SSL-Zertifikate erzeugen

Während die Verbindung per SSH von Haus aus verschlüsselt wird, benötigen Sie für den sicheren Zugriff auf die Weboberfläche noch die SSL-Zertifikate. Für dieses Beispiel reichen selbst signierte Zertifikate vollkommen aus, die Sie direkt aus RouterOS heraus erstellen. Dazu generieren Sie zunächst eine Zertifikatsanfrage für die eigene CA als auch für den Router selbst, jeweils mit einer Gültigkeit von zehn Jahren:

/certificate add name="Lokale CA" common-name="Lokale CA" key-usage=key-cert-sign,crl-sign key-size=2048 days-valid=3650

/certificate add name="router1.testnetz" common-name="router1.testnetz" key-size=2048 days-valid=3650

Sie sollten dabei beachten, dass nicht alle RouterBOARD-Produkte eine "key-size" größer als 2048 unterstützen. Im Anschluss erzeugen beziehungsweise signieren Sie die jeweiligen Zertifikate:

/certificate sign "Lokale CA" name="Lokale CA"

/certificate sign "router1.testnetz" ca="Lokale CA" name="router1.testnetz"

Um nun WebFig per HTTPS zu aktivieren, hinterlegen Sie das Zertifikat und starten den Dienst:

/ip service set certificate="router1.testnetz" www-ssl

/ip service enable www-ssl

Bild 4: RouterOS bietet integrierte Statistiken für die wesentlichen Systemparameter.

Modulare Bauweise

RouterOS ist modular aufgebaut, Komponenten (de)installieren und (de)aktivieren wir je nach Bedarf. Das trägt sowohl zur Übersichtlichkeit bei als auch zur Sicherheit – denn Komponenten, die gar nicht installiert sind, sind auch nicht anfällig für Fehlkonfiguration oder Sicherheitslücken.

Von Haus aus zwar installiert, aber nicht per Default aktiviert ist das IPv6-Modul. Um ein IPv6-Präfix von Ihrem Internet-Provider zu beziehen und die Adressen per Stateless Autoconfiguration im lokalen Netzwerk weiter zu verteilen, aktivieren Sie bei Bedarf mit dem folgenden Aufruf das Modul:

/system package enable ipv6

Dann starten Sie System per »/system reboot« neu. WinBox präsentiert nun den neuen Menüpunkt "IPv6"; auf der Kommandozeile stehen die Befehle im entsprechenden Menü "/ipv6" zur Verfügung.

Wichtiger Hinweis: Das IPv6-Paket stellt bei nachträglicher Installation keinerlei Vorkonfiguration zur Verfügung, die Firewall ist vollkommen deaktiviert und das System damit völlig unsicher. Die Installation empfiehlt sich daher ausdrücklich nur für Administratoren, die sich mit der Materie auskennen.

Weniger riskant ist das Deaktivieren nicht benötigter Pakete. Zunächst lassen wir uns die aktuell aktiven Komponenten mittels

/system package print where disabled=no

anzeigen. Einen Überblick über die Funktionen der einzelnen Module liefert [8]. Auf einem herkömmlichen Router mit integriertem WLAN lassen sich die folgenden Komponenten risikofrei deaktivieren (das Routing-Paket umfasst nur für uns nicht nötige erweiterte Routingprotokolle):

/system package disable hotspot

/system package disable mpls

/system package disable routing

Anschließend starten wir das System neu und verifizieren das Ergebnis mittels

/system package print where disabled=yes