چند نکته آموزشی برای امن کردن روتر میکروتیک

Telegram_GEEKBOY

در این پست می خواهیم چند نکته مفید برای امن کردن روتر میکروتیک در استفاده از میکروتیک را به شما آموزش دهیم.

امن کردن روتر میکروتیک

1- یوزر و پسورد

به صورت پیشفرض نام کاربری ادمین در میکروتیک Admin می باشد، بهتر است برای امن نگهداشتن این اکانت، یک اکانت دیگر به اسمی که خیلی شبیه به اکانت ادمین نباشه ساخته و به آن دسترسی کامل بدهید و سپس اکانت Admin پیشفرض را غیرفعال کنید.

برای این کار از طریق Winbox وارد مسیر زیر شوید:

System->Users

user

سپس بر روی علامت + کلیک کنید.

admin4

حال باید یک یوزر جدید با دسترسی Full و یک پسورد قوی بسازید.

admin2

سپس بهتر است اکانت Admin قبلی را غیر فعال کنید، برای این کار بر روی  علامت ضربدر قرمز کلیک کنید.

admin3

2- محدود کردن Access Ports

یکی از موارد امنیتی که همیشه گفته میشه این که اگه از سرویسی استفاده نمیکنید اون سرویس را غیرفعال کنید. حال در میکروتیک هم از همه سرویس هایی که میشه از طریق آن به میکروتیک وصل استفاده نمی کنید بهتر آن سرویس ها را غیرفعال کنید.

وارد قسمت  IP -> Services شوید.

services

حال هر سرویسی که استفاده نمیکنید و یا کم استفاده میکنید بهتر است غیرفعال شود برای اینکار سرویس مورد نظر را انتخاب کرده و سپس برای روی ضربدر کلیک کنید.

نکته: خودم سرویس های زیر را غیرفعال میکنم و درصورتی که لازم داشتم دوباره فقط برای مدتی که لازم دارم فعال میکنم.

  • ftp
  • www
  • telnet
  • api
  • api-ssl

services2

3- تغییر شماره پورت

بهتر است برای امنیت بیشتر شماره پورت های سرویس هایی که استفاده میکنید را تغییر دهید.

نکته1: در صورت تغییر شماره پورت فراموش نکنید که باید پورت را در زمان اتصال به سرویس مورد نظر وارد کنید.

نکته2: من موارد زیر را معمولا تغییر میدهم.

  • ssh
  • www

برای تغییر پورت کافی که در همان قسمت IP Service List که در بالا توضیح دادیم وارد شده و بر روی سرویس مورد نظر کلیک کرده و شماره پورت را عوض کنید. برای مثال ما پورت SSH را که به صورت پیشفرض 22 می باشد را بر روی 9522 قرار دیدم.

services3

4- حفاظت در برابر حمله های Brute Force

این نوع حملات هکر ها با استفاده از نرم افزارهای روبوت با ارسال میلیاردها میلیارد نام کاربری و کلمه عبور بر روی بخش Login و با استفاده از قاعده زمان بی نهایت و حالت بی نهایت که احتمال 100% را نتیجه می دهد، به یافتن نام کاربری و کلمه عبور اقدام می کنند. پس هر چه نام کاربری و کلمه عبور پیچیده تری انتخاب کنید، هکر دیرتر موفق می شود. اما در صورتیکه میکروتیک شما از قابلیت Brute Force Detection  برخوردار نباشد باز هم هکر می تواند به نتیجه دلخواهش که همانا دستیابی به نام کاربری و کلمه عبور شماست برسد.

ما در اینجا آموزش جلوگیری از این روش حمله در FTP و SSH رو قرار می دهیم.

Winbox را باز کنید و وارد  terminal شوید و دستورات زیر را وارد کنید.

terminal اگر قبلا پورت سرویس های زیر را تغییر داده اید باید شماره پورت در دستورات زیر نیز تغییر کند.

دستورات زیر برای جلوگیری از حمله Brute Force بر روی FTP می باشد.

add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
comment="drop ftp brute forcers"

add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m

add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \
address-list=ftp_blacklist address-list-timeout=3h

دستورات زیر برای جلوگیری از حمله Brute Force بر روی SSH می باشد.

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute forcers" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=10d comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \
address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

اگر شما نیز به رشد دانش خود و به اشتراک گزاری آن با دیگران علاقه مندید می توانید به ما بپیوندید

ارسال یک نظر

آدرس ایمیل شما منتشر نخواهد شد.

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.