021-91013004 admin@irsupp.ir

با سلام خدمت همه همراهان عزیز سایت ، امروز میخواییم با سری آموزش های روتر میکروتیک در خدمت شما عزیزان باشیم ، موضوع امروز ما امنیت در میکروتیک میباشد ، فرض کنید یک روتر میکروتیک را به تازگی خریداری کرده اید و میخواهید حداقل موارد امنیتی را برای حفظ امنیت روتر میکروتیک و دستگاه های متصل خود به آن برقرار کنید


ما برای کانفیگ روتر میکروتیک خود به یک کامپیوتر و نرم افزار WinBox نیاز خواهیم داشت ، اگر شما دستگاه فیزیکی ندارید و میخواهید به عنوان دانشجو این مقاله را مطالعه و تمرین کنید ، شما به یک کامپیوتر و نرم افزار WinBox و نرم افزار VMware Workstation Pro نیاز خواهید داشت که بعد از بالا آوردن RouterOS روی VMware Workstation میتوانید این مقاله رو مطالعه کنید.
این مقاله آموزشی بخشی از دوره MTCNA میباشد پس تا انتهای مقاله ی تنظیمات امنیتی اجباری در روتر میکروتیک با همراه باشید تا لذت درک مفاهیم و پیاده سازی را با هم بچشیم.

توجه 💡

مقاله تنظیمات امنیتی اجباری در روتر میکروتیک شامل محتوای ویدیویی نیز میباشد ، این مقاله و ویدیو مکمل یکدیگرند و بعضی موارد در ویدیو گفته شده که نوشته آن در مقاله نیست پس به هیچ عنوان دیدن ویدیو زیر را به از دست ندهید❤️

اگر با روتر میکرتیک خود در یک شبکه قرار داشته باشیم میتوانیم به صورت لایه 2 با MAC Address به آن متصل بشیم اما یکی از اولین کارهایی که ما باید انجام دهیم دادن IP Address به میکروتیک است تا بتوانیم اتصال به روتر را از لایه 2 به لایه 3 تغییر دهیم با این کار میتوانیم امنیت دستگاه را نیز بالاتر ببریم چون اتصال با لایه 3 ایمن تر از اتصال با لایه 2 است.

قدم دوم امنیت در میکروتیک :
در نرم افزار WinBox مسیر مقابل را طی میکنیم —> IP > Addresses . سپس در منوی باز شده روی علامت + کلیک میکنیم

IP Address مورد نظر خود را با فرمت مشابه عکس وارد کنید و سپس روی گزینه apply و ok کلیک کنید

قدم سوم امنیت در میکروتیک :
حالا از این به بعد شما میتوایند به صورت لایه 3 از طریق IP Address به روتر میکروتیک خود متصل شوید

IP Address که به روتر خود دادید را اینجا وارد کنید و با زدن روی گزینهی Connect به روتر متصل شوید

یکی از تنظیمات امنیتی اجباری در روتر میکروتیک تغییر شماره پورت های پیشفرض است ، به عنوان مثال نرم افزار WinBox روی پورت 8291 کار میکنه ما باید این عدد پیشفرض را تغییر بدیهم .

قدم اول :
در نرم افزار WinBox مسیر مقابل را طی میکنیم —> IP > Addresses > Services

در این صفحه IP Service هایی که در میکروتیک وجود دارد را مشاهده میکنید مانند SSH که روی پورت 22 TCP کار میکند

قدم دوم :
شماره پورت سرویس هایی که از انها استفاده میکنیم را تغییر میدهیم

مثلا روی WinBox کلیک میکنید و در قست پورت یک عدد دلخواه دگر مثل 5022 را مینویسید و سپس apply و ok میکنید

نکته :

ما در مثال خود شماره پورت WinBox رابه 5022 تغییر دادیم ، پس از الان به بعد باید به شکل زیر به روتر خود وصل بشیم

بعد از تغییر پورت WinBox اگر خواستید به صورت لایه 3 به روتر متصل بشد باید بعد از زدن IP Address یک : و شماره پورت را بنویسید

شما باید سرویس هایی که از انها استفاده نمیکنید را در روتر میکروتیک خود Disable کنید ، این کار از واجبات امنیتی است 😉

قدم اول :
در نرم افزار WinBox مسیر مقابل را طی میکنیم —> IP > Addresses > Services

مثلا ما میخواهیم فقط از طریق WinBox به روتر میکروتیک خود متصل بشیم پس نیازی نیست که پورت 80 و 443 هم روشن باشند پس بنابراین ما هر ip service که نخواستیم را روش کلیک میکنیم و سپس روی علامت ✖️ که در نوار بالا هست کلیک میکنیم

یکی از تنظیمات پیشفرض میکروتیک برای لاگین کردن استفاده از مشخصات روبرو است user : admin , password : blank البته میکروتیک این اواخر پسورد را روی برچسبی که زیر دیوایس هایش چسپیده مینویسد ولی نسخه نرم افزاری RouterOS همچنان مثل قبل خالی است یعنی باید قسمت پسورد خالی باشد.
یکی از راه های افزایش امنیت میکروتیک این است یک user با رمز جدید و سخت به جای user admin جایگزین کنیم که طبق مراحل زیر انجام میشود.

قدم اول :
در نرم افزار WinBox مسیر مقابل را طی میکنیم —> System > Users

منوی user list در روتر میکروتیک

قدم دوم :
در این منو یک user جدید با یک password مناسب میسازیم

در این منو باز زدن روی ➕ یک user جدید با یک password مناسب میسازیم و سپس apply , ok میکنیم

قدم سوم :
بعد از ساخت user جدید user admin را disable میکنیم

در این منو روی ادمین کلیک میکنیم
و با زدن روی ➖user admin را غیر فعال میکنیم

یکی دیگر از تنظیمات امنیتی اجباری در روتر میکروتیک بستن پورت DNS روی ترافیک های ورودی به روتر ما از اپلینک اینترنت است برای این منظور در فایروال میکروتیک پروتکل DNS که روی پورت 53 کار میکند را هم روی TCP و هم روی UDP بلاک می کنیم تا از DNS Attack به روتر خود جلوگیری کنیم.

قدم اول :
در نرم افزار WinBox مسیر مقابل را طی میکنیم —> IP > Firewall > Filter Rules

تنظیمات امنیتی اجباری در روتر میکروتیک

منوی تنظیمات فایروال در روتر میکروتیک

قدم دوم :
در این منو نیاز است که یک رول جدید نعریف کنیم

در این منو باز زدن روی ➕ وارد منوی new firewall rule میشوید

قدم سوم :
حالا میخوایم DNS را روی کانکشن TCP بلاک کنیم

طبق تصویر موارد را انجام دهید و سپس از نوار بالا قسمت Action
را روی drop بگزارید و سپس apply , ok بزنید

قدم چهارم :
حالا میخوایم DNS را روی کانکشن UDP بلاک کنیم

طبق تصویر موارد را انجام دهید و سپس از نوار بالا قسمت Action
را روی drop بگزارید و سپس apply , ok بزنید

جمع بندی :

در این مقاله سعی کردیم به صورت خلاصه مفهوم را به شما برسانیم ، که چطور یک روتر میکروتیک را ایمنتر کنید و حداقل امنیت را برای دستگاه خود به ارمغان بیاورید ، امیدواریم از خواندن این مقاله لذت برده باشید.