-interface-list=none
  9. 禁用mac-ping服务
    /tool mac-server ping set enabled=no
  10. 邻居发现
    MikroTik邻居发现协议用于显示和识别网络中的其他MikroTik设备,禁用所有接口上的邻居发现
    禁用IPv4 的邻居发现协议
    /ip neighbor discovery-settings set discover-interface-list=none
    禁用IPv6 的邻居发现协议
    /ipv6 nd set [find] disabled=yes
  11. 带宽服务器用于测试两个MikroTik路由器之间的吞吐量,请在测试后禁用它。
    /tool bandwidth-server set enabled=no
  12. DNS缓存
    /ip dns set allow-remote-requests=no
  13. 设置更安全的SSH访问,打开SSH强加密
    /ip ssh set strong-crypto=yes
  14. 关闭 Proxy,Socks代理
    /ip proxy set enabled=no
    /ip socks set enabled=no
  15. MikroTik UPnP服务(通用即插即用协议)
    /ip upnp set enabled=no
  16. MikroTik自带的DDNS服务器(动态域名解析)
    如果不是使用的话请用以下命令禁用
    /ip cloud set ddns-enabled=no update-time=no
  17. 某些型号的RouterBOARD有LCD模块用于信息显示。
    /lcd set enabled=no
  18. 如果你的路由器不提供VPN服务,请用以下命令关闭VPN
    /interface l2tp-server server set enabled=no
    /interface pptp-server server set enabled=no
    /interface sstp-server server set enabled=no
    /interface ovpn-server server set enabled=no
  19. 禁用在设备上使用Radius进行授权
    /user aaa set use-radius=no
  • 移除操作请慎用
    /radius remove numbers=[/radius find]

最好禁用路由器上所有未使用的接口,以减少对路由器的未授权访问

 

  • NAS技术交流
  • 扫一扫入裙
  • weinxin
  • 软路由技术讨论
  • 扫一扫入裙
  • weinxin
阿里云首台5折
吊儿啷当

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: