با سلام خدمت همه همراهان عزیز سایت ، امروز میخواییم با سری آموزش های روتر میکروتیک در خدمت شما عزیزان باشیم ، موضوع امروز ما امنیت در میکروتیک میباشد ، فرض کنید یک روتر میکروتیک را به تازگی خریداری کرده اید و میخواهید حداقل موارد امنیتی را برای حفظ امنیت روتر میکروتیک و دستگاه های متصل خود به آن برقرار کنید
ما برای کانفیگ روتر میکروتیک خود به یک کامپیوتر و نرم افزار WinBox نیاز خواهیم داشت ، اگر شما دستگاه فیزیکی ندارید و میخواهید به عنوان دانشجو این مقاله را مطالعه و تمرین کنید ، شما به یک کامپیوتر و نرم افزار WinBox و نرم افزار VMware Workstation Pro نیاز خواهید داشت که بعد از بالا آوردن RouterOS روی VMware Workstation میتوانید این مقاله رو مطالعه کنید.
این مقاله آموزشی بخشی از دوره MTCNA میباشد پس تا انتهای مقاله ی تنظیمات امنیتی اجباری در روتر میکروتیک با همراه باشید تا لذت درک مفاهیم و پیاده سازی را با هم بچشیم.
توجه 💡
مقاله تنظیمات امنیتی اجباری در روتر میکروتیک شامل محتوای ویدیویی نیز میباشد ، این مقاله و ویدیو مکمل یکدیگرند و بعضی موارد در ویدیو گفته شده که نوشته آن در مقاله نیست پس به هیچ عنوان دیدن ویدیو زیر را به از دست ندهید❤️
تنظیم IP Address در روتر میکروتیک
اگر با روتر میکرتیک خود در یک شبکه قرار داشته باشیم میتوانیم به صورت لایه 2 با MAC Address به آن متصل بشیم اما یکی از اولین کارهایی که ما باید انجام دهیم دادن IP Address به میکروتیک است تا بتوانیم اتصال به روتر را از لایه 2 به لایه 3 تغییر دهیم با این کار میتوانیم امنیت دستگاه را نیز بالاتر ببریم چون اتصال با لایه 3 ایمن تر از اتصال با لایه 2 است.
قدم اول امنیت در میکروتیک :
چون روی روتر ما IP Address تنظیم نشده ابتدا نیاز داریم به صورت لایه 2 به آن متصل شویم
قدم دوم امنیت در میکروتیک :
در نرم افزار WinBox مسیر مقابل را طی میکنیم —> IP > Addresses . سپس در منوی باز شده روی علامت + کلیک میکنیم
IP Address مورد نظر خود را با فرمت مشابه عکس وارد کنید و سپس روی گزینه apply و ok کلیک کنید
قدم سوم امنیت در میکروتیک :
حالا از این به بعد شما میتوایند به صورت لایه 3 از طریق IP Address به روتر میکروتیک خود متصل شوید
IP Address که به روتر خود دادید را اینجا وارد کنید و با زدن روی گزینهی Connect به روتر متصل شوید
تغییر پورت های پیش فرض در روتر میکروتیک
یکی از تنظیمات امنیتی اجباری در روتر میکروتیک تغییر شماره پورت های پیشفرض است ، به عنوان مثال نرم افزار WinBox روی پورت 8291 کار میکنه ما باید این عدد پیشفرض را تغییر بدیهم .
قدم اول :
در نرم افزار WinBox مسیر مقابل را طی میکنیم —> IP > Addresses > Services
در این صفحه IP Service هایی که در میکروتیک وجود دارد را مشاهده میکنید مانند SSH که روی پورت 22 TCP کار میکند
قدم دوم :
شماره پورت سرویس هایی که از انها استفاده میکنیم را تغییر میدهیم
مثلا روی WinBox کلیک میکنید و در قست پورت یک عدد دلخواه دگر مثل 5022 را مینویسید و سپس apply و ok میکنید
نکته :
ما در مثال خود شماره پورت WinBox رابه 5022 تغییر دادیم ، پس از الان به بعد باید به شکل زیر به روتر خود وصل بشیم
بعد از تغییر پورت WinBox اگر خواستید به صورت لایه 3 به روتر متصل بشد باید بعد از زدن IP Address یک : و شماره پورت را بنویسید
غیر فعال کردن سرویس های بلا استفاده
شما باید سرویس هایی که از انها استفاده نمیکنید را در روتر میکروتیک خود Disable کنید ، این کار از واجبات امنیتی است 😉
قدم اول :
در نرم افزار WinBox مسیر مقابل را طی میکنیم —> IP > Addresses > Services
مثلا ما میخواهیم فقط از طریق WinBox به روتر میکروتیک خود متصل بشیم پس نیازی نیست که پورت 80 و 443 هم روشن باشند پس بنابراین ما هر ip service که نخواستیم را روش کلیک میکنیم و سپس روی علامت ✖️ که در نوار بالا هست کلیک میکنیم
تغییر Username , Password ادمین
یکی از تنظیمات پیشفرض میکروتیک برای لاگین کردن استفاده از مشخصات روبرو است user : admin , password : blank البته میکروتیک این اواخر پسورد را روی برچسبی که زیر دیوایس هایش چسپیده مینویسد ولی نسخه نرم افزاری RouterOS همچنان مثل قبل خالی است یعنی باید قسمت پسورد خالی باشد.
یکی از راه های افزایش امنیت میکروتیک این است یک user با رمز جدید و سخت به جای user admin جایگزین کنیم که طبق مراحل زیر انجام میشود.
قدم اول :
در نرم افزار WinBox مسیر مقابل را طی میکنیم —> System > Users
منوی user list در روتر میکروتیک
قدم دوم :
در این منو یک user جدید با یک password مناسب میسازیم
در این منو باز زدن روی ➕ یک user جدید با یک password مناسب میسازیم و سپس apply , ok میکنیم
قدم سوم :
بعد از ساخت user جدید user admin را disable میکنیم
در این منو روی ادمین کلیک میکنیم
و با زدن روی ➖user admin را غیر فعال میکنیم
بستن پورت های DNS در Firewall
یکی دیگر از تنظیمات امنیتی اجباری در روتر میکروتیک بستن پورت DNS روی ترافیک های ورودی به روتر ما از اپلینک اینترنت است برای این منظور در فایروال میکروتیک پروتکل DNS که روی پورت 53 کار میکند را هم روی TCP و هم روی UDP بلاک می کنیم تا از DNS Attack به روتر خود جلوگیری کنیم.
قدم اول :
در نرم افزار WinBox مسیر مقابل را طی میکنیم —> IP > Firewall > Filter Rules
منوی تنظیمات فایروال در روتر میکروتیک
قدم دوم :
در این منو نیاز است که یک رول جدید نعریف کنیم
در این منو باز زدن روی ➕ وارد منوی new firewall rule میشوید
قدم سوم :
حالا میخوایم DNS را روی کانکشن TCP بلاک کنیم
طبق تصویر موارد را انجام دهید و سپس از نوار بالا قسمت Action
را روی drop بگزارید و سپس apply , ok بزنید
قدم چهارم :
حالا میخوایم DNS را روی کانکشن UDP بلاک کنیم
طبق تصویر موارد را انجام دهید و سپس از نوار بالا قسمت Action
را روی drop بگزارید و سپس apply , ok بزنید
جمع بندی :
در این مقاله سعی کردیم به صورت خلاصه مفهوم را به شما برسانیم ، که چطور یک روتر میکروتیک را ایمنتر کنید و حداقل امنیت را برای دستگاه خود به ارمغان بیاورید ، امیدواریم از خواندن این مقاله لذت برده باشید.