راهنمای سریع ایمن سازی و امنیت روتربرد های میکروتیک
گاهی وقتی اتفاق افتاده که روتر شما آلوده به حملات شبکه ای شده است و یا مستعد به این حمله ها هست، در این مقاله دو روش مهم و کاربردی برای ایمن سازی در آسیب پذیری روترهای میکروتیک برای شما تهیه شده است که با توجه به نوع روتر و سطح حمله، بهترین روش را می توانید مرحله به مرحله انجام بدهید تا امنیت در روتربرد های میکروتیک شما همیشه حفظ گردد.
با در نظر گرفتن این شرایط که روتر شما آلوده شده و لازم است بهمنظور اطمینان از رفع آلودگی احتمالی و جلوگیری از آسیبپذیری مجدد، اقدامات زیر صورت بپذیرد. میتوانید یکی از روشهای زیر را متناسب با روترتان انتخاب کنید و مراحل ایمن سازی و امنیت روتربرد های میکروتیک و امنیت میکروتیک در شبکه را مرحله به مرحله انجام بدهید.
مراحل ایمن سازی و امنیت روتربرد های میکروتیک:
روش اول : بازگردانی به تنظیمات کارخانهای و بروز رسانی مجدد روتر
روش دوم : درصورتیکه راهاندازی و تنظیم مجدد امکانپذیر نیست. میتوان مراحل زیر را جهت پاکسازی روتر اجرا نمود.
روش اول : بازگردانی به تنظیمات کارخانهای و تنظیم مجدد روتر
1) بازگردانی به تنظیمات کارخانهای
بازگردانی تنظیمات اولیه روتر میکروتیک یا Reset Factory کردن جزء اولین اقدامات شما در این مرحله هست که شما می توانید با نوشتن کد دستوری زیر این فرمان را به روترتان بدهید.
system reset-configuration no-defaults=yes
2) بروز رسانی روتربرد میکروتیک
پس از کانفیگ اولیه روتر میکروتیک و به اینترنت دسترسی پیدا کنید و از دستور زیر استفاده نمایید .
/system package update check-for-updates once :delay 3s; :if ( [get status] = "New version is available") do={ install }
یا با مراجعه به سایت https://mikrotik.com/download و انتخاب متناسب ترین Package و Drag کردن بر روی روترتان، بروزرسانی را با موفقیت انجام بدهید.
3) غیرفعال سازی سرویسهای غیرضروری
برای غیر فعال سازی و یا disable کردن سرویس هایی که فعلا نیاز به استفاده نداریم از کد دستوری ip service disable استفاده می کنیم. که در ادامه می توانید نمونه ای از این کد را مشاهده نمایید.
/ip service disable [find name=telnet] /ip service disable [find name=ftp] /ip service disable [find name=www] /ip service disable [find name=www-ssl] /ip service disable [find name=api] /ip service disable [find name=api-ssl] /tool bandwidth-server set enabled=no /ip dns set allow-remote-requests=no /ip socks set enabled=no /tool romon set enabled=no
4) استفاده از پروتکل SSH
استفاده از الگوریتمهای قدرتمند و پیچیده در پروتکل رمزنگاری SSH، ضریب امنیتی در روتر را در حملات بیشتر می کند.
/ip ssh set strong-crypto=yes
5) غیرفعال نمودن Package های غیرضروری
با استفاده از دستور زیر میتوان Package های نصبشده و وضعیت آنها را در RouterOSمشاهده نمود .
/system package print
سپس با استفاده از دستور زیر میتوان Package های غیرضروری را غیرفعال کنیم .
/system package disable ipv6 /system package disable mpls /system package disable hotspot
6) تغییر شماره پورت سرویسهای کاربردی
با استفاده از دستور ذیل میتوان شماره پورت مربوط به سرویسهای RouterOSرا مشاهده نمود.
/ip service print
سپس با استفاده از دستور ذیل میتوان شماره پورت مربوط به یک سرویس در RouterOS را تغییر داد.
/ip service set ssh port=1284
7) اختصاص ACLجهت دسترسی به سرویسهای کاربردی
با استفاده از Access List دسترسی به روتر تنها از تعداد مشخصی IPو یا Network قابلدسترس خواهد بود. با کاهش تعداد IP هایی که توانایی دسترسی به روتر را دارند میتوان سطوح حملات را کاهش و امنیت روتر افزایش داد .
تذکر : IP یا Network زیر بهعنوان یک نمونه آزمایشی هست و بهجای آن باید آی پی متناسب با روترخودتان را اختصاص دهید .
توجه : در صورت تعریف ACL دسترسی به سرویسها فقط از این طریق خواهد بود .
/ip service set ssh address=192.168.1.0/24 /ip service set winbox address=192.168.1.0/24
8) ایجاد رمز عبور پیچیده برای حسابهای کاربری
در حملات Brute Force Loginدر صورت نبود رمز عبور پیچیده و طول کمتر از 10 کاراکتر، بهسادگی و در کمتر از چند دقیقه رمز عبور شکسته شده و مهاجم وارد سیستم میگردد. حال با ایجاد رمز عبور با حداقل 12 کاراکتر و ترکیب کارترهای عدد، حروف بزرگ و کوچک و کاراکترهای خاص میتوان این زمان را افزایش داد.
/user set admin password=#123xX&123"%
9) بلاک نمودن درخواست DNSاز WAN Interface
/ip firewall filter add action=drop chain=input comment="BLOCK DNS REQUEST ON WAN INTERFACE" dst-port=53 in-interface=pppoe-out1 protocol=udp
روش دوم : درصورتیکه راهاندازی و تنظیم مجدد امکانپذیر نیست. میتوان مراحل زیر را جهت پاکسازی روتر اجرا نمود .
در این روش با توجه به اینکه یک Attacker پالیسی ها ، Rule ها و دسترسیهای ناخواستهای را در روتر ایجاد میکند و از طریق این دسترسیهای کارهای مختلفی را بر روی روتر موردنظر اجرا میکند ازاینرو باید به روتر موردنظر متصل شده و قسمتهای مختلف را در جهت اطمینان از موارد ناخواسته موردبررسی قرارداد.
1) حذف اکانت های ناخواسته از قسمت System- Users
در این قسمت باید توجه داشته باشید که در زمان اتصال به روتر از چه نوع حساب کاربری مورد استفاده قرار میدهید . اکانت های مختلف را بررسی کرده و اکانت های ناخواسته را از قسمت Users حذف کنید .
2) حذف Rule های ناخواسته از قسمت Firewall - Filter Rules
در این قسمت یک Attacker با ایجاد سطح دسترسیهای مختلف و بعضا بستن سرویسهای مختلف مانع از امکان کارکرد مؤثر روتر شما در شبکه میشود. Rule های این قسمت را بررسی کرده و موارد ناخواسته را در این قسمت حذف کنید.
3) حذف Rule های ناخواسته از قسمت Firewall - NAT
این قسمت امکان ترجمه آدرسهای IP به آدرسهای مختلف را فراهم میکند . بعضا از این قسمت میتوان جهت هدایت ترافیک به مقصدهای نامشخص را تعیین کرد. Rule های این قسمت را بررسی کرده و موارد ناخواسته را در این قسمت حذف کنید.
4) حذف اسکریپتهای ناخواسته از قسمت System - Script
از این قسمت یک Attacker امکان ایجاد اسکریپتهای مختلف را در روتر شما فراهم کرده و در بازه زمانی مختلف باعث اجرای فرمانهای مختلف بر روی روتر شما میشود . Rule های این قسمت را بررسی کرده و موارد ناخواسته را در این قسمت حذف کنید.
5) حذف اجرای Script مختلف در بازههای زمانی مختلف System - Scheduler ناخواسته بر روی روتر
از این قیمت امکان اجرای Script مختلف در بازههای زمانی را برای Script ناخواسته فراهم میکند. Rule های این قسمت را بررسی کرده و موارد ناخواسته را در این قسمت حذف کنید.