در این مقاله میخوانید:
امنیت روتر میکروتیک یکی از مهمترین چالشهایی است که مدیران شبکه و صاحبان کسبوکارها با آن روبهرو هستند. پیکربندی نامناسب یا بیتوجهی به برخی نکات امنیتی میتواند راه را برای نفوذگران باز کند و خسارات جبرانناپذیری به بار آورد. در این مقاله، ۱۰ گام اساسی برای بهبود امنیت روتر میکروتیک و یا سرور مجازی میکروتیک را معرفی میکنیم. این گامها حداقل الزاماتی هستند که پیشنهاد میشود در هر شبکهای که از روتر میکروتیک استفاده میکند، اعمال شود.
در اولین مرحله، باید به روتر میکروتیک آدرس IP اختصاص دهید. این کار را میتوانید با دو روش زیر انجام دهید:
IP استاتیک: به صورت دستی آدرس IP، ماسک و در صورت نیاز گیتوی و DNS را روی روتر ست کنید.
DHCP کلاینت: اگر در شبکه یک DHCP سرور (مانند مودم خانگی) دارید، میتوانید روتر را به شکل DHCP کلاینت تنظیم کنید تا اطلاعات IP را به صورت خودکار دریافت نماید.
نکته: اگر قصد دارید از بیرون شبکه به روتر دسترسی داشته باشید یا مدیریت آن را از طریق اینترنت انجام دهید، بهتر است برای روتر یک IP ثابت یا رزروشده (Static / Reserved) در DHCP در نظر بگیرید تا هر بار تغییر نکند.
در روتر میکروتیک سرویسهای مختلفی مثل FTP، Telnet، SSH، Winbox، WebFig و … به صورت پیشفرض فعال هستند. اگر از هر کدام از این سرویسها استفاده نمیکنید، حتماً آن را غیرفعال کنید. برای این کار مراحل زیر را انجام دهید:
وارد منوی IP شوید و روی گزینه Services کلیک کنید.
لیست سرویسهای فعال را مشاهده میکنید. سرویسهایی که نیاز ندارید (مانند Telnet، FTP یا WebFig) را انتخاب کرده و Disable کنید.
دلیل امنیتی: هر سرویسی که بیدلیل روشن بماند، یک درِ اضافی برای نفوذ مهاجمان محسوب میشود. بنابراین بهتر است تمام سرویسهای بلااستفاده را ببندید.
پورتهای پیشفرض (نظیر ۲۲ برای SSH و ۸۲۹۱ برای Winbox) از شناختهشدهترین نقاط ضعف امنیتی به شمار میروند. توصیه میشود برای سختتر کردن کار نفوذگران، این پورتها را تغییر دهید. برای مثال:
پورت SSH را از ۲۲ به عددی دلخواه (مثلاً ۲۲۱۱ یا هر شمارهی دیگری) تغییر دهید.
پورت Winbox را از ۸۲۹۱ به یک عدد شخصیسازیشده (مثلاً ۱۸۰۰ یا هر مقدار دیگری) تغییر دهید.
این تنظیمات را میتوانید از طریق همان بخش Services که در بالا اشاره شد، انجام دهید.
نکته: پس از تغییر پورت Winbox، برای اتصال از طریق Winbox باید در انتهای آدرس IP روتر، شماره پورت جدید را بهصورت IP:Port وارد کنید.
یکی از مهمترین اقدامات امنیتی در روتر میکروتیک، حذف یا غیرفعالکردن نام کاربری پیشفرض admin است. این نام کاربری همیشه اولین گزینه برای حمله است. ابتدا یک کاربر جدید با سطح دسترسی Full ایجاد کرده و یک گذرواژه قوی شامل حروف کوچک و بزرگ، اعداد و نمادها تعیین کنید. سپس:
وارد قسمت System و سپس Users شوید.
کاربر جدید را با دسترسی Full بسازید.
کاربر admin را از لیست حذف یا Disable کنید.
دلیل امنیتی: نام کاربری پیشفرض بزرگترین حفره برای Bruteforce و حملات مشابه است و باید حتماً تغییر یا غیرفعال شود.
برای جلوگیری از سوءاستفاده از روتر در حملات DNS و افزایش امنیت، لازم است ترافیک DNS غیرمجاز را در بخش فایروال مسدود کنید. کافیست از بخش IP وارد Firewall شده و در زبانه Filter Rules دو قانون ایجاد کنید:
TCP DNS
Chain را روی Input قرار دهید.
Protocol را TCP انتخاب کنید.
Dst. Port را روی ۵۳ (پورت DNS) قرار دهید.
In. Interface را اینترفیسی که به اینترنت یا شبکه بیرونی وصل است، تنظیم کنید.
Action را روی drop بگذارید.
UDP DNS
تمام مراحل مشابه بالا، فقط Protocol را به UDP تغییر دهید.
با این کار، روتر شما پاسخگوی درخواستهای DNS از سمت اینترنت نخواهد بود و در حملات DNS Amplification نقشی نخواهد داشت.
روتر میکروتیک برای ثبت رویدادها (Log) از ساعت داخلی استفاده میکند؛ اگر ساعت و تاریخ سیستم نادرست باشند، پیدا کردن مشکلات یا ردگیری تلاشهای نفوذ بسیار دشوار میشود. برای همگامسازی زمان با یک سرور معتبر:
وارد منوی System و سپس NTP Client شوید.
آدرس یا IP سرور NTP معتبر (مانند سرورهای داخلی یا عمومی) را وارد کرده و سرویس را فعال نمایید.
پس از این، روتر به صورت خودکار زمان را با سرور همگامسازی میکند.
نکته: اگر روتر از طریق DHCP کلاینت آدرس گرفته باشد و آپشن NTP در DHCP سرور پیکربندی شده باشد، احتمالاً به طور خودکار ساعت و تاریخ روتر نیز همگامسازی خواهد شد.
پروتکل MikroTik Neighbor Discovery Protocol (MNDP) به صورت پیشفرض فعال است و اطلاعاتی مانند MAC Address، Version و Identity روتر را در شبکه پخش میکند. برای امنیت بیشتر میتوانید آن را در شبکههای عمومی یا بخشهای حساس خاموش کنید:
وارد منوی IP و سپس Neighbors شوید.
در بخش Discovery Settings، برای تمامی اینترفیسهایی که نمیخواهید اطلاعات همسایگی منتشر شود، گزینه را روی none تنظیم کنید.
با این کار، اطلاعات حیاتی روتر شما مانند ورژن و نام دستگاه برای دیگر کاربران یا نفوذگران قابل مشاهده نخواهد بود.
بهطور پیشفرض، میتوان با ابزار Winbox و با استفاده از MAC Address نیز به روتر متصل شد. همینطور پروتکلهایی مانند MAC Telnet و MAC Ping فعال هستند. اگر مدیریت شبکه را صرفاً از طریق IP انجام میدهید، این دسترسیهای مبتنی بر MAC را غیرفعال کنید:
از منوی Tools وارد MAC Server شوید.
در تب MAC Winbox Server و MAC Telnet Server، برای کلیه اینترفیسهای غیرضروری گزینه را روی none بگذارید.
تیک MAC Ping را نیز بردارید تا امکان پینگ از طریق مک آدرس غیرفعال شود.
اگر روتر میکروتیک شما چندین پورت شبکه دارد اما فقط از یک یا دو عدد از آنها استفاده میکنید، بهتر است سایر پورتهای غیرفعال را Disable کنید:
وارد منوی Interfaces شوید.
پورتهایی که کابلکشی یا استفاده عملی ندارند، انتخاب کرده و Disable کنید.
این کار باعث کاهش نقاط نفوذ احتمالی میشود و همچنین نظم بهتری در مدیریت شبکه خواهید داشت.
آخرین و مهمترین گام برای ایمن نگهداشتن روتر، بهروزرسانی منظم سیستمعامل (RouterOS) و Firmware دستگاه است. میکروتیک نیز مانند سایر تولیدکنندگان نرمافزار، به صورت دورهای آپدیتهای امنیتی و اصلاحیههای باگ ارائه میکند. همیشه سعی کنید از نسخههای Stable و جدید استفاده کنید تا:
حفرههای امنیتی شناختهشده در نسخههای قدیمی، برطرف شده باشند.
به قابلیتها و امکانات جدید دسترسی داشته باشید.
پایداری و عملکرد بهتری تجربه کنید.
برای آپدیت روتر میکروتیک میتوانید از دو روش عمده استفاده کنید:
دانلود دستی بستهها از سایت میکروتیک و آپلود در روتر، سپس ریبوت برای نصب.
استفاده از بخش System > Packages برای جستجوی خودکار نسخه جدید.
سخن پایانی
سخن پایانی
رعایت نکات امنیتی در مدیریت روتر میکروتیک، نهتنها از شبکه شما در برابر حملات محافظت میکند، بلکه باعث افزایش اطمینان خاطر در ارائه خدمات پایدار به کاربران نیز میشود. در این مقاله، ۱۰ تنظیم مهم و کاربردی برای بهبود امنیت روتر میکروتیک مطرح شد که پیادهسازی آنها حداقل گامهای ضروری در هر شبکهای است. توصیه میشود در صورت نیاز به سطح بالاتر از امنیت، از دورهها و منابع آموزشی پیشرفتهتر میکروتیک نیز بهره ببرید و همواره دانش خود را بهروز نگه دارید.
با رعایت مواردی مثل تغییر پورتهای پیشفرض، غیرفعالسازی سرویسهای غیرضروری، مدیریت کاربران و گذرواژهها، غیرفعالسازی دسترسی مبتنی بر MAC و بهروزرسانی مداوم RouterOS، تا حد زیادی میتوان از تهدیدات امنیتی رایج در امان ماند. همواره لاگهای روتر را بررسی کنید تا در صورت وجود مشکلات احتمالی یا تلاش برای نفوذ، در سریعترین زمان ممکن متوجه شوید و اقدامات لازم را انجام دهید.
امیدواریم این راهکارها به شما کمک کند تا شبکهای امنتر و پایدارتر داشته باشید. موفق باشید!
نوشتن دیدگاه و امتیاز شما، برای ما مهم هست. اون رو با ما و دیگران به اشتراک بگذارید.
آخرین مقالات آموزشی سایناسرور
یکی از مهمترین اقداماتی که هر مدیر سرور یا ادمین شبکه برای افزایش امنیت لینوکس باید انجام دهد، راهاندازی و تنظیم صحیح فایروال لینوکس است. در توزیعهای مختلف لینوکسی و همچنین سرور مجازی لینوکس ابزارهای گوناگونی برای مدیریت ترافیک شبکه […]
مقدمه امنیت روتر میکروتیک یکی از مهمترین چالشهایی است که مدیران شبکه و صاحبان کسبوکارها با آن روبهرو هستند. پیکربندی نامناسب یا بیتوجهی به برخی نکات امنیتی میتواند راه را برای نفوذگران باز کند و خسارات جبرانناپذیری به بار آورد. […]
مقدمه اگر تا به حال در دنیای شبکه و اینترنت فعالیت کرده باشید، احتمالاً با واژهی «پینگ» (Ping) مواجه شدهاید. اما پینگ چیست و چرا تا این حد در عیبیابی مشکلات شبکه اهمیت دارد؟ در این مقاله سعی داریم به […]
آسوده خاطر خرید خود را نهایی کنید.
مرکز توسعه تجارت الکترونیکی، با اعطای نماد اعتماد الکترونیکی هویت صاحب و محل فعالیت کسب و کارهای اینترنتی را احراز مینماید.
وزارت فرهنگ و ارشاد اسلامی با اعطای لوگو به رسانه های بر خط هویت صاحب آن و صلاحیت وی را برای فعالیت احراز می نماید.
سرور مجازی میکروتیک
سرور مجازی ویندوز
سرور مجازی لینوکس
سرور فریلنسری
سرور ترید
سرور مجازی اوبونتو
سرور مجازی فرانسه
سرور مجازی فنلاند
سرور مجازی انگلیس
سرور مجازی کانادا
سرور مجازی ترکیه
سرور مجازی سایر نقاط
هاست لینوکس
هاست ویندوز
هاست وردپرس
هاست ابری
هاست پایتون.png){kind=avatar}
هاست ایمیل
