شبکهمیکروتیک

11 روش برای امن سازی روتر میکروتیک

چگونه روترهای میکروتیک را ایمن کنیم؟

در این مقاله از کالی بویز به پیشنهاداتی که شرکت میکروتیک در خصوص امن سازی روتر میکروتیک در وب سایت خود اشاره کرده است می پردازیم. لازم است تا بنا به سیاست های سازمان خود آنها را به کار ببرید. به عنوان مثال ممکن است شما با drop کردن لیست bogon ip در سازمان خود دچار مشکل شوید و نیاز باشد قبل از آن جهت ارتباطات subnet های مختلف رول های دیگری در فایروال بنویسید.

مراحل امن سازی روتر میکروتیک

در لیست زیر به صورت مرحله ای موارد لازم برای امن سازی روتر میکروتیک را مشاهده می کنید که در ادامه به توضیح هر کدام از آن ها خواهیم پرداخت.

  1. آپدیت کردن routeros (چگونه روترهای میکروتیک را آپدیت کنیم؟)
  2. ساختن یوزر پسورد با دسترسی های مناسب
  3. بستن تمامی آی پی های خارج از کشور جهت دسترسی به روتر مرزی شبکه
  4. محدود کردن دسترسی به سرویس ها با استفاده از آی پی
  5. غیر فعال سازی سرویس هایی که به آنها نیاز نداریم و عوض کردن پورت های پیش فرض سرویس ها
  6. غیر فعال سازی پکیج هایی که آنها نیاز نداریم
  7. غیر فعال سازی neighbor discovery
  8. غیر فعالسازی bandwidth server
  9. غیر فعال سازی dns cache و دراپ کردن input بر روی پورت dns
  10. غیر فعال سازی اینترفیس های بدون استفاده
  11. تنظیم ntp جهت مشاهده و خواندن زمان دقیق log های رخ داده

ساختن یوزر پسورد با دسترسی مناسب

یوزر پیش فرض میکروتیک admin می باشد که پیشنهاد میگردد این یوزر پاک شده و با اسم دیگری ساخته شود و پسورد complex برای آن در نظر گرفته شود و برای دسترسی یوزرهای محلی با دسترسی محدود در مسیر system>>users ایجاد شود مانند شکل زیر:

چگونه می توان روتر میکروتیک را ایمن کرد؟

بستن تمامی آی پی های خارج از کشور جهت دسترسی به روتر مرزی شبکه

با استفاده از این روش هرگونه حمله با آی پی خارج از کشور بر روی میکروتیک بسته شده و اگر کسی حمله به روتر انجام دهد با توجه به اینکه داخل کشور می باشد از طریق پلیس فتا میتوانید پیگیری کنید در نتیجه به حد چشمگیری جلوی حملات گرفته خواهد شد.

بدین منظور ابتدا به سایت mikrotikconfig رفته و تیک گزینه ایران را میزنیم و سپس بر روی generate address list میزنیم.

امن سازی روتر میکروتیک
امن سازی روتر میکروتیک

اکنون فایل rsc دانلود شده را داخل میکروتیک آپلود میکنیم و دستور زیر را میزنیم.

import IP-Firewall-Address-List.rsc

امن کردن روتر میکروتیک

با استفاده از فایل و دستور بالا ما یک آدرس لیست شامل کلیه آی پی های ایران را اضافه کردیم و به دلیل این که میخواهیم دسترسی به روتر را محدود کنیم باید رنج آی پی های شبکه خود را نیز به آین آی پی آدرس اضافه کنیم.

امن سازی روتر میکروتیک

با استفاده از یک رول در فایروال input به روتر میکروتیک به جز لیست آی پی های ایران و رنج شبکه خود را مسدود میکنیم.

ip firewall filter add address-list=!CountryIPBlocks action=drop chain=input

محدود کردن دسترسی به سرویس ها با استفاده از آی پی

با استفاده از مسیر ip>>services بر روی سرویس مورد نظر تعیین میکنیم که فقط از طریق آی پی های شبکه داخلی در دسترس باشد مانند شکل زیر:

ایمن سازی روتر میکروتیک

غیر فعال سازی سرویس هایی که به آنها نیاز نداریم و عوض کردن پورت های پیش فرض سرویس ها

در مسیر ip>>services کلیه سرویس های در حال اجرا را مشاهده میکنیم که با دوبار کلیک کردن بر روی آنها میتوان تعیین کرد که از طریق چه آی پی و چه پورتی در دسترس باشند و در صورتی که به آنها نیازی ندارید حتما آنها را غیر فعال کنید.

نکته: پورت پیش فرض وینباکس را باید حتما عوض کنید.

امن سازی میکروتیک

کلیه پورت ها و آی پی های بالا به عنوان مثال می باشند و باید بر اساس طراحی شبکه خود آنها را انتخاب کنید.

غیر فعال سازی پکیج هایی که آنها نیاز نداریم

در مسیر system>>packages شما تمامی پکیج های روی روتر را مشاهده میکنید، با توجه به اینکه این پکیج ممکن است از آنها یک باگ پیدا شده و نفوذ از طریق آن انجام پذیرد تمامی پکیج هایی که به آنها نیاز نداریم را غیر فعال میکنیم:

امن کردن میکروتیک

غیر فعال سازی Neighbor Discovery

با استفاده از قابلیت neighbor discovery ما روترهای میکروتیک اطراف خود را پیدا میکنیم به عنوان مثال وینباکس با استفاده از این قابلیت لیستی از روترهای همسایه جهت اتصال به ما میدهد، در صورتی که بخواهیم روتر ما در این لیست دیده نشود  ولی بقیه را ببینیم باید از دستور زیر استفاده میکنیم:

ip firewall filter add chain=output protocol=udp dst-port=5678 action=drop

غیر فعالسازی bandwidth server

این سرویس جهت تست send و receive بین دو روتر مورد استفاده قرار میگیرد و در صورت استفاده نادرست میتواند موجب یک حمله سنگین شود بنابراین در صورتی که آن را نیاز نداریم غیرفعال میکنیم:

/tool bandwidth-server set enabled=no

غیر فعال سازی dns cache و دراپ کردن input بر روی پورت dns

روتر میکروتیک میتواند به عنوان dns server عمل کند ولی به دلایل امنیتی بهتر است این کار را انجام ندهیم بنابراین تیک گزینه allow remote request را نمیزنیم و  اگر هم آن را فعال میکنیم حتما ورودی های پورت 53 بر روی روتر را میبندیم.

امن سازی میکروتیک

Ip firewall filter add chain=input protocol=udp dst-port=53 action=drop

Ip firewall filter add chain=input protocol=tcp dst-port=53 action=drop

غیر فعال سازی اینترفیس های بدون استفاده

اینترفیس های بر روی روترها که استفاده ای از آنها را نداریم جهت جلوگیری از سو استفاده در صورت داشتن دسترسی فیزیکی غیرفعال میکنیم:

غیر فعال سازی اینترفیس های بدون استفاده

تنظیم ntp جهت مشاهده و خواندن زمان دقیق log های رخ داده

تنظیم یک تایم سرور و تنظیم شدن زمان روتر شما باعث میشود که اگر حمله ای رخ دهد و شما نیاز به خواندن لاگ ها داشته باشید زمان دقیق ثبت لاگ ها را داشته باشید.

امن سازی میکروتیک

امیدوارم از این آموزش استفاده کافی رو برده باشید. موفق باشید.

بیشتر بخوانید:

علی کلانتری

کارشناس شبکه CCNA , CCNP MTCNA, MTCRE, MTCTCE, MTCWE, MTCUME , MTCINE MCSA,VCP 5.5,LPIC-1,CEH

‫4 دیدگاه ها

  1. سلام و روز بخیر من روتر میکروتیک استفاده میکنم و همه دیوایس ها رو از طریق آی پی آدرسشون در وینباکس محدود کردم ولی بعضی گوشی ها با خاموش و روشن کردن وای فای گوشی بصورت اتوماتیک تغییر آی پی میدن و میتونن دسترسی کامل به سرعت اینترنت داشته باشن. لطفا راهنمایی کنید چطور میتونم بصورت دائمی محدودشون کنم که با تغییر آی پی هم نتونن دسترسی کامل داشته باشن. ممنون

    1. مهندس کلانتری گفتن که: سناریوی که پیاده سازی کردین رو دقیق نمیدونیم چیه چون ناقص توضیح دادین ولی میتونین با راه اندازی hotspot و یوزر منیجر سرعت و حجم هرکسی رو کنترل کنین و اون مشکل تغییر آی پی که دارین رو هم با افزایش lease time می‌تونین حل کنین اینجوری که گفتیناحتمال زیاد lease time کمی در نظر گرفتین.

  2. با سلام من به دنبال یک آنتن دست دوم وایرلس میگردم که قیمت مناسبی داشته باشه برای خودم نانو استیشن بود که بردش اتصالی داد خراب شد نمیدونم از کجا فراهم کنم

    1. سلام مهندس عزیز
      برای آنتن دست دوم وایرلس احتمالا بتونید میکروتیک پیدا کنید منتها یکم سخته پیدا کردنش، برای پیدا کردنش از مراکز تعمیر و مراکزی که استوک شبکه میفروشند باید استعلام کنید
      داخل گوگل و سرچ تلگرام بنظرم سرچ کنید راجب گروه های میکروتیک و استوک و شبکه و این چیز شماره پیدا کنید تماس بگیرید یا داخل تلگرام گروه هایی پیدا میکنید مطمئنا که مرتبط باشن و داخل اونجا پیام بزارید بببنید از دوستان کسی دارند یا نه، فقط بعد از خرید جنس دست دوم برای رادیو حتما و حتما تست آب بندی اون رادیو رو انجام بدید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


دکمه بازگشت به بالا