امنیت شبکه با میکروتیک

روتر mikrotik بدلیل اینکه در اکثر موارد در لبه شبکه مورد استفاده قرار میگیرد و از یک طرف به اینترنت و از طرف دیگر به شبکه داخلی متصل میشود در صورتی که موارد امنیتی روی آن تنظیم و اعمال نگردد یک باگ امنیتی به حساب می آید که هکر با ورود به روتر ، دسترسی به شبکه داخلی را خواهد داشت.از این رو و به جهت افزایش امنیت شبکه و جلوگیری از حمله به روتر میکروتیک ، پیشنهاد میشود موارد زیر روی روتر میکروتیک انجام گیرد :

• نام default ورود به روتر admin میباشد .بهتر است این اسم تغییر یابد که به بزرگی و کوچکی حروف نیز حساس میباشد.با استفاده از ترکیب حروف بزرگ و کوچک میتوان اسم خاصی ساخت که دور از ذهن بوده و کار نفوذگر را سخت نمود. مانند aDmiN

• استفاده از پسورد پیچیده و طولانی برای ورود به روتر Mikrotik که ترکیبی از حروف بزرگ ، کوچک و کاراکترهای خاص میباشد احتمال حدس زدن پسوردهای ساده و کوتاه را با استفاده از حملات Brute Force و  Dictionary Attack  به حداقل میرساند.

• از آخرین ورژن winbox برای اتصال به میکروتیک بهره ببرید.آخرین ورژن نرم افزار winbox از سایت میکروتیک قابل دانلود میباشد.درحال حاضر آخرین نسخه موجود در سایت میکروتیک ورژن 3.11  میباشد.

• اگر سرویس telnet یا ftp روی روتر فعال است آنرا غیرغعال کنید. بطور کلی سرویس های غیر ضروری را در بخش ip و سپس services  بررسی کرده و در صورت لزوم غیرفعال نمایید.

• فعال سازی port knocking  : port knocking   یکی از مفاهیم امنیتی موجود در فایروال یا iptables  لینوکس میباشد که میتواند بعنوان یکی از استراتژی های امنیتی روی روتر میکروتیک نیز اعمال گردد.این قابلیت  بیشتر روی پورت های باز روتر که از اینترنت قابل دسترسی میباشد اعمال میگردد.با این ویژگی پورتهای publish شده و باز در حالت معمول توسط فایروال در حالت بلاک قرار دارند.در این حالت فایروال ترافیک پورت مربوطه یا لاگ فایروال را بطور منظم و دقیق زیر نظر دارد تا اگر ترافیکی با ترتیب و sequense  خاصی که ما برای آن تعریف کردیم دریافت کند (در حقیقت منتظر شنیدن knock  با ترتیب خاص ما میماند) پورت مربوطه را باز کند و اجازه عبور ترافیک را بدهد.

• پورت  ssh را تغییر دهید.در حالت معمول این پورت روی شماره 22 منتظر ترافیک میماند که میتوانید این عدد را تغییر دهید.

• پورتها و اینترفیسهای غیرضروری را روی روتر     غیر فعال نمایید

• غیر فعال سازی  neighbour discovery روی روتر میکروتیک : این پروتکل روی میکروتیک MNDP  نام دارد که باعث میشود بقیه دیوایسهایی که در شبکه دارای این قابلیت هستند قابل شناسایی بوده و بتوان اطلاعاتی راجع به نوع و مدل روترهای میکروتیک موجود در شبکه بدست آورد.این پروتکل رویUDP  اطلاعات مربوطه را در هر 60 ثانیه broadcast  میکنداین قابلیت تقریبا شبیه قابلیت Cisco Discovery Protocol  یا CDP  میباشد که در تجهیزات سیسکو قابل استفاده بوده که در آن روی اینترفیسهای دستگاه در هر 60 ثانیه یک announcement  فرستاده میشود.

• تنظیم تایم روتر جهت sync شدن با یک ntp سرور : بهتر است که یک تایم سرور در شبکه راه اندازی کرده و زمان روتر را با آن sync  کرد.هر چند با سرورهای اینترنتی هم میتوان این کار را کرد ولی روشی که حرفه ای باشد به حساب نمی آید.

• از تنظیمات روتر خود همیشه پشتیبان و backup داشته باشید.

• ترافیک شبکه های torrent  را در شبکه خود بلاک کنید. برای اینکار میتوانید از wiki  خود میکروتیک کمک بگیرید.

• در فایروال در بخش ایجاد پالیسی ها و rule ها ، فقط ترافیک مورد نظر از مبدا کاربران خود را allow  کنید و مابقی ترافیک ها را block  کنید.

اگر در شبکه خود روتر mikrotik دارید و سرویس ها و سرورهای خود را روی اینترنت قرار داده اید و یا نگران خطای کاربران خود و بخطر افتادن امنیت در سطح شبکه و در سطح سرور و روترهای میکروتیک خود هستید میتوانید روی سیسکو پردازش حساب کنید.

با سیسکو پردازش ، شبکه را مدرن تجربه کنید.