مهندس ایمان مزینانی
مهندس ایمان مزینانی
خواندن ۳ دقیقه·۳ سال پیش

راهکارهایی کاربردی جهت افزایش امنیت روتر میکروتیک

  • عدم استفاده از شناسه کاربری پیش فرض و محدود کردن بازه IP مجاز :
معمولا در میکروتیک ها شناسه کاربری پیش فرض admin می باشد لذا ابتدا نسبت به تغییر آن اقدام نموده و سپس بعد از انتخاب پسورد مطمئن ، نسبت به محدود کردن بازه IP address مجاز کاربران برای دسترسی و لاگین کردن به دشبورد روتر خود اقدام نمایید . می توانید با استفاده از این قابلیت محدوده IP مجاز برای لاگین به روتر را به رنج آدرس شبکه داخلی یا آدرس های اینترنتی مجاز محدود نمایید .
مسیر کانفیگ : System/users
مسیر کانفیگ : System/users


  • غیر فعال سازی سرویس های دسترسی بلا استفاده و تغییر پورت دسترسی :
برای دسترسی به میکروتیک سرویس های مختلفی مثل Telnet و SSH و… فراهم شده است ، برای افزایش امنیت روتر خود در قسمت IP Services Listسرویس هایی که کاربری خاصی ندارند را غیر فعال نموده و سایر سرویس های مورد استفاده نیز از پورت پیش فرض به پورت دیگری تغییر دهید .
همچنین در قسمت Available From می توانید رنج IP هایی که می توانند به این سرویس ها دسترسی داشته باشند را محدود نمایید.
استفاده از الگوریتم‌های قدرتمند در پروتکل رمزنگاری SSH، ضریب امنیتی در روتر را در حملات بیشتر می کند.
IP/Services مسیر کانفیگ
IP/Services مسیر کانفیگ


  • غیر فعال سازی قابلیت دسترسی به روتر از طریق Mac-Address :
در روتر های میکروتیک و با استفاده از نرم افزار Winbox قابلیت اتصال به روتر از طریق Mac address فراهم شده است که پیشنهاد می شود از قسمت مربوطه نسبت به غیر فعال کردن این قابلیت بصورت کلی یا محدود کردن این قابلیت به یک Interface خاص اقدام نمایید.
Tools/Mac server مسیر کانفیگ
Tools/Mac server مسیر کانفیگ


  • غیر فعال سازی پروتکل MNDP :
در میکروتیک مشابه تجهیزات سیسکو پروتکل ارتباط با روتر های مجاور و همسایه در شبکه فراهم شده است که اطلاعات کاملی از تجهیزات دیگر موجود در شبکه را به کاربران نمایش می دهد. با غیر فعالسازی دیسکاوری میکروتیک به صورت یک طرفه ، دیگر نمی توانید از طریق MAC Address روتر و به صورت لایه دو با استفاده از WinBox به روتر میکروتیک تان متصل شوید!
IP/Neighbors مسیر کانفیگ
IP/Neighbors مسیر کانفیگ


  • تنظیم دقیق DNS :
یکی از شایع ترین حملاتی که روی میکروتیک های دارای IP اینترنتی ایجاد می شود حملات DNS است که باعث اشغال پهنای باند و مصرف منابع بالا می شود. لذا برای جلوگیری از این حملات از قسمت مربوطه نسبت به غیر فعال کردن گزینه Allow Remote Requests اقدام نمایید یا در مواقعی که نیاز به فعال بودن این گزینه دارید با استفاده از قسمت IP/Firewall/Filters دسترسی به پورت UDP 53 را محدود نمایید.
IP/DNS مسیر کانفیگ
IP/DNS مسیر کانفیگ
  • تنظیم تاریخ و ساعت دقیق NTP :
تنظیم تاریخ و ساعت جهت مانیتورینگ و عیب یابی از اهمیت بسیار بالایی برخوردار می باشد .
System/Clock مسیر کانفیگ
System/Clock مسیر کانفیگ
  • تنظیم قوانین و رول های بخش فایروال :
تنظیم قوانین و روال های ضروری و پیشنهادی یکی از اصول ایمن سازی میکروتیک می باشد .
IP/Firewall مسیر کانفیگ
IP/Firewall مسیر کانفیگ


  • استفاده Script مختلف در بازه‌های زمانی مختلف Scheduler جهت قطع و وصل خودکار اینترنت :
استفاده همزمان از فیلتر رول و اسکریپت و زمانبندی خودکار جهت قطع و وصل کردن اینترنت و یا اجرای یک فیلتر رول خاص در پایان ساعات کاری و ... جهت جلوگیری از هر گونه دسترسی
System/Scheduler مسیر کانفیگ
System/Scheduler مسیر کانفیگ
ایجاد فیلتر رول جهت قطع و وصل اینترنت
ایجاد فیلتر رول جهت قطع و وصل اینترنت


  • بررسی لاگ ها :
هر ازگاهی بررسی و خواندن لاگ های موجود ، کمک ارزنده ای در جلوگیری از حمله و رفع مشکلات احتمالی را خواهد داد .
Log مسیر کانفیگ
Log مسیر کانفیگ


  • بروزرسانی میکروتیک :
بروزرسانی RouterOS به آخرین نسخه موجود در سایت Mikrotik جز یکی از واجبات می باشد که می بایست مد نظر قرار گیرد .
System/Packages مسیر کانفیگ
System/Packages مسیر کانفیگ
میکروتیکروتربوردامنیت میکروتیکراهکار های امنیتیجلوگیری از هک
مهندس ایمان مزینانی
مهندس ایمان مزینانی
مشاور فناوری اطلاعات ، عضو انجمن کامپیوتر ایران
شاید از این پست‌ها خوشتان بیاید