こんにちは。あやかです。
今回は、前回導入したCloud Hosted Router(CHR)の設定を行っていきます。
WinboxというGUIで設定可能なツールが提供されているのですが、今回はコマンドラインから設定を行っていきたいと思います。
(決してスクリーンショットを撮るのが面倒な訳ではないですw)
なお、今回の記事はMikroTik社の物理的なルーターでも参考になるかと思います。
1.IPアドレスの設定(変更)
CHRの場合、起動時にDHCPでIPアドレスの取得を行います。
物理的なルーターの場合は"192.168.88.1"というIPアドレスが設定されているハズです。
環境に合わせて適切なIPアドレスに変更します。
なんとかして払い出されたIPアドレスを確認し、SSHでログインします。
[admin@MikroTik] > /ip address add address=192.168.1.161/24 interface=ether1 disabled=no
[admin@MikroTik] > /ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 D 192.168.1.8/24 192.168.1.0 ether1
1 192.168.1.161/24 192.168.1.0 ether1
[admin@MikroTik] > /ip dhcp-client print
Flags: X - disabled, I - invalid, D - dynamic
# INTERFACE USE-PEER-DNS ADD-DEFAULT-ROUTE STATUS ADDRESS
0 ether1 yes yes bound 192.168.1.8/24
[admin@MikroTik] > /ip dhcp-client remove numbers=0
[admin@MikroTik] > /ip dhcp-client print
Flags: X - disabled, I - invalid, D - dynamic
# INTERFACE USE-PEER-DNS ADD-DEFAULT-ROUTE STATUS ADDRESS
[admin@MikroTik]] >
※2021/2/9追記 Interfaceの追加を行いました。
[ayaka@CORERB01] > /ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 192.168.1.161/24 192.168.1.0 ether1
1 192.168.2.253/24 192.168.2.0 ether2
2 172.16.10.253/24 172.16.10.0 ether3
3 172.16.20.253/24 172.16.20.0 ether4
4 172.16.30.253/24 172.16.30.0 ether5
[ayaka@CORERB01] >
2.設定用ユーザーの追加とadminユーザーの削除
CHRでは標準でadminという名前のパスワードなしユーザーが存在します。
セキュリティリスク軽減のため、設定用の別ユーザーを新規作成しadminユーザーは削除します。
[admin@MikroTik] > /user add name=ayaka group=full password=************ disabled=no
[admin@MikroTik] > quit
interrupted
Connection to 192.168.1.161 closed.
ayaka@BASTION-SCHDLPE:~$ ssh ayaka@192.168.1.161
aka@192.168.1.161's password:
MMM MMM KKK TTTTTTTTTTT KKK
MMMM MMMM KKK TTTTTTTTTTT KKK
MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK
MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK
MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK
MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK
MikroTik RouterOS 6.48.1 (c) 1999-2020 http://www.mikrotik.com/
[?] Gives the list of available commands
command [?] Gives help on the command and list of arguments
[Tab] Completes the command/word. If the input is ambiguous,
a second [Tab] gives possible options
/ Move up to base level
.. Move up one level
/command Use command at the base level
[ayaka@MikroTik] > /user print
Flags: X - disabled
# NAME GROUP ADDRESS LAST-LOGGED-IN
0 ;;; system default user
admin full feb/07/2021 20:02:39
1 ayaka full
[ayaka@MikroTik] > /user remove numbers=0
[ayaka@MikroTik] > /user print
Flags: X - disabled
# NAME GROUP ADDRESS LAST-LOGGED-IN
0 ayaka full
[ayaka@MikroTik] >
3.ホスト名の設定
デフォルトでは"MikroTik"というホスト名が設定されています。
わかりやすいホスト名に変更します。
[ayaka@MikroTik] > /system identity set name=CORERB01
[ayaka@CORERB01] >
4.タイムゾーンの設定
ログなどに出力される時刻をJSTに変更しておきます。
なお、CHRのシステムクロックはUTCのままのようで、表示のみ変更されるようです。
[ayaka@CORERB01] > /system clock print
time: 20:45:52
date: feb/07/2021
time-zone-autodetect: yes
time-zone-name: manual
gmt-offset: +00:00
dst-active: no
[ayaka@CORERB01] > /system clock set time-zone-name=Asia/Tokyo
[ayaka@CORERB01] > /system clock print
time: 05:47:35
date: feb/08/2021
time-zone-autodetect: yes
time-zone-name: Asia/Tokyo
gmt-offset: +09:00
dst-active: no
[ayaka@CORERB01] >
5.Serviceの無効化とポートの変更
RouterOSでは実に多様な設定方法があります。
自分が使わないサービスが動作している可能性があり、万が一脆弱性が発生した場合に備えて最低限のサービスのみ動作させます。
また、デフォルトのポートから変更することで攻撃を受ける可能性を低減させたいと思います。
デフォルトではHTTPS以外に8個のサービスが動作しています。
このうち、telnet/ftp/api/api-sslの4サービスを無効化、winbox以外の3サービスについてデフォルトのポートからポート番号の変更を行っています。
[ayaka@CORERB01] > /ip service print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 telnet 23
1 ftp 21
2 www 80
3 ssh 22
4 XI www-ssl 443 none
5 api 8728
6 winbox 8291
7 api-ssl 8729 none
[ayaka@CORERB01] > /ip service set telnet disabled=yes
[ayaka@CORERB01] > /ip service set ftp disabled=yes
[ayaka@CORERB01] > /ip service set api disabled=yes
[ayaka@CORERB01] > /ip service set api-ssl disabled=yes
[ayaka@CORERB01] > /ip service set www-ssl port=10443
[ayaka@CORERB01] > /ip service set www port=10080
[ayaka@CORERB01] > /ip service set ssh port=10022
[ayaka@CORERB01] > /ip service print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 XI telnet 23
1 XI ftp 21
2 www 10080
3 ssh 10022
4 XI www-ssl 10443 none
5 XI api 8728
6 winbox 8291
7 XI api-ssl 8729 none
[ayaka@CORERB01] >
6.Bandwidth Server機能の無効化
なぜかRouterOSはデフォルトでBandwidth Server機能が有効化されています。
使用しないため無効化しておきます。
[ayaka@CORERB01] > /tool bandwidth-server set enabled=no
[ayaka@CORERB01] >