در این پست می خواهیم چند نکته مفید برای امن کردن روتر میکروتیک در استفاده از میکروتیک را به شما آموزش دهیم.
امن کردن روتر میکروتیک
1- یوزر و پسورد
به صورت پیشفرض نام کاربری ادمین در میکروتیک Admin می باشد، بهتر است برای امن نگهداشتن این اکانت، یک اکانت دیگر به اسمی که خیلی شبیه به اکانت ادمین نباشه ساخته و به آن دسترسی کامل بدهید و سپس اکانت Admin پیشفرض را غیرفعال کنید.
برای این کار از طریق Winbox وارد مسیر زیر شوید:
System->Users
سپس بر روی علامت + کلیک کنید.
حال باید یک یوزر جدید با دسترسی Full و یک پسورد قوی بسازید.
سپس بهتر است اکانت Admin قبلی را غیر فعال کنید، برای این کار بر روی علامت ضربدر قرمز کلیک کنید.
2- محدود کردن Access Ports
یکی از موارد امنیتی که همیشه گفته میشه این که اگه از سرویسی استفاده نمیکنید اون سرویس را غیرفعال کنید. حال در میکروتیک هم از همه سرویس هایی که میشه از طریق آن به میکروتیک وصل استفاده نمی کنید بهتر آن سرویس ها را غیرفعال کنید.
وارد قسمت IP -> Services شوید.
حال هر سرویسی که استفاده نمیکنید و یا کم استفاده میکنید بهتر است غیرفعال شود برای اینکار سرویس مورد نظر را انتخاب کرده و سپس برای روی ضربدر کلیک کنید.
نکته: خودم سرویس های زیر را غیرفعال میکنم و درصورتی که لازم داشتم دوباره فقط برای مدتی که لازم دارم فعال میکنم.
- ftp
- www
- telnet
- api
- api-ssl
3- تغییر شماره پورت
بهتر است برای امنیت بیشتر شماره پورت های سرویس هایی که استفاده میکنید را تغییر دهید.
نکته1: در صورت تغییر شماره پورت فراموش نکنید که باید پورت را در زمان اتصال به سرویس مورد نظر وارد کنید.
نکته2: من موارد زیر را معمولا تغییر میدهم.
- ssh
- www
برای تغییر پورت کافی که در همان قسمت IP Service List که در بالا توضیح دادیم وارد شده و بر روی سرویس مورد نظر کلیک کرده و شماره پورت را عوض کنید. برای مثال ما پورت SSH را که به صورت پیشفرض 22 می باشد را بر روی 9522 قرار دیدم.
4- حفاظت در برابر حمله های Brute Force
این نوع حملات هکر ها با استفاده از نرم افزارهای روبوت با ارسال میلیاردها میلیارد نام کاربری و کلمه عبور بر روی بخش Login و با استفاده از قاعده زمان بی نهایت و حالت بی نهایت که احتمال 100% را نتیجه می دهد، به یافتن نام کاربری و کلمه عبور اقدام می کنند. پس هر چه نام کاربری و کلمه عبور پیچیده تری انتخاب کنید، هکر دیرتر موفق می شود. اما در صورتیکه میکروتیک شما از قابلیت Brute Force Detection برخوردار نباشد باز هم هکر می تواند به نتیجه دلخواهش که همانا دستیابی به نام کاربری و کلمه عبور شماست برسد.
ما در اینجا آموزش جلوگیری از این روش حمله در FTP و SSH رو قرار می دهیم.
Winbox را باز کنید و وارد terminal شوید و دستورات زیر را وارد کنید.
اگر قبلا پورت سرویس های زیر را تغییر داده اید باید شماره پورت در دستورات زیر نیز تغییر کند.
دستورات زیر برای جلوگیری از حمله Brute Force بر روی FTP می باشد.
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
comment="drop ftp brute forcers"
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \
address-list=ftp_blacklist address-list-timeout=3h
دستورات زیر برای جلوگیری از حمله Brute Force بر روی SSH می باشد.
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute forcers" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=10d comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \
address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no
گیگ بوی سایت آموزش شبکه به صورت فارسی و تصویری و دانلود نرم افزار
