آموزش کامل امنیت در میکروتیک

مرداد, 1396 بدون نظر دسته‌بندی نشده

آموزش کامل امنیت در میکروتیک پست چند وقت قبل یکی از دوستان محرک این پست شد که همین جا از ایشون تشکر می کنم . نداشتن عواقب و نبود قوانین و بازدارنده های کافی برای جرایم رایانه ای و ابزارهای مجانیی که به سادگی در دسترس هر کاربری هست خواه و ناخواه وسوسه گر هر کاربری است که لذت دسترسی غیر مجاز را تجربه نماید و بدتر آنکه مقوله امنیت به شدت از سوی مدیران ای تی مورد کم لطفی قرار می گیرد . یا حتی در پاره ای از موارد نادیده ! مثلا خود من بعد از مدتی متوجه شدم چند تا از روتر هام بدون پسورد روی شبکه و در دسترس قرار دارند ! یا در مورد دیگه ای در حال کانفیگ یک روتر بودم که بعد از چند لحظه ترمینال رو که باز کردم متوجه لاگ خطای دسترسی شدم ! خوشبختانه دوستان فکر نمی کردند روتر در حال کانفیگ و هنوز بدون پسورد باشد !!!!

در ادامه چند راه حل ساده که میتواند حجم زیادی از مشکلات شما را کم می کند مورد بررسی قرار می دهیم . البته واضح است که این روش ها امنیت صد در صد روتر شما را تامین نمی کند . فقط جلوی هکر های تازه کار و حملات مرسوم را تا حدی می گیرد . دوستان اگر راه حل یا تجربه ای دارند ممنون میشوم ذکر کنند یا اگر راه حلی ناقص می بینند خوشحال میشوم تذکر بدهند .

یک اکانت خوب یک پسورد خوب !
روزانه در مورد امنیت کلمه عبور و نحوه انتخاب یک کلمه عبور مناسب مطالبی را میشنویم و بدون استثنا به آنها بی توجهی می کنیم ! پیشرفته ترین و قوی ترین تجهیزات شبکه هم در صورت دارا بودن کلمات عبور ضعیف به سادگی قابل عبور و نفوذند ! جمله و عبارتی بلد نیستم که بیش از دیگران حساسیت این موضوع رو گوشزد کنم !
اما در مورد اکانت . پیشنهاد خود میکروتیکه که یک یوزر با دسترسی full بسازید و یوزر پیش فرض admin رو به دسترسی فقط خواندنی یا read only تغییر بدید . داشتم فیلم سناریوی شماره یک رو ضبط می کردم که تا قسمتی از کار رو ذخیره کردم و الباقی رو به بعد موکول کردم فردا متوجه شدم دوست عزیزی همین کار رو سر من در آورده ! که بخاطر محبت ایشون من نتونستم کار رو تموم کنم !
سعی کنید در صورت امکان از یه رادیوس سرور برای مدیریت اکانت های لاگین به میکروتیک استفاده کنید . تا بتونید به صورت دوره ای اونا رو تغییر بدید و ..

سرویس های بد !
سیستم عامل میکروتیک مجموعه بیشماری سرویس و خدمات خوب داره که مخصوصا موقع آپ دیت با کپی کردن پکیج ها تمام اونها فعال میشود ! خیلی از این سرویس ها واقعا مورد نیاز شما نیست . و نصب اونها نه تنها حافظه مفید روترتون رو اشغال می کنه بلکه ممکنه بعنوان یه ضعف امنیتی عمل کنه . پس ابتدا از منوی system > package هر پکیجی که مورد نیازتون نیست رو حذف کنید . در صورتی که کاربرد پکیجی رو نمی دونید از این آدرس کمک بگیرید :

بعد می رسیم به سرویس های مورد نیاز یا سرویس هایی که با پکیج های مورد نیاز شما راه اندازی میشوند ! از منوی ip > services شما سرویس های قابل اجرا روی روتر بوردتان رو می تونید ببینید . روش های دسترسی عزیز ! تل نت و SSH سرویس های مورد علاقه هکران تازه کارند ! یه برنامه ساده بارت فورس و مقدار زیادی زمان ! هر بار که ترمینال رو باز می کنید تعداد لاگ های مربوطه رو ببینید !
سعی کنید از این دو مورد استفاده نکنید ! اگر هم نیازمند این دو هستید حداقل پورت پیشفرض آنها را تغییر بدید ! و بزارید روی یه پورت معروف ! مثلا تل نت روی پورت 80 ! و همچنین پورت ناکینگ رو که در ادامه توضیح خواهیم داد رو استفاده کنید . تغییر پورت پیش فرض وین باکس رو هم توصیه می کنم . البته خوشبختانه در جامعه هکری میکروتیک بعنوان یه مورد مستقل بررسی نمیشه و هنوز یه دید مشابه سایر توزیع های لینوکس بهش هست ! که باعث شده ما برنامه ای برای حمله به پورت وین باکس نداشته باشیم ! و یا حمله به یوزر منیجر و …

پورت های بد و خرید فیلترشکن !
بعد از سرویس ها بحث بررسی پورت های معروف سرویس های اجرا شده روی آنهاست . مثلا شما از وب پراکسی استفاده می کنید یا pptp و DNS cache… مطمئنا منظور شما این نبوده که کاربران اینترنتی توانایی اتصال و استفاده از این سرویس ها رو داشته باشند . کمترین ضرر این موارد استفاده از پهنای باند شماست !!! پس در صورتی که سرویس های مشابه این موارد را روی روتر بوردتان اجرا کرده اید با کمک فایروال اجازه دسترسی به اونها از طریق پورت wan تون رو بگیرید . برای آشنایی با فایروال میکروتیک هم این پست بهتون کمک می کنه .
آموزش كاربردي فايروال ميكروتيك

Security Not My Problem
Snmp یکی از مفیدترین و مهمترین پروتکل های موجود شبکه است ! اما در عین حال یکی از نا امن ترین اونها هم هست ! مخصوصا ورژن یک ! اگر یه کامیونیتی با مجوز read / write روی روتر بورد شما فعاله عملا تمام موارد بالا یعنی کشک ! هر کاربری با دونستن نام کامیونیتی می تونه به روتر بورد شما دسترسی داشته باشه و تنظیمات اونو تغییر بده ! حتی دسترسی read هم چندان بدون مشکل نیست ! حداقل ضرر این مورد اینه که به نفوذ گر کمک می کنه از ساختار شبکه شما سر در بیاره . پس لطفا کامیونیتی public رو فعال نکنید . سعی کنید از ورژن دو یا سه snmp استفاده کنید و اونو با کلمه عبور مناسب امن کنید . مجوز write رو تا جایی که می تونید فعال نکنید .

· پورت ناکینگ
یه ویژگی جالب و کار امد هست که می تونه توسط فایروال میکروتیک پیاده سازی بشه . بدین صورت که کاربر پس از انجام اعمالی بتونه برای مدتی به سرویس خاصی روی شبکه دسترسی داشته باشه .
مثلا در صورتی که من ای پی x.x.x.x رو سه مرتبه پینگ کنم اونوقت ای پی من برای یک ساعت می تونه به میکروتیک تل نت کنه . یا من میخوام در صورتی که ای پی فلان رو پینگ کردم و بعد سعی کردم به تل نت به این ای پی وصل بشم بتونم سایت داخلی اداره رو ببینم و ….
از این روش می تونید برای ارائه سرویس هایی که بعضا لازمه از بیرون شبکه مورد استفاده قرار بگیره اما از نظر امنیتی دغدغه هایی رو براتون به همراه داره استفاده کنید . پیاده سازی این روش به کمک فایروال میکروتیک چندان پیچیده نیست مقاله زیر اصول کار رو توضیح داده اگر نکته مبهمی دیدید توی کامنت ها ذکر کنید تا توضیح بدم

برچسب ها

ارسال نظر شما

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *