Головна - Мережеве обладнання - Налаштування безпечного доступу до WebFig на MikroTik

Налаштування безпечного доступу до WebFig на MikroTik

2025-05-15 12:47

Ця стаття на мовах: UA / RU

🔐 1. Використовуйте лише HTTPS

За замовчуванням WebFig доступний через незахищений HTTP-порт (звичайно 80). Це дозволяє перехопити логіни та паролі через мережу. Щоб уникнути цього:

Вимкніть HTTP-доступ:
```
/ip service disable www
```
Увімкніть лише HTTPS:
```
/ip service enable www-ssl
```
За потреби змініть порт (наприклад, на 8443):
```
/ip service set www-ssl port=8443
```

📜 2. Встановіть SSL-сертифікат

MikroTik підтримує самопідписані сертифікати або Let's Encrypt. Сертифікат потрібен для шифрування HTTPS-з'єднання.

Самопідписаний сертифікат:

Потім вказуємо його для HTTPS:

Або Let’s Encrypt (якщо роутер має публічний IP):

/certificate add name=letsencrypt common-name=yourdomain.com key-usage=tls-server /tool fetch url="https://acme.sh" ... # налаштування acme.sh або використання скриптів від спільноти MikroTik

🔒 3. Обмежте доступ лише з внутрішньої мережі

Щоб захистити WebFig від несанкціонованого доступу ззовні, дозволяємо його лише з локальної мережі:

/ip firewall filter add chain=input protocol=tcp dst-port=443 src-address=192.168.88.0/24 action=accept comment="Allow HTTPS WebFig from LAN" add chain=input protocol=tcp dst-port=443 action=drop comment="Drop external HTTPS WebFig"

Замініть 192.168.88.0/24 на вашу локальну підмережу.

📴 4. Вимикайте WebFig, якщо використовуєте Winbox або CLI

Якщо ви керуєте маршрутизатором через Winbox або консоль (CLI), WebFig вам не потрібен. У такому разі краще повністю вимкнути цей сервіс:

/ip service disable www-ssl

Це зменшить площу потенційної атаки.

✅ Висновки

WebFig зручно використовувати, але без належного захисту він може стати вразливістю. Використовуйте лише HTTPS, встановлюйте сертифікати, обмежуйте доступ іззовні та вимикайте WebFig, якщо ви надаєте перевагу Winbox чи CLI. Такий підхід значно підвищить безпеку вашої мережі.