تماس با ما
۰۲۱-۲۹۷۰
یک بنر برای این قسمت میتوان طراحی کرد
عناوین این مقاله

چگونه امنیت روترهای میکروتیک را افزایش دهیم؟

Secure MikroTik Routers
عناوین این مقاله
  • آخرین به‌روزرسانی: 5 اسفند 1404
مدت زمان مطالعه:
5 دقیقه
1,063
بازدید

روترهای میکروتیک جزو محبوب‌ترین تجهیزات شبکه در جهان محسوب می‌شوند که به دلیل قابلیت‌ها و انعطاف‌پذیری بالا، در بسیاری از شبکه‌ها مورد استفاده قرار می‌گیرند. با این حال، مانند هر دستگاه شبکه دیگری، روترهای میکروتیک نیز در معرض حمله سایبری قرار دارند. بنابراین، ضروری است که اقدامات لازم برای افزایش امنیت این روترها انجام شود.

در این مقاله، به بررسی مهم‌ترین راهکارهای افزایش امنیت روترهای میکروتیک می‌پردازیم. با انجام این مراحل شما خواهید توانست از روتر خود به خوبی محافظت کنید.

نسخه RouterOS

در قدم اول می‌بایست RouterOS خود را به جدیدترین ورژن آپگرید کنید. برخی از نسخه‌های قدیمی دارای نقاط ضعف یا آسیب‌پذیری خاصی بوده‌اند که این موارد در نسخه‌های جدید رفع شده‌اند. همیشه ورژن دستگاه را به روز نگه دارید تا از بابت ایمن بودن آن اطمینان حاصل کنید. تنها با کلیک روی «Check for update» در Winbox یا Webfig می‌توانید این کار را به راحتی انجام دهید.

بیشتر بخوانید: نحوه upgrade و یا downgrade روتربردهای میکروتیک

دسترسی به روتر

دسترسی به یوزرنیم (username)

یوزرنیم پیش‌فرض admin را به نام دیگری تغییر دهید. نام سفارشی از دسترسی غیر مجاز به روتر جلوگیری می‌کند.

/user add name=myname password=mypassword group=full
/user remove admin

هشدار: از رمز عبور ایمن و قوی برای یوزرنیم روتر خود استفاده کنید.

دسترسی به رمز عبور

همانطور که می‌دانید، روترهای میکروتیک به کانفیگ رمز عبور نیاز دارند. پیشنهاد می‌کنیم از pwgen یا ابزارهای دیگر تولید کننده رمز عبور برای ایجاد رمزهای عبور ایمن و غیر تکراری استفاده نمایید.

/user set 0 password=”!={Ba3N!”40TуX+GvKBz?jTLIUcx/,”

برای تنظیم رمز عبور نیز می‌توانید از طریق دستور زیر این کار را انجام دهید:

/password

به شما توصیه می‌کنیم که از روش دوم یا اینترفیس Winbox برای اعمال رمز عبور جدید استفاده کنید تا از سایر دسترسی‌های غیرمجاز در امان بمانید.

دسترسی با آدرس IP

علاوه بر این که فایروال پیش‌فرض از روتر شما در برابر دسترسی غیرمجاز محافظت می‌کند، امکان محدود کردن دسترسی برای آدرس IP خاص نیز وجود دارد.

/user set 0 allowed-address=x.x.x.x/yy

به جای x.x.x.x/yy باید IP یا subnet شبکه‌ای را قرار دهید که اجازه دسترسی به روتر را دارد.

توجه: با اطلاعات کاربری جدید وارد روتر شوید تا بررسی کنید که نام کاربری/رمز عبور کار می‌کنند.

سرویس‌‌های روتر

تمامی روترها باید توسط سرویس‌های SSH، Winbox امن یا HTTP مدیریت شوند. برای دسترسی ایمن از آخرین نسخه Winbox استفاده کنید. توجه داشته باشید که در نسخه‌های جدید Winbox، «حالت امن» به‌طور پیش‌فرض روشن است و دیگر نمی‌توان آن را خاموش نمود.

سرویس‌های RouterOS

اکثر ابزارهای مدیریتی RouterOS با استفاده از دستور زیر کانفیک شده‌اند:

/ip service print

شما باید فقط مواردی که ایمن هستند را نگه دارید:

/ip service disable telnet,ftp,www,api,api-ssl
/ip service print

همچنین باید پورت پیش‌فرض را تغییر دهید تا بتوان از بسیاری از حملات SSH brute force برای ورود به سیستم جلوگیری کرد:

/ip service set ssh port=2200
/ip service print

همچنین هر /ip سرویسی را می‌توان با آدرس IP مجاز ایمن نمود.

/ip service set winbox address=192.168.88.0/24

RouterOS MAC-access

RouterOS دارای گزینه‌های داخلی برای دسترسی آسان مدیریت به دستگاه‌های شبکه است. در شبکه‌ها باید سرویس‌هایی خاص را خاموش نمود.

MAC-Telnet

غیرفعال کردن سرویس‌های mac-telnet:

/tool mac-server set allowed-interface-list=none
/tool mac-server print

MAC-Winbox

سرویس‌های mac-winbox را غیرفعال کنید.

/tool mac-server mac-winbox set allowed-interface-list=none
/tool mac-server mac-winbox print

MAC-Ping

غیرفعال کردن سرویس مک پینگ:

/tool mac-server ping set enabled=no
/tool mac-server ping print

Neighbor Discovery

از پروتکل دیسکاوری MikroTik Neighbor برای شناسایی سایر روترهای MikroTik در شبکه استفاده می‌شود. برای غیر فعال کردن Neighbor Discovery در تمامی اینترفیس‌ها، از دستور زیر استفاده نمایید:

/ip neighbor discovery-settings set discover-interface-list=none

سرور پهنای باند

سرور پهنای باند برای آزمایش توان بین دو روتر MikroTik استفاده می‌شود. بهتر است آن را غیرفعال کنید.

/tool bandwidth-server set enabled=no

کش DNS

روتر ممکن است بصورت دیفالت کش DNS را فعال کرده باشد، که در این صورت زمان پاسخ‌دهی سرورهای ریموت به درخواست‌های DNS کلاینت‌ها کاهش می‌یابد. در صورتی که به کش DNS روتر نیازی ندارید، آن را غیرفعال کنید.

/ip dns set allow-remote-requests=no

سایر سرویس‌های کلاینت‌ها

RouterOS ممکن است سایر سرویس‌ها را نیز فعال کند (این موارد به صورت پیش‌فرض در کانفیگ RouterOS غیرفعال هستند).

پروکسی کشینگ میکروتیک:

/ip proxy set enabled=no

پروکسی ساکس میکروتیک:

/ip socks set enabled=no

سرویس UPNP میکروتیک:

/ip upnp set enabled=no

سرویس dynamic name میکروتیک یا ip cloud:

/ip cloud set ddns-enabled=no update-time=no

دسترسی ایمن‌تر به SSH

RouterOS از رمزنگاری قوی‌ برای SSH استفاده می‌کند. اکثر برنامه های جدیدتر نیز قادر هستند از آن پشتیبانی کنند. برای روشن کردن رمزنگاری SSH، دستور زیر را تایپ کنید:

/ip ssh set strong-crypto=yes

اینترفیس روتر

رابط‌های اترنت یا SFP

/ip upnp set enabled=no
/interface set x disabled=yes

x در دستور بالا، اینترفیس‌های استفاده نشده هستند.

ال سی دی (LCD)

برخی از روتربردها دارای ماژول LCD برای ارائه اطلاعات بیشتر هستند، می‌توانید برای امنیت بیشتر آن را غیرفعال کنید.

/lcd set enabled=no

فایروال (Firewall)

پیشنهاد می‌کنیم فایروال پیش فرض را همیشه روشن نگه دارید. در ادامه چندین راه برای ایمن‌تر کردن آن به شما خواهیم گفت. مطمئن شوید که تمامی قوانین به درستی اعمال می‌شوند و از کارکرد آن‌ها نیز مطلع باشید.

فایروال IPv4 روتر

– برای کاهش بار روی روتر بهتر است از اتصالات جدید استفاده کنید.

– ایجاد لیست آدرس برای آدرس های IP که اجازه دسترسی به روتر را دارند.

– فعال کردن دسترسی ICMP (اختیاری)؛

– بقیه موارد را نادیده بگیرید، log=yes ممکن است به لاگ پکت‌هایی که قانون خاصی را رعایت می‌کنند اضافه شود.

/ip firewall filter
add action=accept chain=input comment=”default configuration” connection-state=established,related
add action=accept chain=input src-address-list=allowed_to_router
add action=accept chain=input protocol=icmp
add action=drop chain=input
/ip firewall address-list
add address=192.168.88.2-192.168.88.254 list=allowed_to_router

فایروال IPv4 برای کلاینت‌ها

/ip firewall filter
add action=fasttrack-connection chain=forward comment=FastTrack connection-state=established,related
add action=accept chain=forward comment=”Established, Related” connection-state=established,related
add action=drop chain=forward comment=”Drop invalid” connection-state=invalid log=yes log-prefix=invalid
add action=drop chain=forward comment=”Drop tries to reach not public addresses from LAN” dst-address-list=not_in_internet in-interface=bridge1 log=yes log-prefix=!public_from_LAN out-interface=!bridge1
add action=drop chain=forward comment=”Drop incoming packets that are not NATted” connection-nat-state=!dstnat connection-state=new in-interface=ether1 log=yes log-prefix=!NAT
add action=drop chain=forward comment=”Drop incoming from internet which is not public IP” in-interface=ether1 log=yes log-prefix=!public src-address-list=not_in_internet
add action=drop chain=forward comment=”Drop packets from LAN that do not have LAN IP” in-interface=bridge1 log=yes log-prefix=LAN_!LAN src-address=!192.168.88.0/24

/ip firewall address-list
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment=”6to4 relay Anycast [RFC 3068]” list=not_in_internet

IPv6

به طور پیش‌فرض، پکیج IPv6 غیرفعال است. شما می‌بایست پکیج را با احتیاط فعال کنید. RouterOS بصورت پیش فرض، هیچ قانونی برای فایروال IPv6 ایجاد نمی‌کند.

IPv6 ND

غیرفعال کردن IPv6 Neighbor Discovery

/ipv6 nd set [find] disabled=yes

فایروال IPv6 روتر

/ipv6 firewall filter
add action=accept chain=input comment=”allow established and related” connection-state=established,related
add chain=input action=accept protocol=icmpv6 comment=”accept ICMPv6″
add chain=input action=accept protocol=udp port=33434-33534 comment=”defconf: accept UDP traceroute”
add chain=input action=accept protocol=udp dst-port=546 src-address=fe80::/16 comment=”accept DHCPv6-Client prefix delegation.”
add action=drop chain=input in-interface=sit1 log=yes log-prefix=dropLL_from_public src-address=fe80::/16
add action=accept chain=input comment=”allow allowed addresses” src-address-list=allowed
add action=drop chain=input
/ipv6 firewall address-list
add address=fe80::/16 list=allowed
add address=xxxx::/48 list=allowed
add address=ff02::/16 comment=multicast list=allowed

فایروال IPv6 برای کلاینت ها

با فعال کردن IPv6، کلاینت‌ها در شبکه های عمومی قابل دسترس خواهند بود، بنابراین ایجاد کانفیگ فایروال برای محافظت از کاربران ضروری است.

/ipv6 firewall filter
add action=accept chain=forward comment=established,related connection-state=established,related
add action=drop chain=forward comment=invalid connection-state=invalid log=yes log-prefix=ipv6,invalid
add action=accept chain=forward comment=icmpv6 in-interface=!sit1 protocol=icmpv6
add action=accept chain=forward comment=”local network” in-interface=!sit1 src-address-list=allowed
add action=drop chain=forward log-prefix=IPV6

منبع: wiki.mikrotik.com

به این مقاله امتیاز دهید
[تعداد امتیازها: 0 میانگین: 0]
دیدگاهتان را بنویسید

دو × دو =

جدیدترین های وبلاگ
نوران ارتباطات پایدار
ما را در شبکه های اجتماعی دنبال کنید