در این مقاله آموزشی قصد داریم با برخی از راهکار های افزایش امنیت روتر های میکروتیک آشنا شویم.
۱ – عدم استفاده از شناسه کاربری و رمز پیش فرض:
در میکروتیک بصورت پیش فرض شناسه کاربری بصورت admin و بدون رمز عبور فعال می باشد که پیشنهاد می شود در قسمت System Users شناسه کاربری admin را به نام دیگری تغییر دهیم و برای مصارف عادی که نیاز به تغییر خاصی در روتر نداریم یک شناسه کاربری با سطح دسترسی Read ایجاد کنیم و تا حد لزوم از شناسه کاربری با سطح Full استفاده نکنید.
۲- استفاده از رمز عبور مطمئن:
در حملاتی که برای نفوذ به روتر های میکروتیک مورد استفاده قرار می گیرد شایع ترین نوع حملات Brute Force می باشد. در صورتی که برای روتر خود از رمز عبور مطئن استفاده نکرده باشید ممکن است توسط این نرم افزار ها شناسه پیش فرض را با رمز های متعددی بررسی کنند و نفوذگر موفق به لاگین به روتر شما شود.
۳-محدود کردن بازه IP مجاز کاربران:
در نسخه های جدید میکروتیک امکان محدود کردن بازه IP address مجاز کاربران برای لاگین کردن به روتر فراهم شده است. می توانید با استفاده از این قابلیت محدوده IP مجاز برای لاگین به روتر را به رنج آدرس شبکه داخلی یا آدرس های اینترنتی مجاز که از آن به روتر می خواهید دسترسی داشته باشید به خصوص برای سطوح دسترسی Full استفاده نمایید:
-غیرفعال کردن سرویس های بی استفاده:
برای دسترسی به میکروتیک سرویس های مختلفی مثل Telnet و SSH و… فراهم شده است که در اکثر مواقع بی استفاده باقی می مانند. برای افزایش امنیت روتر خود در قسمت IP Services سرویس هایی که کاربری خاصی ندارند را غیر فعال نموده و سایر سرویس های مورد استفاده نیز از پورت پیش فرض به پورت دیگری تغییر داده شوند:
همچنین در قسمت Available From می توانید رنج IP هایی که می توانند به این سرویس ها و پورت ها دسترسی داشته باشند را محدود نمایید.
۵ – غیر فعال کردن Mac-telnet, Mac-Ping ,Mac-Winbox :
در سیستم عامل میکروتیک با استفاده از نرم افزار Winbox قابلیت اتصال به روتر از طریق Mac-address فراهم شده است که پیشنهاد می شود از قسمت Tools Mac Server نسبت به غیر فعال کردن این قابلیت بصورت کلی یا محدود کردن این قابلیت به یک Interface خاص اقدام نمایید.:
۶ – غیر فعال کردن پروتکل MNDP :
در میکروتیک مشابه تجهیزات سیسکو پروتکل ارتباط با روتر های مجاور در شبکه فراهم شده است که اطلاعات کاملی از تجهیزات دیگر موجود در شبکه را به کاربران نمایش می دهد. برای غیر فعال کردن و مشاهده این اطلعات می توان از قسمت IP-Neighbors استفاده نماییم. همچنین می توان این ویژگی را بر روی اینترفیس های خاصی فعال یا غیرفعال نمود:
۷ – غیر فعال کردن BTest Server :
در تجهیزات میکروتیک ابزاری برای تست انتقال پهنای باند قرار داده شده است که با استفاده از بخش Tools-Bandwidth Test می توانیم به IP روتر دیگری ترافیک ایجاد کنیم تا حد اکثر توان انتقال پهنای باند را مشخص نماییم. پیشنهاد می شود با توجه به اینکه فعال بودن ین سرویس یک پورت روی روتر شما را باز می گذارد در صورتی که از این سرویس استفاده ای ندارید از قسمت Tools-BTest Server آن را غیر فعال نمایید و در مواقع نیاز مجدد فعال کرده و از این قابلیت استفاده کنید:
۸ – تنظیمات صحیح DNS :
یکی از شایع ترین حملاتی که روی میکروتیک های دارای IP اینترنتی ایجاد می شود حملات DNS است که باعث اشغال پهنای باند و مصرف منابع بالا می شود. لذا برای جلوگیری از این حملات از قسمت IP-DNS نسبه به غیر فعال کردن Allow Remote Requests اقدام نمایید یا در مواقعی که نیاز به فعال بودن این گزینه دارید با استفاده از قسمت IP-Firewall-Filters دسترسی به پورت UDP 53 را محدود نمایید.
۹ – غیرفعال کردن درگاه های (Interface) بی استفاده:
در تجهیزات سخت افزاری میکروتیک درگاه های متععدی قرار داده شده است که ممکن است برخی از آن ها مورد استفاده قرار نگیرند . پیشنهاد می شود در مواقعی که نیاز به استفاده از این Interface ها وجود ندارد آن ها را Disable نمایید.
موارد فوق تا حد زیادی می توانند امنیت روتر شما را در مقابل نفوذ و هک تامین کنند و این نکته را مدنظر داشته باشید که با تنظیم صحیح فایروال برای جلوگیری از Port Scan ها و استفاده از قابلیت هایی مثل Port knocking می توانید به همراه این موارد یک روتر میکروتیک ایمن در مقابل نفودگران ایجاد نمایید.