Skip to content
Blog

MikroTik Device-Mode: Vodič za sigurnost i operacije

Sažetak
Device-mode je RouterOS-ov “ključač značajki” za rizične podsustave. Ovaj vodič objašnjava kako funkcionira, zašto postoji, što se mijenja kroz verzije i kako održati glatku automatizaciju i usvajanje MKControllera.

MikroTik Device-Mode: Vodič za sigurnost i operacije

Diagram showing how RouterOS device-mode sits below user permissions and gates high-risk tools

Što je device-mode (a što nije)

MikroTik RouterOS je povijesno pretpostavljao da ako ste se autentificirali, zaslužujete povjerenje. Taj pristup više nije dovoljan.

Device-mode je trajno sigurnosno stanje koje određuje što sam operativni sustav može raditi, bez obzira tko se prijavljuje. Djeluje “ispod” korisničkih dozvola. Dakle, čak ni administrator ne može omogućiti određene visokorizične alate ako politika device-mode to ne dopušta.

Device-mode se također razlikuje od Safe Mode. Safe Mode pomaže u izbjegavanju zaključavanja tijekom promjena. Device-mode je dugotrajna politika kapaciteta koja preživljava restartove i nadogradnje.

Zašto je MikroTik uveo device-mode

Kratko: napadači su otkrili kako pretvoriti rubne rutere u oružje razmjera interneta.

Glavni poticaj bila je era botneta Mēris. Kompromitirani routeri korišteni su kao releji i generatori prometa zloupotrebljavajući značajke legitimne za mrežne inženjere, ali katastrofalne u velikom opsegu kad se zlorabe.

Često zloupotrebljavane značajke uključivale su:

  • SOCKS proxy, korišten za tuneliranje napadačkog prometa.
  • Bandwidth-test, zlorabljen za pojačavanje prometa.
  • Scheduler + fetch, korišteni za održivost i isporuku payloada.

Device-mode nastoji provoditi princip najmanjih privilegija na razini platforme. Čini “daljinsku preuzimanje kontrole” manje profitabilnom. Napadač može ukrasti vjerodajnice, ali i dalje ne može uključiti najrizičnije opcije bez fizičkog koraka.

Potvrda fizičkim pristupom

Ključno pravilo je provjera fizičkog pristupa.

Ako pokušate prebaciti ograničenu značajku s no na yes, RouterOS može prihvatiti zahtjev, ali ga ostavlja kao na čekanju. Morate potvrditi lokalno, najčešće pritiskom na tipku ili hladnim restartom (isključivanjem napajanja) unutar zadanog vremenskog ograničenja.

To znači da sigurnosna granica nije samo vaša lozinka. To je lozinka plus dokaz da netko može fizički dodirnuti uređaj.

Savjet: Promjene device-mode tretirajte kao “kontrolu promjena”. Ako je uređaj na udaljenoj lokaciji, planirajte kako ćete izvršiti potrebni restart napajanja (pametni PDU, upravljani PoE, lokalna podrška).

Gdje device-mode stoji u sigurnosnom sloju

Evo praktičnog mentalnog modela:

  • Korisničke grupe: “Što ovaj korisnik može kliknuti ili unijeti.”
  • Firewall: “Koji promet može doći do usluga.”
  • Device-mode: “Što OS smije pokrenuti uopće.”

Dakle, device-mode ne zamjenjuje firewall. On je posljednja linija obrane kada nešto drugo zakaže.

Režimi, zastavice i što se u praksi blokira

Device-mode se konfigurira u /system/device-mode. Interno je skup boolean zastavica koje kontroliraju podsustave.

Primjeri zastavica koje često utječu na operacije:

  • fetch: blokira /tool/fetch i svaku ovisnu automatizaciju.
  • scheduler: blokira /system/scheduler i zakazane skripte.
  • socks: blokira omogućavanje SOCKS proxyja.
  • bandwidth-test i traffic-gen: blokiraju BTest i alate za generiranje prometa.
  • container: blokira RouterOS kontejnere osim ako nije eksplicitno omogućen.
  • partitions i routerboard: blokiraju promjene na niskorazinskim postavkama pohrane i boot-a.
  • install-any-version / allowed-versions: smanjuje mogućnosti downgradea koji ponovno uvodi stare ranjivosti.

Ovisno o verziji RouterOS-a, MikroTik je također uveo unaprijed definirane režime (npr. home, basic, advanced i rose za specifične klase hardvera). Imena su manje važna od rezultata. Novi uređaj može doći sa restriktivnim stavom koji prekida vaše zadane postavke dok ne planirate pristup.

Verzijska tehnička evolucija i analiza promjena

Implementacija device-mode pratila je nelinearni razvoj, šireći se od specijalizirane kontrole kontejnera do sveobuhvatnog sustava za enforce platforme.

Faza 1: Sigurnost kontejnera (RouterOS v7.4beta - v7.12)

Prvobitni uređaj pojavio se uz uvođenje podrške za kontejnere (Docker-kompatibilna okruženja) u RouterOS v7.4beta. MikroTik je prepoznao da omogućavanje izvođenja binarnih datoteka trećih strana predstavlja neviđeni rizik za RouterOS. Paketi kontejnera bili su prva značajka koja je zahtijevala aktivaciju putem /system/device-mode/update container=yes i potvrdu pritiskom na tipku. Tijekom tog razdoblja, device-mode je primarno smatran “sigurnosnim prekidačem za kontejnere”, a ne općenitim upravljačkim okvirom.

Faza 2: Sigurnosna osnova (v7.13 i v6.49.8)

U ključnom koraku za dugoročnu podršku, MikroTik je backportao elemente device-mode na granu v6 u verziji 6.49.8 i uveo polje allowed-versions u verziji 7.13. Polje allowed-versions (npr. 7.13+, 6.49.8+) ograničava mogućnost downgradea uređaja na firmware prije velikih sigurnosnih popravaka. Time učinkovito sprječava “rollback napade” gdje napadač nastoji vratiti router na raniju verziju ranjivu na exploit poput Chimay-Red (CVE-2017-20149).

Faza 3: Redizajn u verziji 7.17

Verzija 7.17, objavljena početkom 2025., predstavljala je najveću ekspanziju okvira. Uvela je koncept unaprijed definiranih “režima” koji kategoriziraju uređaje prema hardverskom razredu i očekivanom okruženju.

Naziv režimaHardverski razredSigurnosni pristupGlavna ograničenja (zadano)
AdvancedCCR, 1100, high-endPopustljivcontainer, traffic-gen, install-any-version
HomehAP, cAP, SOHOStrogischeduler, fetch, socks, bandwidth-test, sniffer
BasicStandard RB, switcheviUravnotežensocks, bandwidth-test, proxy, zerotier
RoseRDS, outdoor wirelessPosebna namjenaIsto kao Advanced, ali s container=yes¹

¹ Tijekom nadogradnje na v7.17 sustav je automatski preimenovao naslijeđeni “enterprise” režim u “advanced”. Za postojeće instalacije MikroTik je pokušao održati funkcionalnost postavljajući nadograđene uređaje na režim koji najviše odgovara hardverskom profilu. To je dovelo do operacionalnih problema jer su značajke poput traffic-gen (bitne za /tool flood-ping) i repartition bile onemogućene čak i u “advanced” režimu.

Faza 4: Automatizacija i rafiniranje (v7.19 - v7.22)

Najnovija grana RouterOS-a fokusirala se na rješavanje “mrtve petlje automatizacije” izazvane zahtjevom za fizičkim pristupom. Verzija 7.19.4 uvela je rose režim, posebno za RDS uređaje radi podrške tvorničkoj instalaciji kontejnera.

Izdanje 7.22rc3 (veljača 2026.) donijelo je proboj za velike provisioning procese. Dodana je mogućnost konfiguriranja device-mode putem Netinstalla i FlashFiga koristeći “mode script”. To ISP-ovima omogućuje definiranje sigurnosnog stanja tijekom početnog flashanja slike, zaobilazeći potrebu za fizičkim pritiskom tipki na tisućama jedinica. Verzija 7.22rc3 također je uklonila authorized-public-key-hash svojstvo, koje je bilo predmet spekulacija u zajednici o daljinskoj promjeni režima preko SSH ključeva.

”Flagged” stanje i brojač pokušaja

Device-mode nije samo skup statičkih zastavica.

RouterOS može označiti uređaj kao flagged ako otkrije sumnjive uzorke, poput manipulacije sistemskim datotekama ili ponašanja skripte koje podsjeća na održivost. Kad je označen, RouterOS može nametnuti stroži sigurnosni režim onemogućujući ograničene alate.

Postoji i brojač pokušaja za neuspjele promjene device-mode-a. Ako nešto (legitimna skripta ili malware) stalno pokušava promijeniti device-mode bez fizičke potvrde, brojač može blokirati daljnje izmjene dok se ne izvrši fizički restart.

Operativno značenje: ako vidite neočekivane brojače pokušaja, prvo istražite uzrok. Nemojte samo uključivati više značajki da “radi”.

Problem s provisioningom: automatizacijska mrtva petlja

ISP-ovi i velike flote vole zero-touch provisioning. Device-mode to može otežati.

Klasična mrtva petlja izgleda ovako:

  1. Router se podiže u restriktivnom režimu.
  2. Vaš skript za prvi boot treba /tool/fetch za preuzimanje konfiguracije ili certifikata.
  3. fetch je blokiran device-mode-om.
  4. Bootstrap ne uspijeva i uređaj nikad ne dođe u stanje za daljinsku popravku.

Neki timovi ručno razgrađuju svaki uređaj, omogućuju značajke i ponovno pakuju. To nije održiv pristup.

Noviji provisioning procesi poboljšali su se dopuštajući postavljanje device-mode-a tijekom flashanja (npr. putem Netinstall/FlashFig “mode skripti” u novijim verzijama RouterOS-a). Ako upravljate većim brojem uređaja, planirajte postupak kreiranja zlatne slike.

Upozorenje: Standardni /system/reset-configuration možda neće resetirati device-mode na mnogim modelima. Ako vaš proces pretpostavlja “reset znači tvorničko stanje”, mogu vas čekati neugodne iznenađenja.

Kako sigurno omogućiti potrebnu značajku (primjer CLI)

Kad vam stvarno treba kontrolirana značajka, koristite predvidiv postupak.

  1. Provjerite trenutno stanje
/system/device-mode/print
  1. Zatražite promjenu s timeoutom
/system/device-mode/update fetch=yes activation-timeout=10m
  1. Izvršite fizičku potvrdu
  • Pritisnite Mode/Reset tipku jednom (ovisno o modelu), ili
  • Isključite i uključite uređaj (hladni restart).
  1. Provjerite
/system/device-mode/print

Ako propustite timeout, RouterOS odbacuje promjenu i zadržava staru politiku.

Omogućavanje temeljeno na riziku: kratka matrica odluka

ZnačajkaTipična legitimna potrebaGlavni rizikSigurniji pristup
fetchpovlačenje konfiguracija, obnova certifikatadaljinska isporuka payloadadozvoliti samo poznate HTTPS krajnje točke; ograničiti izlazni promet
schedulerbackupi, održavanjeodrživostdržati skripte minimalnim; pratiti neočekivane zadatke
socksinterni tunelbotnet relejvezati na VLAN za upravljanje; ograničiti firewallom
traffic-gen / bandwidth-testtestovi vezaDoS/pojačavanjeomogućiti samo tijekom održavanja
containerpokretanje servisa na routerudugotrajna održivostpreferirati posvećene servere; ojačati pohranu i firewall

Kako to utječe na usvajanje MKControllera (Device-Mode onemogućen)

MKController ovisi o predvidivom pristupu upravljanju. Device-mode može biti “nevidjački ručni kočnica” tijekom onboardinga.

Ako device-mode blokira potrebnu radnju (npr. uključivanje servisa, pokretanje skripte ili dopuštanje alata za postavljanje), proces usvajanja može zastati. Simptom obično izgleda kao “uređaj je dostupan, ali zadaci ne uspijevaju”.

Zbog toga vodič za rješavanje problema posebno naglašava Device-Mode disabled kao stavku za provjeru: ako device-mode sprječava potrebne kapacitete, možda će biti potreban planirani fizički korak potvrde prije potpunog usvajanja i upravljanja MKControllerom. Pogledajte stavku 4 ovdje: https://mkcontroller.com/docs/management/troubleshooting/troubleshooting/#4-device-mode-disabled

Praktična lekcija: pri velikim implementacijama uključite device-mode politiku u svoj plan faznog puštanja. Odlučite koje ćete zastavice dopustiti prije slanja. Dokumentirajte kako će se izvršiti fizička potvrda. Time kasnije štedite na podršci.

Gdje MKController pomaže: Nakon usvajanja uređaja, MKController smanjuje ponovljene prijave i ručne provjere centraliziranjem inventara, upravljanja pristupom i operativne vidljivosti. Tako se device-mode dira samo kad postoji stvarna, opravdana potreba.

Popis za provjeru nakon nadogradnje koji možete standardizirati

Koristite ovo nakon nadogradnji RouterOS-a ili pri primanju novog hardvera:

  • Potvrdite trenutni režim i podudara li se s politikom.
  • Provjerite alate od kojih ovisite (npr. rade li fetch i scheduler).
  • Provjerite politiku allowed versions ako radite u reguliranim okruženjima.
  • Pregledajte attempt-count i stanje flagged na anomalije.
  • Zabilježite lokacije koje zahtijevaju fizičku potvrdu i kako ćete je obaviti.

Za službenu osnovu dokumentacije o device-mode, MikroTik dokumentacija je dobar početak: https://help.mikrotik.com/docs/spaces/ROS/pages/93749258/Device-mode

O MKControlleru

Nadamo se da vam je ovaj pregled pomogao bolje se snaći u svijetu MikroTik i interneta! 🚀
Bilo da fino podešavate konfiguracije ili samo pokušavate unijeti red u mrežni kaos, MKController je tu da vam olakša život.

S centraliziranim cloud upravljanjem, automatiziranim sigurnosnim ažuriranjima i nadzornom pločom koju može svatko naučiti, imamo sve što treba za unaprijediti vaše operacije.

👉 Pokrenite besplatnu 3-dnevnu probu sada na mkcontroller.com — i uvjerite se kako izgleda stvarna kontrola mreže bez napora.