فروردین, 1398 بدون نظر آموزش, میکروتیک

مقدمه : در این مقاله میخواهیم راهنمای سریع ایمن سازی و امنیت روتربرد های میکروتیک برای شما توضیح دهیم.

گاهی وقتی اتفاق افتاده که روتر شما آلوده به حملات شبکه ای شده است و یا مستعد به این حمله ها هست، در این مقاله دو روش مهم و کاربردی برای ایمن سازی در آسیب پذیری روترهای میکروتیک برای شما تهیه شده است که با توجه به نوع روتر و سطح حمله، بهترین روش را می توانید مرحله به مرحله انجام بدهید تا امنیت در روتربرد های میکروتیک شما همیشه حفظ گردد.

با در نظر گرفتن این شرایط که روتر شما آلوده شده و لازم است به‌منظور اطمینان از رفع آلودگی احتمالی و جلوگیری از آسیب‌پذیری مجدد، اقدامات زیر صورت بپذیرد. می‌توانید یکی از روش‌های زیر را متناسب با روترتان انتخاب کنید و مراحل ایمن سازی و امنیت روتربرد های میکروتیک و امنیت میکروتیک در شبکه را مرحله به مرحله انجام بدهید.

مراحل ایمن سازی و امنیت روتربرد های میکروتیک:
روش اول : بازگردانی به تنظیمات کارخانه‌ای و بروز رسانی مجدد روتر

روش دوم : درصورتی‌که راه‌اندازی و تنظیم مجدد امکان‌پذیر نیست. می‌توان مراحل زیر را جهت پاک‌سازی روتر اجرا نمود.

روش اول : بازگردانی به تنظیمات کارخانه‌ای و تنظیم مجدد روتر
1) بازگردانی به تنظیمات کارخانه‌ای
بازگردانی تنظیمات اولیه روتر میکروتیک یا Reset Factory کردن جزء اولین اقدامات شما در این مرحله هست که شما می توانید با نوشتن کد دستوری زیر این فرمان را به روترتان بدهید.

system reset-configuration no-defaults=yes
2) بروز رسانی روتربرد میکروتیک
پس از کانفیگ اولیه روتر میکروتیک و به اینترنت دسترسی پیدا کنید و از دستور زیر استفاده نمایید .

/system package update
check-for-updates once
:delay 3s;
:if ( [get status] = “New version is available”) do={ install }
یا با مراجعه به سایت https://mikrotik.com/download و انتخاب متناسب ترین Package و Drag کردن بر روی روترتان، بروزرسانی را با موفقیت انجام بدهید.

3) غیرفعال سازی سرویس‌های غیرضروری
برای غیر فعال سازی و یا disable کردن سرویس هایی که فعلا نیاز به استفاده نداریم از کد دستوری ip service disable استفاده می کنیم. که در ادامه می توانید نمونه ای از این کد را مشاهده نمایید.

/ip service disable [find name=telnet]
/ip service disable [find name=ftp]
/ip service disable [find name=www]
/ip service disable [find name=www-ssl]
/ip service disable [find name=api]
/ip service disable [find name=api-ssl]
/tool bandwidth-server set enabled=no
/ip dns set allow-remote-requests=no
/ip socks set enabled=no
/tool romon set enabled=no
4) استفاده از پروتکل SSH
استفاده از الگوریتم‌های قدرتمند و پیچیده در پروتکل رمزنگاری SSH، ضریب امنیتی در روتر را در حملات بیشتر می کند.

/ip ssh set strong-crypto=yes
5) غیرفعال نمودن Package های غیرضروری
با استفاده از دستور زیر می‌توان Package های نصب‌شده و وضعیت آن‌ها را در RouterOSمشاهده نمود .

/system package print
سپس با استفاده از دستور زیر می‌توان Package های غیرضروری را غیرفعال کنیم .

/system package disable ipv6
/system package disable mpls
/system package disable hotspot
6) تغییر شماره پورت سرویس‌های کاربردی
با استفاده از دستور ذیل می‌توان شماره پورت مربوط به سرویس‌های RouterOSرا مشاهده نمود.

/ip service print
سپس با استفاده از دستور ذیل می‌توان شماره پورت مربوط به یک سرویس در RouterOS را تغییر داد.

/ip service set ssh port=1284
7) اختصاص ACLجهت دسترسی به سرویس‌های کاربردی
با استفاده از Access List دسترسی به روتر تنها از تعداد مشخصی IPو یا Network قابل‌دسترس خواهد بود. با کاهش تعداد IP هایی که توانایی دسترسی به روتر را دارند می‌توان سطوح حملات را کاهش و امنیت روتر افزایش داد .

تذکر : IP یا Network زیر به‌عنوان یک نمونه آزمایشی هست و به‌جای آن باید آی پی متناسب با روترخودتان را اختصاص دهید .

توجه : در صورت تعریف ACL دسترسی به سرویس‌ها فقط از این طریق خواهد بود .

/ip service set ssh address=192.168.1.0/24
/ip service set winbox address=192.168.1.0/24
8) ایجاد رمز عبور پیچیده برای حساب‌های کاربری
در حملات Brute Force Loginدر صورت نبود رمز عبور پیچیده و طول کمتر از 10 کاراکتر، به‌سادگی و در کمتر از چند دقیقه رمز عبور شکسته شده و مهاجم وارد سیستم می‌گردد. حال با ایجاد رمز عبور با حداقل 12 کاراکتر و ترکیب کارترهای عدد، حروف بزرگ و کوچک و کاراکترهای خاص می‌توان این زمان را افزایش داد.

/user set admin password=#123xX&123″%
9) بلاک نمودن درخواست DNSاز WAN Interface
/ip firewall filter
add action=drop chain=input comment=”BLOCK DNS REQUEST ON WAN INTERFACE”
dst-port=53 in-interface=pppoe-out1 protocol=udp

 

برچسب ها

ارسال نظر شما

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *