MikroTik 製品はデフォルトで幾つかのサービスが有効になっています。ファイアウォール(ACL)でフィルタしても良いのですが、そもそも不要なのであれば無効にしてしまうべきです。
CHR のデフォルト値
CHR 6.33.1 のデフォルト状態は以下のようになっていました。
[admin@MikroTik] > /ip service print Flags: X - disabled, I - invalid # NAME PORT ADDRESS CERTIFICATE 0 telnet 23 1 ftp 21 2 www 80 3 ssh 22 4 X www-ssl 443 none 5 api 8728 6 winbox 8291 7 api-ssl 8729 none
実際にポートスキャンを実行してみると以下の結果になりました。まず、UDP は以下の通りです。
$ sudo nmap -sU 192.168.1.1 Starting Nmap 6.47 ( http://nmap.org ) at 2015-11-21 00:42 JST Nmap scan report for 192.168.1.1 Host is up (0.017s latency). Not shown: 996 closed ports PORT STATE SERVICE 68/udp open|filtered dhcpc 69/udp open|filtered tftp 1718/udp open|filtered h225gatedisc 1719/udp open|filtered h323gatestat Nmap done: 1 IP address (1 host up) scanned in 115.98 seconds
続いて TCP は以下の通りです。
$ sudo nmap -sT 192.168.1.1 Starting Nmap 6.47 ( http://nmap.org ) at 2015-11-21 00:46 JST Nmap scan report for 192.168.1.1 Host is up (0.021s latency). Not shown: 994 closed ports PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet 80/tcp open http 2000/tcp open cisco-sccp 8291/tcp open unknown Nmap done: 1 IP address (1 host up) scanned in 3.99 seconds
不要なサービスを無効にする
「どのサービスを有効にする」「無効にする」というのは環境によって様々だと思いますが、今回は以下のように設定してみます。
サービス | ポート | 有効/無効(○=有効, X=無効) |
---|---|---|
telnet | 23 | X |
ftp | 21 | X |
www | 80 | X |
ssh | 22 | ○ |
www-ssl | 443 | ○ |
api | 8723 | X |
winbox | 8291 | X |
api-ssl | 8729 | X |
投入するコンフィグは以下の通りです。
/ip service set 0 disabled=yes /ip service set 1 disabled=yes /ip service set 2 disabled=no /ip service set 3 disabled=no /ip service set 4 disabled=yes /ip service set 5 disabled=yes /ip service set 6 disabled=yes /ip service set 7 disabled=yes
設定後の状態は以下の通りです。
[admin@MikroTik] > /ip service print Flags: X - disabled, I - invalid # NAME PORT ADDRESS CERTIFICATE 0 X telnet 23 1 X ftp 21 2 www 80 3 ssh 22 4 X www-ssl 443 none 5 X api 8728 6 X winbox 8291 7 X api-ssl 8729 none
TCP/2000 を無効にする
TCP/2000 は『BandWidth Test』という機能で利用するようです。不必要であれば、これも無効にしておきます。
[admin@MikroTik] > /tool bandwidth-server set enabled=no
まとめ
完全に不要なサービスであれば、根本的に無効化すべきです。但し、「WAN 側からは無効化したいが、LAN 側からは許可したい」といった要件がある場合はファイアウォールで制御する必要があります。