دستگاه های ذخیره سازی کیونپ
اکتیوبرند

روش های جلوگیری از هک میکروتیک کدامند؟

جلوگیری از هک میکروتیک از جمله دغدغه های صاحبان شبکه است. اگر حفاظت و امنیت در روترهای میکروتیک به درستی انجام نشود و یا تنظیمات امنیتی روتر ضعیف باشد هک شدن میکروتیک حتمی است! برای محافظت از حملات همه جانبه هکرها به عنوان مثال برای جلوگیری از حملات ddos در میکروتیک یا جلوگیری از حملات dns در میکروتیک باید دسترسی غیرمجاز آن ها به روتر یا دستگاه میکروتیک را قطع کنیم. این مقاله از مجله شبکه ارغوان نگاهی به دو راه کاربردی برای محافظت از هک شدن میکروتیک دارد.

چگونه روتر میکروتیک خود را ایمن کنم؟

برای جلوگیری از هک میکروتیک راه های مختلفی وجود دارد. یکی از این راهها افزایش حفاظت دستگاه با پیکربندی فایروال است. کانفیگ صحیح یکی دیگر از راه حل های جلوگیری از هک شدن میکروتیک است که در قسمت بعدی مقاله به آموزش مراحل آن می پردازیم.

هک شدن میکروتیک نیاز به بررسی امنیت دستگاه را واجب کرده است.

ارتقاء نسخه RouterOS اولین قدم

یکی از دلایل هک شدن میکروتیک نقاط ضعف نسخه های قدیمی است لذا با بروز رسانی دستگاه از هک شدن میکروتیک جلوگیری کنید. برای جلوگیری از هک میکروتیک کافی است که در قسمت بروز رسانی در روی در Winbox یا Webfig کلیک کنید.

استفاده از رمزهای ایمن و اجتناب از رمزهای پر تکرار از هک شدن میکروتیک جلوگیری می کند.

دسترسی به روتر

در دو مرحله این دسترسی انجام می گیرد:

دسترسی به نام کاربری

اگر کسی مستقیماً به روتر شما دسترسی داشته باشد، یک نام سفارشی به محافظت از دسترسی به روتر شما کمک می کند:

  • user add name=myname password=mypassword group=full
  • user disable admin

دسترسی به رمز عبور

روترهای میکروتیک نیاز به پیکربندی رمز عبور دارند، پیشنهاد می کنیم از ابزار تولید رمز عبور برای ایجاد رمزهای عبور ایمن و غیر تکراری استفاده کنید. منظور ما از رمز عبور ایمن:

  1. رمز شما باید حداقل 12 کاراکتر داشته باشد.
  2. بهتر است که کاراکترهای انتخابی شامل اعداد، نمادها، بزرگ و حروف کوچک باشد.
  3. واژه دیکشنری یا ترکیبی از واژه های دیکشنری نباشد.
  • /user set myname password=”!={Ba3N!”40TуX+GvKBz?jTLIUcx/

RouterOS دسترسی به MAC

RouterOS دارای گزینه های داخلی برای دسترسی آسان مدیریت به دستگاه های شبکه است. سرویس‌های خاص باید در شبکه‌های تولیدی خاموش و غیر فعال شوند که عبارتند از: MAC-Ping و MAC-Telnet، MAC-Winbox

  • /tool mac-server set allowed- interface-list=none/
  • /tool mac-server mac-winbox set allowed-interface-list=none/
  • /tool mac-server ping set enabled=no/

برای جلوگیری از هک شدن میکروتیک از پروتکل هایی نظیر Neighbor Discoveryکه سایر رابط ها را غیر فعال می کند.

پروتکل Neighbor Discovery

پروتکل Neighbor Discovery برای نشان دادن و شناسایی سایر روترهای میکروتیک در شبکه است. این پروتکل سایر رابط های گرافیکی را غیرفعال می کند. مراحل زیر را اجرا کنید:

  • /ip neighbor discovery-settings set discover-interface-list=none

سرور پهنای باند

یک سرور پهنای باند برای آزمایش توان بین دو روتر میکروتیک استفاده می شود. در مراحل زیر برای جلوگیری از هک شدن باید این سرور را در محیط تولید شده غیر فعال کنید.

  • /tool bandwidth-server set enabled=no/

عیر فعال کردن DNS cache از هک شدن میکروتیک جلوگیری می کند.

DNS cache

یک روتر ممکن است حافظه پنهان DNS را فعال کرده باشد که زمان حل درخواست‌های DNS از مشتریان به سرورهای راه دور را کاهش می‌دهد. در صورتی که حافظه نهان DNS در روتر شما مورد نیاز نیست یا از روتر دیگری برای چنین اهدافی استفاده می شود، با غیر فعال کردن آن از هک شدن میکروتیک خود جلوگیری کنید.

  • /ip dns set allow-remote-requests=no/

سایر خدمات مشتریان other client services

روتر RouterOS ممکن است خدمات دیگری را فعال کند. این خدمات در کانفیگ روتر میکروتیک به صورت پیش فرض غیر فعال هستند. خدمات مشتریان میکروتیک عبارتند از:MikroTik caching proxy, socks, UPnP و خدمات ابری که بهتر است آن ها را نیز برای جلوگیری از حملات احتمالی هکرها غیر فعال کنید.

  • /ip proxy set enabled=no
  • /ip socks set enabled=no
  • /ip upnp set enabled=no
  • /ip cloud set ddns-enabled=noupdate-time=no

 امنیت مضاعف با دسترسی SSH

با اجرای دستور زیر از هک شدن میکروتیک جلوگیری می کنید و البته می‌توانید تنظیمات SSH دقیق‌تری را فعال کنید aes 128 ctr را اضافه کنید و hmac sha1 و گروه‌ها را با sha1 غیرفعال کنید

  • /ip ssh set strong-crypto=yes/

رابط Router interface/ رابط های اترنت و SFP

برای کاهش دسترسی غیرمجاز به روتر و هک شدن میکروتیک، تمام رابط های استفاده نشده روتر خود را غیرفعال کنید.

  • /interface print
  • /interface set X disabled=yes

منظور از علامت x تعداد رابط های غیر کاربردی است.

LCD

برخی از روتر بردهای میکروتیک ماژل LCD برای اهداف اطلاعاتی دارند آنها را طبق دستور زیراضافه و پین یا غیر فعال کنید.

  • /lcd/pin/set pin-number=3659 hide-pin-number=yes
  • /lcd/set enabled=no

گام دوم در برابر هک شدن میکروتیک Port Knocking

محدود کردن دسترسی به خدمات مدیریت روتر یکی از راه های دیگر جلوگیری از هک میکروتیک است. احتمال حمله به پروتکل های سیستم عامل میکروتیک Win box نیز وجود دارد اما اگر شما مجبور باشید که از هتل یا رستورانی به روتر خود متصل شوید و از آدرسهایی که درلیست امن وجود ندارد استفاده می کنید که بسیار خطرناک است. در چنین مواقعی مدیران از تکنیکی به نام Port Knocking استفاده می کنند.

تکنیک Port Knocking چیست؟

یکی از راههای محافظت از روتر پروکسی در برابر هک شدن میکروتیک Port Knocking است که Telnet، Mac Telnet،SSH یا Winbox مسدود کرده و فقط دسترسی مدیران را باز می‌کند. به این ترتیب مدیر شبکه می تواند تغییراتی را در تنظیمات روتر با امنیت بیشتری انجام دهد. برای این منظور بایستی پورتهای Telnet، Mac Telnet، SSH یا Winbox را مسدود کنید. از طرفی ادمین در هنگام تنظیمات پروکسی بسته های ICMP را ارسال و آن ها را اضافه کرده و بعلاوه از پورت 80 برای دسترسی IP روتر در مرورگر اقدام کند تا پورت باز شود.

 قبول درخواست از سایر کلاینت های خارجی مساوی است با هک شدن میکروتیک شما! درخواست‌ ها را فقط از کلاینت‌های شبکه محلی بپذیرید

رابطه حملات dns و ddos با میکروتیک چیست؟

سیستم Domain Name Systemنام دامنه هایی که ادمین ها می نویسند را به آدرس های دسترسی IP و قابل خواندن برای سیستم می کنند. این آدرسها توسط سارقان مورد حمله واقع می شوند. وقتی روتر ما درخواست‌های DNS قابل توجهی را از خارج دریافت می‌کند، به این معنی است که به نقطه پایانی DDOS DNS Amplification Attack یا DNS Reflector تبدیل شده است. بنابراین هدف حمله نیست، بلکه یکی از راه حل های که برای تقویت حمله استفاده می شود.

برای جلوگیری از هک میکروتیک وحملات هکرها به dnsدر میکروتیک و همچنین برای جلوگیری از حمله ddos در میکروتیک، باید درخواست‌ها را فقط از کلاینت‌های شبکه محلی بپذیرید.

پیکربندی صحیح راه حل جلوگیری از حملات dns در میکروتیک

برای جلوگیری از هک میکروتیک و حملات هکرها به dns در میکروتیک و همچنین برای جلوگیری از حمله ddos در میکروتیک، باید درخواست‌ها را فقط از کلاینت‌های شبکه محلی بپذیرید، اما یک پیکربندی و کانفیگ نادرست نیز می‌تواند منجر به درخواست آن از هر کلاینت حتی خارج از شبکه ما شود. کانفیگ درست میکروتیک باعث می شود که براحتی مورد حمله قرار نگیرند. به پیکربندی زیر توجه کنید:

  • add action/drop chain/input connection-state/new dst-port/53 in-interface/Internet protocol/udp
  • add action/drop chain/input connection-state/new dst-port/53 in-interface/Internet protocol/tcp

چک لیست امنیتی میکروتیک چه دستاوردی در جلوگیری از هک میکروتیک ارائه می دهد؟

شرط اساسی در بالابردن سطح امنیت دستگاه میکروتیک نظارت بر تنظیماتی است که به طور منظم صورت می گیرد. بررسی پیوسته و تهیه چک لیست امنیتی میکروتیک یک فرآیند تکمیلی برای جلوگیری از هک شدن میکروتیک است. این چک لیست امنیتی نیاز به مدیریت بسیار دقیقی دارد. سوالاتی در باره امنیت دستگاه و احراز هویت مدیر و نحوه کنترل های فنی و دسترسی مدیر به روتر میکروتیک نمونه ای از مفاد این چک لیست امنیتی است.

جمع بندی

برای مقابله با هک شدن میکروتیک راه های زیادی وجود دارد که تمرکز این مقاله از مجله ارغوان بر ایمن سازی میکروتیک است. راه های درست کانفیگ صحیح میکروتیک و تکنیک Port knocking استفاده از بکار گیری چک لیست امنیت میکروتیک از جمله راه های جلوگیری از هک میکروتیک هستند.

منابع: https://digiva.net/how-to-protect-mikrotik-from-hacker-attacks-with-port-knocking

https://hackmag.com/security/good-mikrotik/

مشاهده بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

خرید مودم اینترنت پرسرعت
دکمه بازگشت به بالا