جلوگیری از هک میکروتیک از جمله دغدغه های صاحبان شبکه است. اگر حفاظت و امنیت در روترهای میکروتیک به درستی انجام نشود و یا تنظیمات امنیتی روتر ضعیف باشد هک شدن میکروتیک حتمی است! برای محافظت از حملات همه جانبه هکرها به عنوان مثال برای جلوگیری از حملات ddos در میکروتیک یا جلوگیری از حملات dns در میکروتیک باید دسترسی غیرمجاز آن ها به روتر یا دستگاه میکروتیک را قطع کنیم. این مقاله از مجله شبکه ارغوان نگاهی به دو راه کاربردی برای محافظت از هک شدن میکروتیک دارد.
چگونه روتر میکروتیک خود را ایمن کنم؟
برای جلوگیری از هک میکروتیک راه های مختلفی وجود دارد. یکی از این راهها افزایش حفاظت دستگاه با پیکربندی فایروال است. کانفیگ صحیح یکی دیگر از راه حل های جلوگیری از هک شدن میکروتیک است که در قسمت بعدی مقاله به آموزش مراحل آن می پردازیم.
ارتقاء نسخه RouterOS اولین قدم
یکی از دلایل هک شدن میکروتیک نقاط ضعف نسخه های قدیمی است لذا با بروز رسانی دستگاه از هک شدن میکروتیک جلوگیری کنید. برای جلوگیری از هک میکروتیک کافی است که در قسمت بروز رسانی در روی در Winbox یا Webfig کلیک کنید.
دسترسی به روتر
در دو مرحله این دسترسی انجام می گیرد:
دسترسی به نام کاربری
اگر کسی مستقیماً به روتر شما دسترسی داشته باشد، یک نام سفارشی به محافظت از دسترسی به روتر شما کمک می کند:
- user add name=myname password=mypassword group=full
- user disable admin
دسترسی به رمز عبور
روترهای میکروتیک نیاز به پیکربندی رمز عبور دارند، پیشنهاد می کنیم از ابزار تولید رمز عبور برای ایجاد رمزهای عبور ایمن و غیر تکراری استفاده کنید. منظور ما از رمز عبور ایمن:
- رمز شما باید حداقل 12 کاراکتر داشته باشد.
- بهتر است که کاراکترهای انتخابی شامل اعداد، نمادها، بزرگ و حروف کوچک باشد.
- واژه دیکشنری یا ترکیبی از واژه های دیکشنری نباشد.
- /user set myname password=”!={Ba3N!”40TуX+GvKBz?jTLIUcx/
RouterOS دسترسی به MAC
RouterOS دارای گزینه های داخلی برای دسترسی آسان مدیریت به دستگاه های شبکه است. سرویسهای خاص باید در شبکههای تولیدی خاموش و غیر فعال شوند که عبارتند از: MAC-Ping و MAC-Telnet، MAC-Winbox
- /tool mac-server set allowed- interface-list=none/
- /tool mac-server mac-winbox set allowed-interface-list=none/
- /tool mac-server ping set enabled=no/
پروتکل Neighbor Discovery
پروتکل Neighbor Discovery برای نشان دادن و شناسایی سایر روترهای میکروتیک در شبکه است. این پروتکل سایر رابط های گرافیکی را غیرفعال می کند. مراحل زیر را اجرا کنید:
- /ip neighbor discovery-settings set discover-interface-list=none
سرور پهنای باند
یک سرور پهنای باند برای آزمایش توان بین دو روتر میکروتیک استفاده می شود. در مراحل زیر برای جلوگیری از هک شدن باید این سرور را در محیط تولید شده غیر فعال کنید.
- /tool bandwidth-server set enabled=no/
DNS cache
یک روتر ممکن است حافظه پنهان DNS را فعال کرده باشد که زمان حل درخواستهای DNS از مشتریان به سرورهای راه دور را کاهش میدهد. در صورتی که حافظه نهان DNS در روتر شما مورد نیاز نیست یا از روتر دیگری برای چنین اهدافی استفاده می شود، با غیر فعال کردن آن از هک شدن میکروتیک خود جلوگیری کنید.
- /ip dns set allow-remote-requests=no/
سایر خدمات مشتریان other client services
روتر RouterOS ممکن است خدمات دیگری را فعال کند. این خدمات در کانفیگ روتر میکروتیک به صورت پیش فرض غیر فعال هستند. خدمات مشتریان میکروتیک عبارتند از:MikroTik caching proxy, socks, UPnP و خدمات ابری که بهتر است آن ها را نیز برای جلوگیری از حملات احتمالی هکرها غیر فعال کنید.
- /ip proxy set enabled=no
- /ip socks set enabled=no
- /ip upnp set enabled=no
- /ip cloud set ddns-enabled=noupdate-time=no
امنیت مضاعف با دسترسی SSH
با اجرای دستور زیر از هک شدن میکروتیک جلوگیری می کنید و البته میتوانید تنظیمات SSH دقیقتری را فعال کنید aes 128 ctr را اضافه کنید و hmac sha1 و گروهها را با sha1 غیرفعال کنید
- /ip ssh set strong-crypto=yes/
رابط Router interface/ رابط های اترنت و SFP
برای کاهش دسترسی غیرمجاز به روتر و هک شدن میکروتیک، تمام رابط های استفاده نشده روتر خود را غیرفعال کنید.
- /interface print
- /interface set X disabled=yes
منظور از علامت x تعداد رابط های غیر کاربردی است.
LCD
برخی از روتر بردهای میکروتیک ماژل LCD برای اهداف اطلاعاتی دارند آنها را طبق دستور زیراضافه و پین یا غیر فعال کنید.
- /lcd/pin/set pin-number=3659 hide-pin-number=yes
- /lcd/set enabled=no
گام دوم در برابر هک شدن میکروتیک Port Knocking
محدود کردن دسترسی به خدمات مدیریت روتر یکی از راه های دیگر جلوگیری از هک میکروتیک است. احتمال حمله به پروتکل های سیستم عامل میکروتیک Win box نیز وجود دارد اما اگر شما مجبور باشید که از هتل یا رستورانی به روتر خود متصل شوید و از آدرسهایی که درلیست امن وجود ندارد استفاده می کنید که بسیار خطرناک است. در چنین مواقعی مدیران از تکنیکی به نام Port Knocking استفاده می کنند.
تکنیک Port Knocking چیست؟
یکی از راههای محافظت از روتر پروکسی در برابر هک شدن میکروتیک Port Knocking است که Telnet، Mac Telnet،SSH یا Winbox مسدود کرده و فقط دسترسی مدیران را باز میکند. به این ترتیب مدیر شبکه می تواند تغییراتی را در تنظیمات روتر با امنیت بیشتری انجام دهد. برای این منظور بایستی پورتهای Telnet، Mac Telnet، SSH یا Winbox را مسدود کنید. از طرفی ادمین در هنگام تنظیمات پروکسی بسته های ICMP را ارسال و آن ها را اضافه کرده و بعلاوه از پورت 80 برای دسترسی IP روتر در مرورگر اقدام کند تا پورت باز شود.
رابطه حملات dns و ddos با میکروتیک چیست؟
سیستم Domain Name Systemنام دامنه هایی که ادمین ها می نویسند را به آدرس های دسترسی IP و قابل خواندن برای سیستم می کنند. این آدرسها توسط سارقان مورد حمله واقع می شوند. وقتی روتر ما درخواستهای DNS قابل توجهی را از خارج دریافت میکند، به این معنی است که به نقطه پایانی DDOS DNS Amplification Attack یا DNS Reflector تبدیل شده است. بنابراین هدف حمله نیست، بلکه یکی از راه حل های که برای تقویت حمله استفاده می شود.
پیکربندی صحیح راه حل جلوگیری از حملات dns در میکروتیک
برای جلوگیری از هک میکروتیک و حملات هکرها به dns در میکروتیک و همچنین برای جلوگیری از حمله ddos در میکروتیک، باید درخواستها را فقط از کلاینتهای شبکه محلی بپذیرید، اما یک پیکربندی و کانفیگ نادرست نیز میتواند منجر به درخواست آن از هر کلاینت حتی خارج از شبکه ما شود. کانفیگ درست میکروتیک باعث می شود که براحتی مورد حمله قرار نگیرند. به پیکربندی زیر توجه کنید:
- add action/drop chain/input connection-state/new dst-port/53 in-interface/Internet protocol/udp
- add action/drop chain/input connection-state/new dst-port/53 in-interface/Internet protocol/tcp
چک لیست امنیتی میکروتیک چه دستاوردی در جلوگیری از هک میکروتیک ارائه می دهد؟
شرط اساسی در بالابردن سطح امنیت دستگاه میکروتیک نظارت بر تنظیماتی است که به طور منظم صورت می گیرد. بررسی پیوسته و تهیه چک لیست امنیتی میکروتیک یک فرآیند تکمیلی برای جلوگیری از هک شدن میکروتیک است. این چک لیست امنیتی نیاز به مدیریت بسیار دقیقی دارد. سوالاتی در باره امنیت دستگاه و احراز هویت مدیر و نحوه کنترل های فنی و دسترسی مدیر به روتر میکروتیک نمونه ای از مفاد این چک لیست امنیتی است.
جمع بندی
برای مقابله با هک شدن میکروتیک راه های زیادی وجود دارد که تمرکز این مقاله از مجله ارغوان بر ایمن سازی میکروتیک است. راه های درست کانفیگ صحیح میکروتیک و تکنیک Port knocking استفاده از بکار گیری چک لیست امنیت میکروتیک از جمله راه های جلوگیری از هک میکروتیک هستند.
منابع: https://digiva.net/how-to-protect-mikrotik-from-hacker-attacks-with-port-knocking