11 روش برای امن سازی روتر میکروتیک

چگونه روترهای میکروتیک را ایمن کنیم؟

در این مقاله از کالی بویز به پیشنهاداتی که شرکت میکروتیک در خصوص امن سازی روتر میکروتیک در وب سایت خود اشاره کرده است می پردازیم. لازم است تا بنا به سیاست های سازمان خود آنها را به کار ببرید. به عنوان مثال ممکن است شما با drop کردن لیست bogon ip در سازمان خود دچار مشکل شوید و نیاز باشد قبل از آن جهت ارتباطات subnet های مختلف رول های دیگری در فایروال بنویسید.

بیشتر بخوانید: جلوگیری از حملات DOS و DDOS بر روی میکروتیک

مراحل امن سازی روتر میکروتیک

در لیست زیر به صورت مرحله ای موارد لازم برای امن سازی روتر میکروتیک را مشاهده می کنید که در ادامه به توضیح هر کدام از آن ها خواهیم پرداخت.

  1. آپدیت کردن routeros (چگونه روترهای میکروتیک را آپدیت کنیم؟)
  2. ساختن یوزر پسورد با دسترسی های مناسب
  3. بستن تمامی آی پی های خارج از کشور جهت دسترسی به روتر مرزی شبکه
  4. محدود کردن دسترسی به سرویس ها با استفاده از آی پی
  5. غیر فعال سازی سرویس هایی که به آنها نیاز نداریم و عوض کردن پورت های پیش فرض سرویس ها
  6. غیر فعال سازی پکیج هایی که آنها نیاز نداریم
  7. غیر فعال سازی neighbor discovery
  8. غیر فعالسازی bandwidth server
  9. غیر فعال سازی dns cache و دراپ کردن input بر روی پورت dns
  10. غیر فعال سازی اینترفیس های بدون استفاده
  11. تنظیم ntp جهت مشاهده و خواندن زمان دقیق log های رخ داده

ساختن یوزر پسورد با دسترسی مناسب

یوزر پیش فرض میکروتیک admin می باشد که پیشنهاد میگردد این یوزر پاک شده و با اسم دیگری ساخته شود و پسورد complex برای آن در نظر گرفته شود و برای دسترسی یوزرهای محلی با دسترسی محدود در مسیر system>>users ایجاد شود مانند شکل زیر:

چگونه می توان روتر میکروتیک را ایمن کرد؟

بستن تمامی آی پی های خارج از کشور جهت دسترسی به روتر مرزی شبکه

با استفاده از این روش هرگونه حمله با آی پی خارج از کشور بر روی میکروتیک بسته شده و اگر کسی حمله به روتر انجام دهد با توجه به اینکه داخل کشور می باشد از طریق پلیس فتا میتوانید پیگیری کنید در نتیجه به حد چشمگیری جلوی حملات گرفته خواهد شد.

بدین منظور ابتدا به سایت mikrotikconfig.com رفته و تیک گزینه ایران را میزنیم و سپس بر روی generate address list میزنیم.

امن سازی روتر میکروتیک
امن سازی روتر میکروتیک

اکنون فایل rsc دانلود شده را داخل میکروتیک آپلود میکنیم و دستور زیر را میزنیم.

import IP-Firewall-Address-List.rsc

امن کردن روتر میکروتیک

با استفاده از فایل و دستور بالا ما یک آدرس لیست شامل کلیه آی پی های ایران را اضافه کردیم و به دلیل این که میخواهیم دسترسی به روتر را محدود کنیم باید رنج آی پی های شبکه خود را نیز به آین آی پی آدرس اضافه کنیم.

امن سازی روتر میکروتیک

با استفاده از یک رول در فایروال input به روتر میکروتیک به جز لیست آی پی های ایران و رنج شبکه خود را مسدود میکنیم.

ip firewall filter add address-list=!CountryIPBlocks action=drop chain=input

محدود کردن دسترسی به سرویس ها با استفاده از آی پی

با استفاده از مسیر ip>>services بر روی سرویس مورد نظر تعیین میکنیم که فقط از طریق آی پی های شبکه داخلی در دسترس باشد مانند شکل زیر:

ایمن سازی روتر میکروتیک

غیر فعال سازی سرویس هایی که به آنها نیاز نداریم و عوض کردن پورت های پیش فرض سرویس ها

در مسیر ip>>services کلیه سرویس های در حال اجرا را مشاهده میکنیم که با دوبار کلیک کردن بر روی آنها میتوان تعیین کرد که از طریق چه آی پی و چه پورتی در دسترس باشند و در صورتی که به آنها نیازی ندارید حتما آنها را غیر فعال کنید.

نکته: پورت پیش فرض وینباکس را باید حتما عوض کنید.

امن سازی میکروتیک

کلیه پورت ها و آی پی های بالا به عنوان مثال می باشند و باید بر اساس طراحی شبکه خود آنها را انتخاب کنید.

غیر فعال سازی پکیج هایی که آنها نیاز نداریم

در مسیر system>>packages شما تمامی پکیج های روی روتر را مشاهده میکنید، با توجه به اینکه این پکیج ممکن است از آنها یک باگ پیدا شده و نفوذ از طریق آن انجام پذیرد تمامی پکیج هایی که به آنها نیاز نداریم را غیر فعال میکنیم:

امن کردن میکروتیک

غیر فعال سازی Neighbor Discovery

با استفاده از قابلیت neighbor discovery ما روترهای میکروتیک اطراف خود را پیدا میکنیم به عنوان مثال وینباکس با استفاده از این قابلیت لیستی از روترهای همسایه جهت اتصال به ما میدهد، در صورتی که بخواهیم روتر ما در این لیست دیده نشود  ولی بقیه را ببینیم باید از دستور زیر استفاده میکنیم:

ip firewall filter add chain=output protocol=udp dst-port=5678 action=drop 

غیر فعالسازی bandwidth server

این سرویس جهت تست send و receive بین دو روتر مورد استفاده قرار میگیرد و در صورت استفاده نادرست میتواند موجب یک حمله سنگین شود بنابراین در صورتی که آن را نیاز نداریم غیرفعال میکنیم:

/tool bandwidth-server set enabled=no

غیر فعال سازی dns cache و دراپ کردن input بر روی پورت dns

روتر میکروتیک میتواند به عنوان dns server عمل کند ولی به دلایل امنیتی بهتر است این کار را انجام ندهیم بنابراین تیک گزینه allow remote request را نمیزنیم و  اگر هم آن را فعال میکنیم حتما ورودی های پورت 53 بر روی روتر را میبندیم.

امن سازی میکروتیک

Ip firewall filter add chain=input protocol=udp dst-port=53 action=drop
Ip firewall filter add chain=input protocol=tcp dst-port=53 action=drop

غیر فعال سازی اینترفیس های بدون استفاده

اینترفیس های بر روی روترها که استفاده ای از آنها را نداریم جهت جلوگیری از سو استفاده در صورت داشتن دسترسی فیزیکی غیرفعال میکنیم:

غیر فعال سازی اینترفیس های بدون استفاده

تنظیم ntp جهت مشاهده و خواندن زمان دقیق log های رخ داده

تنظیم یک تایم سرور و تنظیم شدن زمان روتر شما باعث میشود که اگر حمله ای رخ دهد و شما نیاز به خواندن لاگ ها داشته باشید زمان دقیق ثبت لاگ ها را داشته باشید.

امن سازی میکروتیک

امیدوارم از این آموزش استفاده کافی رو برده باشید. موفق باشید.

2 دیدگاه
  1. Mahdi می گوید

    با سلام من به دنبال یک آنتن دست دوم وایرلس میگردم که قیمت مناسبی داشته باشه برای خودم نانو استیشن بود که بردش اتصالی داد خراب شد نمیدونم از کجا فراهم کنم

    1. علی کلانتری می گوید

      سلام مهندس عزیز
      برای آنتن دست دوم وایرلس احتمالا بتونید میکروتیک پیدا کنید منتها یکم سخته پیدا کردنش، برای پیدا کردنش از مراکز تعمیر و مراکزی که استوک شبکه میفروشند باید استعلام کنید
      داخل گوگل و سرچ تلگرام بنظرم سرچ کنید راجب گروه های میکروتیک و استوک و شبکه و این چیز شماره پیدا کنید تماس بگیرید یا داخل تلگرام گروه هایی پیدا میکنید مطمئنا که مرتبط باشن و داخل اونجا پیام بزارید بببنید از دوستان کسی دارند یا نه، فقط بعد از خرید جنس دست دوم برای رادیو حتما و حتما تست آب بندی اون رادیو رو انجام بدید.

نوشتن دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.