Понимаю, что тема обширная, но все же. Что можно сделать на mikrotik для безопасности корпоративной сети? что сделал на граничном маршрутизаторе: 1. Фаервол 2. IPsec между филиалами 3. на внешнем интерфейсе выключил : MAC-ping, MAC-telnet,MAC-winbox. 4. Выключил все не нужные сервисы(ftp, www и др), оставив winbox и ssh, сменим им порты. 5. Отключил neighbors discovery на внешнем интерфейсе и на не используемых. 5. Скрыл версию системы, ttl, dscp/tos, ipv4 options все. На картинке топология 1 филиала
Обновлять прошивку роутера, когда приходит сообщение, что найдена дыра в winbox или RoS. Разрешить ssh и winbox только со "своих ip" Ещё трижды посмотреть на настройки firewall, возможно, добавить правила блокировки "порт-сканеров"
Сменить стандартный логин. Отключить все неиспользуемые пакеты (MPLS, HOTSPOT, и.т.д) Настроить бэкап на внешний носитель Сделать резервную копию системы на другой раздел диска flash, при повреждении основной системы, загрузка произойдет с резервной копии. https://spw.ru/educate/articles/partitions-mikrotik/ Если есть вероятность несанкционированного физического доступа к роутеру то: Отключить дисплей или сменить стандартный пин 1234 (если есть) Отключить COM-port Отключить кнопку RESET Включить защиту от переформатирования. Например удерживать кнопку RESET с 30 по 35 сек. (Осторожно!) Подробнее смотрите тут: https://mum.mikrotik.com/2018/RU/agenda/EN Основные рекомендации по настройке и отладке RouterOS - Maris Bulans (MikroTik, Latvia)
Встроенного ничего нет, но можно к примеру, заблокировать протокол DHCP от неизвестных хостов, средствами Firewall и фильтрацией на Bridge
