Skip to main content

Securing your router

개요

다음 단계는 이미 구성된 강력한 방화벽 규칙을 통해 장치를 추가로 보호하는 방법에 대한 권장 사항입니다.

RouterOS 버전

먼저 RouterOS 버전을 업그레이드하세요. 일부 오래된 버전에는 특정 취약점이나 보안 문제가 있었으며, 이는 수정되었습니다. 장치를 최신 상태로 유지하여 보안이 유지되도록 하세요. WinBox 또는 WebFig에서 “업데이트 확인”을 클릭하여 업그레이드하세요. 새로운 보안 문제에 대해 알기 위해 우리 보안 공지 블로그의 공지사항을 확인하시기 바랍니다.

라우터에 액세스하기

사용자 이름

기본 사용자 이름 admin을 다른 이름으로 변경하세요. 사용자 정의 이름은 누군가가 라우터에 직접 액세스할 경우 라우터에 대한 액세스를 보호하는 데 도움이 됩니다:

/user add name=myname password=mypassword group=full

/user disable admin

접근 비밀번호

MikroTik 라우터는 비밀번호 설정이 필요합니다. 안전한 비밀번호를 생성하려면 비밀번호 생성 도구를 사용하는 것을 권장합니다. 안전한 비밀번호란 다음과 같습니다:

  • 최소 12자 이상;
  • 숫자, 특수 문자, 대문자 및 소문자를 포함해야 합니다;
  • 사전 단어 또는 사전 단어의 조합이 아니어야 합니다;
  • 비밀번호에 따옴표가 포함될 경우 이스케이프 처리해야 합니다;

/user set myname password=“!={Ba3N!40TуX+GvKBz?jTLIUcx/,”

장치에 대한 액세스 보안

원격 액세스를 방지하기 위해 WAN(인터넷 측) 연결을 차단하는 사전 구성된 방화벽이 있습니다. 이는 의도된 설정이며, 연결이 안전하다고 확신하지 않는 한 이 규칙을 제거하지 마십시오.

원격 액세스를 허용하려면 WireGuard와 같은 가상 사설 네트워크(VPN)를 사용하여 연결을 보호하는 것을 권장합니다.

WireGuard VPN 구성 가이드가 여기에서 제공됩니다.

RouterOS MAC 액세스

RouterOS는 네트워크 장치에 대한 관리 액세스를 쉽게 관리할 수 있는 내장 옵션을 제공합니다. 생산 네트워크에서는 다음 서비스를 반드시 비활성화해야 합니다: MAC-Telnet, MAC-WinBox, MAC-Ping:

/tool mac-server set allowed-interface-list=none

/tool mac-server mac-winbox set allowed-interface-list=none

/tool mac-server ping set enabled=no

네이버 디스커버리

MikroTik 네이버 디스커버리 프로토콜은 네트워크 내 다른 MikroTik 라우터를 표시하고 인식하는 데 사용됩니다. 모든 인터페이스에서 네이버 디스커버리를 비활성화하세요:

/ip neighbor discovery-settings set discover-interface-list=none

대역폭 서버

대역폭 서버는 두 MikroTik 라우터 간의 전송 속도를 테스트하는 데 사용됩니다. 생산 환경에서는 이를 비활성화하세요:

/tool bandwidth-server set enabled=no

DNS 캐시

라우터에 DNS 캐시가 활성화되어 있으면 클라이언트에서 원격 서버로 전송되는 DNS 요청의 해결 시간이 감소할 수 있습니다. 라우터에서 DNS 캐시가 필요하지 않거나 다른 라우터가 해당 목적으로 사용되는 경우 이를 비활성화하세요:

/ip dns allow-remote-requests=no

기타 클라이언트 서비스

RouterOS에는 기본적으로 비활성화되어 있지만 다른 서비스가 활성화되어 있을 수 있습니다. MikroTik 캐싱 프록시, SOCKS, UPnP 및 클라우드 서비스:

/ip proxy enabled=no

/ip socks enabled=no

/ip upnp enabled=no

/ip cloud ddns-enabled=no update-time=no

더 안전한 SSH 액세스

다음 명령어로 더 엄격한 SSH 설정을 활성화할 수 있습니다(aes-128-ctr 추가 및 hmac sha1 및 sha1을 사용하는 그룹 금지):

/ip ssh set strong-crypto=yes

라우터 인터페이스

이더넷/SFP 인터페이스

라우터에 액세스하는 무단 접근을 줄이기 위해 사용하지 않는 모든 인터페이스를 비활성화하는 것이 좋습니다:

/interface print

/interface set X disabled=yes

여기서 X는 사용하지 않는 인터페이스의 수입니다.

LCD

일부 RouterBOARD에는 정보 표시용 LCD 모듈이 있습니다. 핀을 설정하려면:

/lcd/pin/set pin-number=3659 hide-pin-number=yes

또는 비활성화하려면:

/lcd/set enabled=no

Back to top