Lindungi perangkat Mikrotik agar tidak diretas atau direset menggunakan Protected RouterBOOT

Ketika berbicara tentang keamanan, yang kami maksud adalah keamanan jaringan yang terkait dengan kemungkinan akses jarak jauh oleh penyerang ke suatu perangkat. Namun keamanan fisik tidak kalah pentingnya ketika pihak ketiga memiliki atau dapat memperoleh akses langsung ke perangkat. Hal ini menimbulkan serangkaian ancaman berbeda yang terkait dengan hilangnya konfigurasi perangkat dan penerimaan data rahasia dari perangkat tersebut. Oleh karena itu, pada artikel kali ini kita akan melihat bagaimana cara mengatasinya menggunakan tools bawaan Mikrotik.

Sebelum menyiapkan perlindungan, Anda harus memahami dengan tepat tindakan apa yang dapat dilakukan dengan perangkat yang memiliki akses fisik ke perangkat tersebut. Hal paling sederhana adalah mengatur ulang pengaturan. Hal ini relevan untuk perangkat jaringan yang dipasang di titik akhir atau cabang, di mana perangkat tersebut dapat diakses oleh administrator lokal (sering berkunjung) atau karyawan penyedia.

Anda dapat mereset perangkat dengan dua cara: melalui tombol Reset atau melalui Netinstall. Dalam kedua kasus tersebut, konfigurasi akan hilang, tetapi jika disetel ulang melalui Reset, isi memori internal akan disimpan, dan mungkin ada sertifikat dengan kunci pribadi atau unduhan konfigurasi yang berisi informasi rahasia, seperti kata sandi.

Dalam hal ini, kami mendapatkan dua kemungkinan ancaman: pengaturan ulang konfigurasi perangkat yang tidak sah dan kemungkinan akses ke data rahasia.

Jika kita berbicara tentang peretasan yang ditargetkan, maka dimungkinkan untuk mengakses perangkat secara fisik; Anda dapat menurunkan versi firmware melalui Netinstall, menyimpan konfigurasi dan peretasan selanjutnya dengan memanfaatkan kerentanan CVE-2018-14847. Dalam hal ini, perangkat dengan versi RouterOS rentan terhadap kerentanan berikut:

• Jangka Panjang: 6.30.1 - 6.40.7
• Stabil: 6.29 - 6.42
• Beta: 6.29rc1 - 6.43rc3

Ya, saat ini tidak semua perangkat dapat dikembalikan ke versi firmware yang ditentukan, namun banyak yang masih bisa. Misalnya, kami mengambil dua router yang kami operasikan. Pada salah satu dari mereka, dari batch yang lebih baru, tidak mungkin lagi melakukan serangan untuk menurunkan versi OS, tetapi pada batch kedua akan mudah.

Untuk mengatasi semua kemungkinan upaya untuk mereset atau menginstal ulang RouterOS tanpa memiliki akses administratif ke router, fungsi Protected RouterBOOT dirancang. Ini menonaktifkan akses apa pun ke pengaturan konfigurasi RouterBOOT melalui kabel konsol dan menonaktifkan pengoperasian tombol reset untuk mengubah mode boot (Netinstall juga akan dinonaktifkan). Ini hanya dapat diaktifkan atau dinonaktifkan dari RouterOS, dan jika tidak ada akses seperti itu, maka alternatifnya adalah memformat NAND sepenuhnya diikuti dengan instalasi bersih RouterOS.

Namun hal ini juga tidak mudah dilakukan; untuk melakukan reset, Anda perlu menahan tombol Reset selama beberapa detik yang diperlukan dan melepaskannya dalam interval yang ditentukan, misalnya, antara 50 dan 60 detik. Dalam hal ini, interval waktu ini dapat diatur cukup besar, katakanlah beberapa menit.

Jika Anda lupa parameter waktu yang disetel, tidak mungkin menyetel ulang perangkat tanpa mengetahui kata sandi administrator!.

Pada versi RouterOS saat ini, parameter ini tidak tersedia melalui antarmuka grafis dan semua pengaturan hanya dilakukan di terminal.

Pertama-tama, mari kita lihat nilai saat ini:

/system routerboard settings print

Secara default, yang berikut ini diinstal.

protected-routerboot: disabled
reformat-hold-button: 20s
reformat-hold-button-max: 10m

Mari kita lihat artinya lebih detail:

• protected-routerboot - mengaktifkan mode Protected RouterBOOT, dinonaktifkan secara default
• reformat-hold-button - menunjukkan waktu yang diperlukan untuk menahan tombol reset untuk mulai memformat, nilai valid 5s..300s, default 20 detik.
• reformat-hold-button-max - menentukan waktu maksimum tombol reset dapat ditahan untuk memulai pemformatan, nilai yang valid adalah 15 detik.. 600 detik, default 10 menit.

Untuk memformat perangkat, Anda perlu menahan tombol reset setidaknya selama waktu yang ditentukan dalam reformat-hold-button dan melepaskannya paling lambat waktu yang ditentukan dalam reformat-hold-button-max . Nilai minimum antara parameter ini adalah 10 detik.

Jadi, dengan menentukan, misalnya, 120 - 130 detik, kami akan membuat upaya untuk memilih nilai ini menjadi sangat sulit. Untuk memudahkan penghitungan waktu, Mirotik dalam mode ini akan mengedipkan indikator setiap detik, yaitu. LED akan menyala selama 1 detik dan mati berikutnya.

Sebelum mengaktifkan fungsi ini, pastikan versi RouterOS saat ini tidak lebih rendah dari 6.33, dan versi Firmware Pabrik tidak lebih rendah dari 3.41. Jika tidak, maka firmware perlu diperbarui. Untuk memperbarui Firmware Pabrik, gunakan rekomendasi di situs resmi.

Untuk mengaktifkan perlindungan, lakukan:

/system routerboard settings
set protected-routerboot=enabled
export

Kemudian pelajari dengan cermat output dari perintah ekspor, Anda akan melihat pesan di sana:

# press button within 60 seconds to confirm protected routerboot enable

Artinya, untuk mengonfirmasi bahwa Protected RouterBOOT diaktifkan, Anda harus menekan tombol dalam waktu 60 detik, jika tidak, perintah akan dibatalkan secara otomatis.

Tindakan pencegahan ini dilakukan untuk mencegah perlindungan diaktifkan tanpa akses fisik ke perangkat, misalnya, setelah perangkat diretas.

Setelah itu Anda harus mengubah rentang waktu untuk memformat perangkat; dengan nilai default, mengaktifkan perlindungan tidak masuk akal.

/system routerboard settings
reformat-hold-button=120s 
reformat-hold-button-max=130s

Seperti yang Anda lihat, melindungi Mikrotik dari kemungkinan akses tidak sah oleh pihak ketiga tidaklah begitu sulit, namun pabrikan sendiri menganggap pengaturan ini berbahaya dan oleh karena itu dekati masalah ini dengan hati-hati agar tidak menimbulkan masalah bagi Anda sendiri.