Capitolul 5 - Prima Configurare și Hardening Minim

Obiective

După parcurgerea acestui capitol, vei fi capabil să:

• Configurezi identitatea routerului, utilizatorii, grupurile și politicile de acces conform principiului privilegiului minim - pentru că un router fără identitate clară și fără conturi separate este un accident care așteaptă să se întâmple.
• Înțelegi și gestionezi pachetele RouterOS - instalare, dezactivare, canale de release, upgrade, downgrade și diferența dintre RouterOS și RouterBOOT firmware - cunoștințele care te separă de administratorul care „doar dă update și speră să meargă.”
• Securizezi accesul administrativ prin dezactivarea serviciilor neutilizate, restricționarea pe subnet și configurarea NTP - pentru că fiecare serviciu deschis este o invitație pentru scanerele automate care patrulează internetul non-stop.
• Folosești Netinstall, Reset Configuration și Safe Mode ca instrumente de recuperare și reinstalare - plasele de siguranță care te salvează când configurarea merge prost, și care la un moment dat cu siguranță vor fi necesare.
• Aplici un set minim de reguli firewall și un checklist reproductibil pe orice router nou, de la despachetare până la backup-ul configurației finale - transformând o cutie vulnerabilă într-un echipament pregătit de producție.

De Ce Contează

Un router MikroTik scos din cutie este, din perspectiva securității, o ușă larg deschisă într-o clădire fără pereți:

• Utilizator admin fără parolă - echivalentul digital al unei chei lăsate în broască, la vedere.
• Toate serviciile activate - WinBox, SSH, Telnet, HTTP, API, FTP - șase căi de acces deschise simultan, inclusiv Telnet care transmite parolele în text clar, vizibile oricui interceptează traficul.
• Firewall minimal - doar pe configurația default, și numai dacă ai ales să o păstrezi. Fără el, routerul acceptă orice conexiune din orice direcție.
• MNDP (neighbor discovery) activ pe toate interfețele, inclusiv WAN - routerul își anunță prezența, modelul, versiunea și adresele MAC oricui ascultă, ca un far care ghidează atacatorul exact spre țintă.
• Ceas intern la ora 00:00 din ianuarie 1970 - fără NTP configurat, log-urile și graficele nu au referință temporală reală, certificatele TLS par invalide, și orice investigație a unui incident devine un puzzle fără repere.

Fiecare secundă în care routerul rămâne în această stare - mai ales cu interfață WAN activă - este o expunere reală, nu teoretică. Scannerele automate găsesc routere MikroTik neprotejate în minute, nu în ore. Botnet-uri precum Mēris au compromis sute de mii de routere MikroTik tocmai prin aceste porți lăsate deschise. Acest capitol te învață să închizi acele porți, sistematic și reproductibil, înainte ca cineva să le descopere.

Acest capitol nu este despre securitate avansată - aceea vine în Capitolul 9 (Firewall) și Capitolul 12 (Securizare avansată). Este despre minimul necesar care trebuie aplicat imediat, la prima configurare. Este primul lucru pe care îl faci cu un router nou, și ultimul lucru pe care ți-l permiți să îl neglijezi.