Mikrotik, как бренд сетевых решений, не оставил без внимания возможность управлять и настраивать свои устройства через веб-интерфейс. Это вполне ожидаемо, учитывая, что сегодня практически любое устройство оснащено веб-браузером, исключая необходимость устанавливать дополнительное ПО. Одним из преимуществ этого подхода является использование транспортного протокола TCP, что особенно полезно в сетях с неустойчивым соединением, например, через WiFi. Рассмотрим вместе особенности работы с веб-интерфейсом по умолчанию, а также разберемся с небольшой хитростью повышения его безопасности.
Так, представьте, что вы только что приобрели свеженький Mikrotik, возвращаетесь домой, мечтая о том, что проблемы с домашним WiFi скоро уйдут навсегда. Некоторые могут возразить, утверждая, что настройка Mikrotik – это сложное занятие, требующее определенных знаний. Однако компания заботится о пользователях и разработала Quick Set – инструмент, который позволяет быстро и просто настроить устройство. Но перед тем как начать работать с ним, необходимо установить соединение с устройством.
Доступ к Mikrotik через веб-интерфейс
Чтобы получить доступ к веб-интерфейсу Mikrotik, введите в строку вашего браузера следующий адрес: http://192.168.88.1
Как только страница загрузится, система попросит вас обновить пароль. Поле Old Password оставляем пустым. В следующих двух полях задаём и подтверждаем новый пароль. Затем нажимаем на кнопку Change Now. Настоятельно советую выполнить этот шаг немедленно.
После обновления пароля вы увидите экран Quick Set. Здесь предоставляется возможность индивидуально настроить интернет-доступ, название беспроводной сети, её пароль и многие другие параметры.
По завершении настройки в этом режиме, кликните кнопку Apply Configuration, расположенную в нижнем правом углу экрана.
Далее рекомендуется удостовериться в правильности заданного пароля. Чтобы это сделать, завершите сеанс настроек, нажав на кнопку выхода в верхнем правом углу.
После завершения сеанса система попросит вас ввести учетные данные. Используйте логин admin и пароль, который вы установили на первом этапе. На этой странице также предоставляется возможность скачать Winbox или начать Telnet-сессию. Если у вас установлена Windows 10, запустится стандартное приложение.
При корректном вводе пароля вы снова попадете в окно быстрой настройки. Этот шаг уже завершен, поэтому переходим к WebFig.
После выбора этой опции перед вами раскроются все доступные разделы меню для дальнейшей конфигурации устройства.
Выбирая разделы меню, перед вами появляются соответствующие подразделы. К примеру, давайте рассмотрим раздел IP.
Если кликнуть снова по IP, то подраздел скроется. Давайте попробуем перезагрузить устройство с помощью WebFig.
Существует два способа для этого:
И вводим команду System reboot, после чего нажимаем Enter. Когда система «спросит» подтверждение, нажимаем букву Y.
Чтобы избежать случайных ошибок, всегда используйте режим Safe Mode. Если во время настройки устройства связь прерывается и вы не можете подключиться к нему удаленно, RouterOS автоматически вернет все настройки к состоянию, предшествующему вашему последнему подключению. Чтобы включить этот режим в WebFig, просто нажмите соответствующую кнопку, а после завершения настройки - отключите его.
Усиление защиты веб-интерфейса MikroTik
Как вы, возможно, заметили, доступ к устройству через веб-браузер довольно прост. Однако важно помнить о потенциальных угрозах от лиц, которые могут захотеть нарушить работу вашей системы. Подключение через HTTP, несмотря на свою удобность, имеет серьезный недостаток: ваши данные передаются в незашифрованном виде. Это означает, что при подключении через HTTP и вводе пароля кто-либо может легко перехватить и прочитать его, прослушивая трафик. Для усиления безопасности рекомендуется использовать HTTPS, который обеспечивает шифрование данных.
Для этого перейдите в раздел System – Certificates – Certificates и выберите Add New.
Заполняем требуемые поля и нажимаем кнопку Apply.
Далее в верхней части экрана кликаем на кнопку Sign.
Запустим процесс создания самоподписанного сертификата.
Когда в строке Progress отобразится done, вернитесь в раздел сертификатов и нажмите Add New. Затем заполните два предложенных поля.
Нажимаем Apply, затем Sign. В появившемся окне убедитесь, что в поле CA выбран сертификат, который был создан на предыдущем этапе.
Нажимаем Start и ждем, пока в поле Progress отобразится успешное завершение подписи. Затем следует экспортировать корневой сертификат и установить его в корневую директорию Windows 10. После этого вернитесь к разделу Certificates.
Выбираем желаемое имя и нажимаем кнопку экспорта.
Переходим в раздел Files и загружаем сертификат на свой компьютер.
После завершения загрузки откройте файл и кликните на опцию «Установить сертификат».
В помощнике по импорту выберите пункт «Локальный компьютер».
Далее выбираем раздел «Доверенные корневые центры сертификации», нажимаем ОК и продолжаем. На завершающем этапе все выполнено.
Далее нам нужно ассоциировать недавно созданный сертификат со службой HTTPS. Для этого переходим в раздел IP – Services.
Заходим в раздел www-ssl и настраиваем параметры в соответствии со скриншотом. Важно правильно выбрать соответствующий сертификат.
Сохраняем изменения и пытаемся подключиться с активированным шифрованием по адресу https://192.168.88.1
Обратите внимание, что браузеры, такие как Chrome или Edge, могут предупредить вас о самоподписанном сертификате, но, тем не менее, разрешат установить соединение.
Если вы уверены в надежности вашего самоподписанного сертификата, можете с уверенностью подключаться. Однако если у вас возникнут сомнения, рассмотрите возможность приобретения коммерческого сертификата. В любом случае, ваше соединение теперь шифруется, что делает невозможным перехват вашего пароля при анализе трафика.
Для дополнительного усиления безопасности устройства рассмотрите следующие рекомендации. Ограничьте доступ к устройству по HTTP только изнутри вашей сети. В настройках сервиса укажите IP-адрес или подсеть, из которой разрешено соединение. Доступ из других источников будет блокирован.
Чтобы это сделать, перейдите в раздел IP – Services, затем выберите WWW
Применяем изменения и проверяем результат
Итог
Доступ к WWW разрешен только из подсети 192.168.88.0/24 WWW-SSL доступен из любой точки и поддерживает все версии TLS Все прочие службы могут быть доступны через стандартные порты из всех сетей, включая интернет, что также актуально для www-ssl
В этой небольшой статье мы рассмотрели настройку и использование Веб-интерфейса на Mikrotik, а также защиту доступа к нему путём перехода на HTTPS.
