
امنیت میکروتیک+6روش جلوگیری ازهک میکروتیک Port knocking
به اشتراک بگذارید
امنیت میکروتیک و یا به صورت کلی امنیت در روتر های Mikrotik که حضورشان در اغلب شرکت ها ضروری است، بسیار مهم و کاربردی است چرا که در میکروتیک به دلیل باز بودن انواع روش های اتصال، با کمی بی دقتی ممکن است هک شود. من در این مقاله به صورت کامل روش های مختلفی را برای جلوگیری از هک میکروتیک، به صورت تصویری و به زبان ساده آموزش می دهم. درنظر داشته باشید که برای حفظ امنیت میکروتیک، موارد کاربری را هم قراره توی ویدیو بگم. پس با من تا انتهای این آموزش از بلاگ وب داده همراه باشید…😉👇
💡 بیشتر بدانید: آموزش ورود به سرور مجازی میکروتیک + ویدیو
امنیت میکروتیک
اگر خاطرتان باشد زمانی که سرور میکروتیک خود را از شرکت هاستینگ تحویل گرفتید به صورت کاملا خام، حتی بدون وجود رمز یا Password بود که شما باید بر طبق مقاله آموزش ورود به سرور مجازی میکروتیک + ویدیو وارد محیط ترمینال VNC می شدید و IP خود را به کارت شبکه میکروتیک خود معرفی میکردید و رمز عبور مدنظر خود که 100 البته باشد رمزی با امنیت بالا باشد را وارد می کردید.
و اما باید بگم برای جلوگیری از هک میکروتیک و بالا بردن امنیت میکروتیک موارد بسیار زیادی وجود دارد که میتوانید در بخش بعدی این موارد را آموزش ببینید و در روتر میکروتیک خود پیاده سازی کنید. پس با من تا انjهای این مقاله همراه باشید…
روش های جلوگیری از هک میکروتیک
جهت جلوگیری از هک شدن میکروتیک و یا بالا بردن امنیت میکروتیک میتوانید موارد زیر را بررسی کنید و آنها را بر روی Mikrotik سرور خود اجرا کنید:
1- بهروزرسانی منظم
بهروزرسانی منظم در میکروتیک میتواند به صورت قابل توجهی تاثیر مستقیمی بر روی جلوگیری از هک شدن میکروتیک داشته باشد. چرا که با آپدیت منظم این اطمینان را دارید که میکروتیک شما همواره از آخرین تمهیدات امنیتی برخوردار است و تمامی باگ های امنیتی که در نسخه قبلی بوده با آپدیت نرم افزار رفع شده است و میتوانید عملکرد میکروتیک خود را بهبود ببخشید و از استاندارد های جدید و بروزی که درنسخه های آپدیت شده ارائه می شوند استفاده کنید. حال جهت آپدیت نرم افزار میکروتیک خود مراحل زیر را دانبال کنید.
📌 من در این آموزش برای راحتی شما کاربران وب داده تمامی مراحل را بر روی دو مدل میکروتیک WinBox 3.41 و WinBox 4.0beta9 انجام خواهم داد.
🔸 ابتدا وارد سرور میکروتیک خود شوید و از بخش System وارد منوی Packages شوید و در تب جدید بر روی گزینه
check for updates کلیک کنید.
🔸 حال از بخش channel حالت مورد نظر را انتخاب کنبد و بر روی Download and install کلیک کنید. درنظر داشته باشید سرور به صورت خودکار پس از انجام بروزرسانی Reboot می شود.
📌 اگر گزینه Updates برایتان فعال نبود حتماْ DNS ها را set نکرده اید. جهت انجام این کار به منوی IP و زیر منوی DNS رفته و مقدار Servers را بر روی 8.8.8.8 تنظیم کنید.
2- User name و رمزهای قوی
سرور های میکروتیک در ابتدایی ترین حالت خود بدون رمز و تنها با یوزر Admin در اختیار کاربران قرار می گیرند. جهت بالا بردن امنیت در سرور های میکروتیک باید رمزی قوی درنظر بگیرید و ترجیحاْ یوزر را هم تغییر دهید تا دسترسی به سرور را سخت تر کنید. درنظر داشته باشید شما باید یوزر هایی مانند: Admin، Route، Administrator را حذف کنید چرا که اینها ابتدایی ترین نام های یوزر هایی است که جهت هک میکروتیک مورد استفاده قرار می گیرند.
🔸 ابتدا وارد محیط Winbox شوید و از بخش system وارد زیر منوی Users شوید. و از بخش ➕ یک یوزر جدید را وارد کنید.
🔸 حال در تب جدید در بخش Name یک نام دلخواه را وارد کنید و قسمت Group را در حالت Full قرار دهید تا دسترسی ای درست مانند: Admin را داشته باشید. سپس در بخش Password حتماْ رمزی با امنیت به شدت بالا در نظر بگیرید و حتما چندین بار از انواع کاراکترها در ایجاد رمز خود استفاده کنید و در نهایت Apply کنید.
🔸 حال یوزر Admin را با کلیک بر روی آن و علامت ➖ و یا remove، پاک می کنیم تا تنها با یوزر جدید Webdade و رمز جدید بتوانیم وارد میکروتیک شویم. سپس از میکزوتیک خارج می شویم و با اطلاعات جدید درخواست ورود می دهیم.
3- غیرفعال کردن سرویس های غیرضروری
روش های مختلفی برای اتصال به سرور میکروتیک معرفی شده اند که در این بخش قرار است برای ایجاد امنیت و بستن انواع راه های دسترسی به روتر میکروتیک، این روش های ورود غیر ضروری را Off کنیم.
🔸 وارد سرور میکروتیک خود شوید و از طریق بخش IP وارد زیر منوی Services شوید. در تب باز شده تمامی راه های دسترسی به میکروتیک را مشاهده میکنید. این روش ها شامل:
- سرویس api و api-ssl: سرویسی جهت اتصال میکروتیک به نرم افزار های خارجی است. اگر از نرم افزار های دیگری که نیاز باشد میکروتیک به آنها متصل شود استفاده نمی کنید لظفاْ این سرویس را غیر فعال کنید.
- سرویس ftp: این سرویس جهت انتقال فایل ها صورت می گیرد. بهتر است این روش به صورت کای خاموش شود.
- سرویس SSH: اتصال به میکروتیک توسط SSH، پروتکلی امن و رمزنگاری شده در محیظی ترمینالی است که میتوانید آن را باز بگذارید و یا ببندید.
- سرویس Telnet: این سرویس نیز مانند: SSH است با این تفاوت که اطلاعات در حالت رمزنگاری شده در ترمینال وارد نمی شوند. بهتر است این روش را خاموش کنید.
- سرویس www: این سرویس شامل ورود از طریق نسخه وب مانند: Webfig است. میتوانید این روش را خاموش کنید.
📌 البته این نکته را درنظر داشته باشید که اگر درحال استفاده از User manager در میکروتیک خود هستید و یا از Hotspot جهت برقراری اتصال استفاده میکنید، نباید گزینه WWW را خاموش کنید.
4- تغییر پورت میکروتیک
تغییر پورت در روش های اتصال به میکروتیک یکی از اصلی ترین Config ها جهت بالا بردن امنیت در میکروتیک است. تغییر پورت SSH و winbox یکی از اصلی ترین تغییراتی است که باید در بدو ورود به سرور میکروتیک در آن ایجاد کنید چرا که این پورت ها به صورت پیش فرض در همه اتصال ها برای همه کاربران یکی است و این موضوع نقطه ضعفی در مقابل هکر ها است.
🔸 وارد میکروتیک خود شوید و از بخش IP وارد زیر منوی Services شوید. در تب باز شده تمامی راه های دسترسی به میکیروتیک را مشاهده میکنید. حال روش اتصال Winbox و پروتکل SSH را انتخاب کنید و Port مقابل آن را به دلخواه خود تغییر دهید. به عنوان مثال: من Port وین باکس خود را به جای 8291 به عدد پورت 1314 تغییر می دهم. این عمل را برای SSH نیز میتوانید انجام دهید اما من برای SSH جهت آموزش به شما کاربران گرامی از طریق ترمینال وینباکس و کدهای دستوری مراحل را ادامه میدهم.
در انتخاب پورت دقت کنید که از اعداد بالای 1024 استفاده کنید چرا که برای برنامه های کاربری اختصاص داده نشده اند.
📌 درنظر داشته باشید جهت ورود به میکروتیک خود از طریق Winbox پس از تغییر پورت باید در صفحه ابتدایی ورود به جای وارد کردن تنها IP سرور خود، باید در بخش Connect to آی پی و پورت را با هم وارد کنید.
مانند فزمت مقابل: IP Server:Port و IP:1315 .
5- تغییر پورت SSH
جهت تغییر پورت SSH در وینباکس از طریق محیط ترمینالی اقدام میکنم. پس ابتدا وارد وینباکس شوید و بر روی گزینه new terminal کلیک کنید.
در تب ترنینال کد دستوری زیر را وراد کنید و Enter کنید.
ip service set ssh port=1315
6- تنظیم فایروال و Port knocking
جهت ایجاد امنیت بیشتر در میروتیک میتوانید از Port knocking استفاده کنید. این ویژگی دسترسی به سرور میکروتیک شما را سخت تر می کند و چندین لایه امنیتی قبل از ورود را تعریف میکند. به عنوان مثال: اگر ما در سرور خود با پورت پیش فرص 8291 وارد می شویم…
برای کاربر تعریف میکنیم اگر User با پورت 1414 وارد شد زیر 30 ثانیه فرصت داشته باشد تا به پورت 1412 متصل شود. حال که به پورت دلخواه من متصل شد میتواند با پورت میکروتیک اصلی درخواست ورود را ثبت کند. خب بریم سراغ انجام Port knocking…👇
🔸 ابتدا وارد winbox خود شوید و از بخش IP وارد زیر منوی Firewall شوید و در تب جدید بر روی گزینه Address List کلیک کنید.
🔸 حال جهت ساخت Address List تنها کافی است بر روی علامت ➕ و یا New کلیک کنید و لیست های دلخواه خود را جهت Step های یوزر ها تعریف کنید. من در این مثال 2 لیست login1 و Accept را جهت مراحل ورود user تعریف میکنم.
🔸 حال باید تعیین کنیم User ها چگونه در مسیر login1 قرار بگیرند. در همان بخش قبلی بر روی منوی filter Rules کلیک میکنیم و از بخش ➕ و یا New اقدام به تعریف Rule می کنیم.
🔸 chain را در حالت input قرار می دهیم چرا که هر درخواستی که به سمت میکروتیک ما وارد شود input درنظر گرفته میشود.
🔸 پروتکل را در حالت TCP قرار می دهیم. و DS.Port را مقدار 1414 و یا هر مقدار عددی دلخواهی که مد نظرتان است در این مثال قرار می دهیم.
🔸 حال وارد بخش Action می شویم و با گزینه Add src to address list، آدرس لیست login1 را به این فیلتر اختصاص می دهیم. و time out را بر روی 30 ثانیه Set می کنیم. (یعنی هر کسی که درخواست ورود به میکروتیک را با پورت 1414 به ما داد ابتدا وارد آدرس لیست login1 شود و 30 تانیه فرصت دارد تا با پورت مورد نظر بعدی وارد لیست ورود مجاز شود.) حال در ادامه پورت موردنظر خود را هم تعریف میکنیم.
🔸 حال مانند بخش قبل یک filter Rules دیگر می سازیم این بار DS.Port را برابر پورت دیگری مانند: 1412 قرار می دهیم.
و Src. Address list را برابر لیست login1 قرار میدهیم. چراکه میخواهیم یوزر با یورت خود، از 2 مرحله امنیتی عبور کند سپس با پورت اصلی میکروتیک وارد شود.
🔸 سپس همچنان از بخش action با گزینه Add src to address list آدرس لیست accept را انتخاب میکنیم. (یعنی به صورت کلی و به زبان ساده داریم میگیم: کاربر با پورت 1414 وارد شد 30 ثانیه فرصت داره تا با پورت 1412 وارد شود.)
🔸 دوباره یک filter Rules می سازیم و این بار DS.Port را پورت اصلی سرور میکروتیک قرار میدهیم. تا کاربر وارد شود.(یعنی به صورت کلی و به زبان ساده داریم میگیم: کاربر با پورت 1414 وارد شد 30 ثانیه فرصت داره تا با پورت 1412 وارد شود حال 30 دقیقه مهلت دارد تا با پورت اصلی میکروتیک که در این مثال 8291 در حالت دیفالت و پیش فرض است وارد محیط winbox سرور میکروتیک شود.)
🔸 حال در بخش Action تنها مقدار را برابر accept قرار می دهیم و OK.
پس در عکس پایین می بینیم که: هرکسی که درخواست ورود به میکروتیک را بدهد و با پورت 1414 وارد شود آن را در آدرس لیست login1 قرار می گیرد و 30 تانیه به آن یوزر فرصت داده می شود تا با روش دوم وارد شود و با پورت 1412 درخواست Input به میکروتیک را بدهد. این یعنی اگر تنها از لیست login1 وارد شده بود میتواند به پورت جدید دسترسی داشته باشد در غیر این صورت استفاده از پورت 1412 به صورت مستقیم در مرحله اول غیر مجاز شناخته می شود.
پس یوزر ار لیست login1 پس از وازد شدن به مرحله دوم 30 دقیقه در لیست accept ها قرار میکیرد و فرصت دارد تا با پورت اصلی میکروتیک ما که در این مثال در حالت پیش فرض عدد 8291 است را وارد کند و به محیط winbox وارد شود.
🔸 حال وقت آن رسیده تا یک Rule دیگر بسازیم مخصوص کسانی که مستقیم پورت 8291 را وارد میکنند. به این صورت که اگر یوزری پورت 8291 را وارد کرد در لیست Drop قرار بگیرد و امکان وارد شدن نداشته باشد. پس اطلاعات را مانند تصویر وارد کنید.
🔸 و بخش Action را در حالت Drop قرار می دهیم. در این صورت به هیچ یوزری از راه مستقیم با این پورت اجازه دسترسی نمی دهیم.
📌 درنظر داشته باشید اگز در این بخش Chain را در حالت Input نگذارید ممکن است تمامی ارتباط شما با میکروتیک قطع شود.
🔸 حال به صورت خودکار از میکروتیک بیرون انداخته می شویم و باید با توجه به Rules های تعریف شده وارد شویم.
نحوه ورود به میکروتیک پس از Port knocking
درنظر داشته باشید که شما باید پورت مد نظر خود را وارد کنید من طبق مثال این مقاله پیش می روم:
- ابتدا در بخش connect to مقدار IP را به صورت مقابل وارد کنید: IP:1414
- یوزر و پسورد را نیز وارد کنید و connect کنید.
حال 30 ثانیه فرصت دارید تا Cancel را بزندید و پورت بعدی را وارد کنید.
- حال در مقابل IP پورت را به عدد 1412 تغییر دهید.
- و بر روی connect کلیک کنید.
حال وارد لیست بعدی و Accept شده اید پس پورت اصلی میکروتیک خود را وارد کنید.
- دوباره cancel کنید و پورت مقاابل IP را به عدد 8291 تغییر دهید و connect کنید.
✅ تبریک میگم… شما با امنیت دلخواهتان وارد سرور میکروتیک خود شدید.
نتیجه گیری
پس در یک نتیجه گیری کلی متوجه شدیم چگونه و به چند روش میتوان امنیت میکروتیک را بالا برد و از هک میکروتیک جلوگیری کرد. ایمن کردن میکروتیک یکی از اصلی ترین مواردی است که ما در شرکت وب داده پس از خرید سرور مجازی میکروتیک، بر روی آن تاکید داریم و آموزش های ویژه ای را برای ایمن سازی میکروتیک و لوگیری از هک شدن آن در بلاگ وب داده قرار داده ایم تا کاربران توانند به راحتی و به زبان ساده مشکل خود را برطرف کنند. ممنون که تا انتهای این آمورش از کتگوری میکروتیک همراه ما بودبد… ممنون ار نگاهتون.😉
سوالا متداول از امنیت میکروتیک و روش های جلوگیری از هک میکروتیک
-
چگونه میتوان از هک شدن میکروتیک جلوگیری کرد؟
با تغییر یوزر و ایجاد پسورد ایمن و با نظارت درست بر روی شبکه و 100 البته ابجاد تمهیدات لازم و ضروری امنیتی مانند: Port knocking و بستن روش های دیگر دسترسی میتوانید از هک شدن میکروتیک جلوگیری کنید.
-
نشانه های هک شدن میروتیک چیست؟
1- استفاده بیش از اندازه پهنای باند 2- باز نشدن terminal میکروتیک 3- تغییرات در تنظیمات
-
اولین اقدام پس از هک شدن میکروتیک چیست؟
تغییر رمز عبور و قطع اینترنت. بازگزدانی تمامی تنظیمات به حالت default.