در حال بارگزاری...

چگونه RouterOS خود را امن کنیم

با توجه به اینکه استفاده از تجهیزات میکروتیک، روز به روز در حال رشد است،  در این مقاله به برخی از نکاتی که در تأمین حداقل مقدار امنیت دستگاه میکروتیک شما مؤثر است، می پردازیم.

میکروتیک یک شرکت واقع در کشور لتونی است که در سال 1996 با هدف توسعه مسیریاب ها و سیستم های شبکه های بیسیم تأسیس شد. در حال حاضر میکروتیک تأمین کننده ی سخت افزار و نرم افزار برای ارتباطات اینترنتی در اکثر کشور های جهان است. این شرکت در سال 1997 سیستم عامل RouterOS را با هدف کنترل انواع داده و مسیریابی به وجود آورد. این شرکت در سال 2002 تصمیم به ساخت سخت افزار گرفت و برند RouterBoard  در این سال متولد شد. در حال حاضر این شرکت در شهر ریگا در لتونی واقع است و بیش از 140 کارمند دارد. از جمله امکانات میکروتیک می توان به محیط گرافیکی ساده و کاربرپسند آن، به صرفه بودن قیمت آن نسبت به نمونه های مشابه سخت افزاری، پشتیبانی ازپروتکل های انحصاری و قدرتمند خود در کنار پروتکل های استاندارد وهمچنین قابلیت های گسترده دیگر مانند پشتیبانی از مسیریابی های استاتیک و داینامیک مانند BGP وOSPF، مدیریت و ادغام پهنای باند، ارائه سرویس های HotSpot  و WebProxy، پشتیبانی از دیوار آتش قدرتمند تا لایه هفت، قابلیت شبکه های بیسیم، پشتیبانی از انواع Tunnel و VPN، پشتیبانی از MPLS، اسکریپت نویسی، ابزارهای مانیتورینگ و غیره اشاره کرد.

به طور پیش فرض نام کاربری روتر شما Admin  است و رمز عبور نیز ندارد. این نام کاربری را عوض کنید و برای آن رمز عبور بگذارید. زمانی می توانید کاربرAdmin  را پاک کنید که حداقل یک کاربر با دسترسی Admin  داشته باشد. از منوی System -> Users کاربرانی که می سازید را به گروها انتقال دهید و برای هر گروه دسترسی های دقیقی مشخص کنید تا هر شخص دقیقاً به مواردی که لازم است دسترسی داشته باشد. همچنین در این منو می توانید کلید های SSH را نیزImport  کنید و کاربران فعال را مشاهده کنید.

میکروتیک برای دسترسی راحت تر به روتر قابلیت MAC-Telnet  و MAC-Winbox دارد. از منوی Tools سرویس های MAC-Ping و MAC-Telnet و MAC-Winbox  را ببندید. به علاوه، سرویس های دیگر نیز در میکروتیک به صورت پیش فرض فعال می باشند که در صورتی که به آن ها نیازی ندارید، بهتر است که غیرفعالشان کنید. (مانند Cloud-upnp-Socks) در آخر این که اگر روتر شما LCD دارد از منوLCD آن را خاموش کنید تا دیگران دسترسی لمسی به آن نداشته باشند.

سرویس های که مورد نیاز تان نیست را از منوی IP -> Services  خاموش کنید و یا در قسمت Available from  دسترسی آن را محدود کنید. همچنین می توانید برای امنیت بیشتر برخی از شماره پورت ها را  تغییر دهید. به عنوان مثال، برنامه گرافیکی که با آن روتر خود را پیکربندی می کنید Winbox نام دارد که برروی پورت 8291 کار می کند. این مورد را نیز می توانید تغییر دهید. همچنین پیشنهاد می شود که از سرویس های امن تر استفاده کنید. به عنوان مثال به جای Telnet  از SSH استفاده کنید.

یکی دیگر از امکانات میکروتیک که عملاً به درد مانیتورینگ می خورد Torch یا مشعل است. از منوی Tools -> Torch می توانید به صورتReal time  تمامی ترافیک ها را ببینید و اگر ترافیک مشکوکی مشاهده کردید، در منوی System -> Logging and Log می توانید از موارد خاص Log  با جزئیات داشته باشید و یا  آن ها را به Syslog سرور خود بفرستید. همچنین در صورت مشاهده مصرف بالای CPU می توانید از ابزار دیگری به نام Profile  استفاده کنید. در مسیسر Tools -> Profile می توانید بررسی کنید که چه چیزی از CPU شما استفاده می کند.

به دلیل اینکه اکثر برنامه ها و سیستم عامل ها به مرور نشان می دهند که در چه قسمت هایی آسیب پذیری دارند و شرکت سازنده آن بلافاصله برای آن بسته به روزرسانی می دهد بنابراین همواره سیستم عامل خود را update  نگه دارید و آن را به آخرین نسخه RouterOS ارتقا دهید. این کار را از منوی quick-set  هم می توانید انجام دهید.  همچنین می توانید از منوی System -> Routerboard  به روز رسانی Firmware  دستگاه خود را نیز انجام دهید.

میکروتیک دارای فایروال قدرتمندی نیز است که از منوی IP -> Firewall -> FilterRule می توانید برروی ترافیک ها در جهت های مشخص عملی انجام دهید و همچنین ترافیک ها را کنترل کنید. فایروال میکروتیک شامل زنجیره های مهمی از قبیل INPUT برای ترافیک هایی که مقصدشان روتر است، OUTPUT برای ترافیک هایی که مبدأ آن ها روتر است و همچنین Forward برای ترافیک های که مبدأ و مقصدشان روتر نیست. در این قسمت با پورت ها، IP ها،connection  ها و حتی محتوا نیز می توان کار کرد.

02 08 firewall rules compressor

اکثر حملات در ابتدا با اسکن پورت های شما شروع می شودو بنابراین، در منوی IP -> Firewall -> FilterRule -> Exrta از قسمت PSD(Port Scan Detection) استفاده کنید و جلوی اسکن شدن پورت های روتر خود را بگیرید. همچنین در همین قسمت در بخشLimit  وConnection Limit  با قوانینی که می نویسید جلوی حملات DOS را بگیرید. فایروال میکروتیک در لایه هفت نیز کار می کند. در مسیر IP -> Firewall -> Layer7 protocols  می توانید قسمت داده های Packet را مورد بررسی قرار دهید و می توانید از Regex نویسی برای کنترل ترافیک و یا فیلترینگ استفاده کنید. بعد از اینکه Regex  خود را نوشتید می توانید از آن در زنجیره های فایر وال استفاده کنید. اگر نیاز به فایروال لایه 2 دارید باید از فیلتر Rule های که داخل منوی Bridge هستند استفاده کنید. به این منظور می توانید در منویBridge  از قسمت Filter آن برای کنترل ترافیک های لایه دو استفاده کنید. همچنین می توانید با فعال کردن تیک Use IP Firewall ترافیک ها را از فایروال لایه 3 نیز عبور دهید.

به دلیل این که امکانات و قابلیت های RouterOS  به صورت ماژولار به آن اضافه می شود و این ماژول ها تحت عنوان Packages در این سیستم عامل کار می کنند، بنابراین از طریق منوی System -> Packages   پکیج هایی که از آن استفاده نمی کنید را خاموش کنید. )به عنوان مثال IPV6 یا MPLS و یا غیره( همچنین از به روز بودن Package ها مطمئن باشید.

اگر از پروتکل مسیریابی OSPF در شبکه خود استفاده می کنید، حتماً ازAuthentication  بین همسایه های آن استفاده کنید تا مهاجمان نتوانند به راحتی با روتر شما همسایه شوند. به علاوه از آن جایی که این پروتکل برای تشکیل همسایگی برروی اینترفیس هایی که همسایه ای  ندارند و یا نقطه انتهایی شبکه هستند پیغام های Hello ارسال می کند، آنها را Passive  کنید تا بر روی آن اینترفیس ها Hello ارسال نشود. تمامی این امکانات از منوی Routing -> OSPF -> Interfaces قابل دسترسی است.

در میکروتیک می توانید با استفاده از ابزار Btest که از سایت میکروتیک قابل دریافت است، تست پهنای باند بگیرید. این ابزار از سمت روتر نیز نیاز به تنظیمات دارد. به طور پیش فرض تست پهنای باند بر روی میکروتیک (به عنوان سرور) فعال است. به منظور غیرفعال کردن، وارد منوی Tools -> BTest Server شوید زیرا در صورتی که کسی به میکروتیک شما تست بزند CPU شما پر خواهد شد.

میکروتیک برای پیدا کردن سایر تجهیزات شبکه در لایه 2 از MikroTik Neighbor Discovery Protocol (MNDP) استفاده می کند. همچنین از  LLDP و CDP سیسکو نیز پشتیبانی می کند.  به همین دلیل از منوی  IP -> Neighbors قابلیت Neighbor Discovery  را روی اینترفیس های که نیاز ندارید خاموش کنید تا بر روی این اینترفیس ها تجهیزات شما کشف نشوند. به عنوان آخرین نکته، اینترفیس های که استفاده نمی کنید را به طور کلی  از منوی IP -> Interface خاموش کنید.

نویسنده: حسین طارمیان  linkedin2 compressor