Головна - Мережеве обладнання - Настройка безопасного доступа к WebFig на MikroTik

Настройка безопасного доступа к WebFig на MikroTik

2025-05-15 12:47

Ця стаття на мовах: UA / RU

🔐 1. Используйте только HTTPS

По умолчанию WebFig доступен через незащищённый HTTP-порт (обычно 80). Это позволяет перехватывать логины и пароли в сети. Чтобы этого избежать:

Отключите доступ по HTTP:
```
/ip service disable www
```
Включите только HTTPS:
```
/ip service enable www-ssl
```
При необходимости измените порт (например, на 8443):
```
/ip service set www-ssl port=8443
```

📜 2. Установите SSL-сертификат

MikroTik поддерживает самоподписанные сертификаты и Let's Encrypt. Сертификат нужен для шифрования HTTPS-соединения.

Самоподписанный сертификат:

Затем указываем его для HTTPS:

Или Let's Encrypt (если у роутера есть публичный IP):

/certificate add name=letsencrypt common-name=yourdomain.com key-usage=tls-server /tool fetch url="https://acme.sh" ... # налаштування acme.sh або використання скриптів від спільноти MikroTik

🔒 3. Ограничьте доступ только из внутренней сети

Чтобы защитить WebFig от внешнего несанкционированного доступа, разрешите его только из локальной сети:

/ip firewall filter add chain=input protocol=tcp dst-port=443 src-address=192.168.88.0/24 action=accept comment="Allow HTTPS WebFig from LAN" add chain=input protocol=tcp dst-port=443 action=drop comment="Drop external HTTPS WebFig"

Замените 192.168.88.0/24 на вашу локальную подсеть.

📴 4. Отключите WebFig, если используете Winbox или CLI

Если вы управляете маршрутизатором через Winbox или консоль (CLI), WebFig вам не нужен. В этом случае его лучше полностью отключить:

Это уменьшит возможные векторы атаки.

✅ Выводы

WebFig — удобный инструмент, но при отсутствии должной защиты он может стать уязвимостью. Используйте только HTTPS, устанавливайте сертификаты, ограничивайте доступ и отключайте WebFig, если он вам не нужен. Такой подход значительно повысит безопасность вашей сети.