i4wifi.cz | Proč je důležité pravidelně aktualizovat zařízení?

Proč je důležité pravidelně aktualizovat zařízení?

FAQ: Proč je důležité pravidelně aktualizovat zařízení?

Hackerské skupiny jsou velmi aktivní prakticky po celém světě a lze říci, že čím je nějaká značka známější, tím více přitahuje pozornost těchto skupin a tak není výrobce, který by ve své historii nezaznamenal nějaký problém s bezpečností. Stejně je na tom i MikroTik, který také čelil několika útokům, nicméně je všeobecně považovaný za velmi bezpečné zařízení. Aktuálně vydal Národní úřad pro kybernetickou a informační bezpečnost upozornění na to, že starší verze systému RouterOS MikroTik jsou zranitelné. Jedná se o verze, které jsou starší už více než rok a půl, celou zprávu si můžete přečíst zde: https://nukib.cz/cs/infoservis/hrozby/1986-upozorneni-na-zranitelnost-mikrotik-routeros-cve-2023-30799/

MikroTik dodává standardně routery bez hesla a tak pokud si uživatel heslo nezadá, je účet admin otevřený. Stejně tak pokud uživatel zvolí slabé heslo, může útočník metodou slovníkového či brute-force útoku heslo odhalit. Nicméně lze říci, že stejný problém mají všechna zařízení od ostatních výrobců, která jsou dodávaná s výchozími přihlašovacími údaji. MikroTik je ale standardně dodávaný s přednastaveným firewallem, který znemožňuje přístup pře WAN rozhraní. Uživatel tedy musí nejprve firewall deaktivovat, čímž se ale vystaví výše zmíněnému riziku pokud si zároveň nevytvoří bezpečný přístup.

Jak minimalizovat riziko, že se vám někdo neoprávněně dostane do sítě?

1. Upgrade RouterOS na verzi 6.49.8 long-term, 6.49.7 stable nebo verzi 7.7.x a novější.

2. Omezit přístup k webovému a Winbox rozhraní z internetu

3. Vypnutí a umožnění přístupu pouze přes SSH s privátním/veřejným klíčem bez autentizace za pomocí hesla.

4. Omezení přístupu k účtu pouze z určitých IP adres také pomůže.

Jen samotná aktualizace samozřejmě nepomůže, pokud bude uživatel ignorovat další bezpečností opatření, která jsou výše uvedena. Nejbezpečnější přístup, který doporučujeme, je přístup přes VPN tunel, např. WIreGuard či jiný IPsec tunel. V takovém případě má přístup pouze autorizovaná osoba a celý přenos je šifrovaný čímž je odposlechnutí přístupového hesla nebo komunikace prakticky vyloučené.