らくがきちょう

なんとなく ~所属組織/団体とは無関係であり、個人の見解です~

MikroTik で不要なサービスを無効にするには

MikroTik

MikroTik 製品はデフォルトで幾つかのサービスが有効になっています。ファイアウォールACL)でフィルタしても良いのですが、そもそも不要なのであれば無効にしてしまうべきです。

CHR のデフォルト値

CHR 6.33.1 のデフォルト状態は以下のようになっていました。

[admin@MikroTik] > /ip service print
Flags: X - disabled, I - invalid
 #   NAME                    PORT ADDRESS  CERTIFICATE
 0   telnet                    23
 1   ftp                       21
 2   www                       80
 3   ssh                       22
 4 X www-ssl                  443          none
 5   api                     8728
 6   winbox                  8291
 7   api-ssl                 8729          none

実際にポートスキャンを実行してみると以下の結果になりました。まず、UDP は以下の通りです。

$ sudo nmap -sU 192.168.1.1

Starting Nmap 6.47 ( http://nmap.org ) at 2015-11-21 00:42 JST
Nmap scan report for 192.168.1.1
Host is up (0.017s latency).
Not shown: 996 closed ports
PORT     STATE         SERVICE
68/udp   open|filtered dhcpc
69/udp   open|filtered tftp
1718/udp open|filtered h225gatedisc
1719/udp open|filtered h323gatestat

Nmap done: 1 IP address (1 host up) scanned in 115.98 seconds

続いて TCP は以下の通りです。

$ sudo nmap -sT 192.168.1.1

Starting Nmap 6.47 ( http://nmap.org ) at 2015-11-21 00:46 JST
Nmap scan report for 192.168.1.1
Host is up (0.021s latency).
Not shown: 994 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
23/tcp   open  telnet
80/tcp   open  http
2000/tcp open  cisco-sccp
8291/tcp open  unknown

Nmap done: 1 IP address (1 host up) scanned in 3.99 seconds

不要なサービスを無効にする

「どのサービスを有効にする」「無効にする」というのは環境によって様々だと思いますが、今回は以下のように設定してみます。

サービス ポート 有効/無効(○=有効, X=無効)
telnet 23
ftp 21
www 80
ssh 22
www-ssl 443
api 8723
winbox 8291
api-ssl 8729

投入するコンフィグは以下の通りです。

/ip service set 0 disabled=yes
/ip service set 1 disabled=yes
/ip service set 2 disabled=no
/ip service set 3 disabled=no
/ip service set 4 disabled=yes
/ip service set 5 disabled=yes
/ip service set 6 disabled=yes
/ip service set 7 disabled=yes

設定後の状態は以下の通りです。

[admin@MikroTik] > /ip service print
Flags: X - disabled, I - invalid
 #   NAME                    PORT ADDRESS  CERTIFICATE
 0 X telnet                    23
 1 X ftp                       21
 2   www                       80
 3   ssh                       22
 4 X www-ssl                  443          none
 5 X api                     8728
 6 X winbox                  8291
 7 X api-ssl                 8729          none

TCP/2000 を無効にする

TCP/2000 は『BandWidth Test』という機能で利用するようです。不必要であれば、これも無効にしておきます。

[admin@MikroTik] > /tool bandwidth-server set enabled=no

まとめ

完全に不要なサービスであれば、根本的に無効化すべきです。但し、「WAN 側からは無効化したいが、LAN 側からは許可したい」といった要件がある場合はファイアウォールで制御する必要があります。