میکروتیک (MikroTik) یک ابزار کاربردی برای تجهیز شبکههای کامپیوتری در زمینه توزیع اینترنت است، میکروتیک وظیفه توزیع اینترنت به کلاینتها را برعهده دارد و اینترنت مورد نیاز شبکه را با استفاده از کابل به صورت مستقیم و یا با استفاده از مودم به کلاینتها میرساند. میکروتیک از طریق مرورگر و نرم افزار وین باکس برای انجام تنظیمات مورد نیاز هم در دسترس است و کارشناس شبکه به راحتی میتواند از این طریق اینترنت توزیع شده را کنترل کند و امنیت شبکه را بررسی نماید. میکروتیک (MikroTik) امکانات متنوعی همچون فایروال قوی، امکان اتصال امن از خارج از شبکه، نت کردن (nat)، امکان اتصال چند اینترنت با ISP های متفاوت، تنظیم محدودیت برای مصرف اینترنت، نصب سیستم عامل آن به صورت مجازی و از همه مهمتر افزایش امنیت شبکه داخلی را دارد که باعث محبوبیت فراوان این روتر شده است.
از میکروتیک بیشتر برای افزایش امنیت شبکه و کنترل مصرف اینترنت استفاده میکنند، در ادامه قصد داریم نحوه بستن پورت اسکنرها در میکروتیک را برای جلوگیری از هرگونه حمله و خرابکاری در شبکه تشریح کنیم.
بستن پورت اسکنرها در میکروتیک
مهاجمان و هکرها در اولین گام برای نفوذ به شبکه سیستم عامل را اسکن کردن کرده و اطلاعات سیستم را شناسایی میکنند. به همین دلیل برای حفظ امنیت شبکه باید در ابتدا راههای اسکن کردن شبکه بسته شود. برای توزیع اینترنت در شبکه معمولا از روتربردهای میکروتیک با امکانات، تعداد پورت و قیمتهای متفاوتی با توجه به نیاز شبکه استفاده میشود. میکروتیکها در زمان توزیع اینترنت به یک شبکه به عنوان روتر، پورتهای مختلفی دارند و هکرها برای دسترسی به اطلاعات یک سیستم و حمله به آن معمولا به سراغ این پورتها میروند. به همین دلیل بستن پورت اسکنرها در MikroTik یک موضوع امنیتی بسیار مهم است که باید حتما به آن توجه شود.
برخی از هکرها با نفوذ به شبکه و اسکن کردن پورتها میتوانند گزارش دقیقی از پورتهای آزاد و یا در حال استفاده به دست آورند. برای جلوگیری از نفوذ هکرها باید حتما IP های آنها را بشناسیم و آنها قبل از هرکاری برای حفظ امنیت شبکه مسدود کنیم. مراحل مسدود کردن IP های ناشناس و روش بستن پورت اسکنرها در میکروتیک به شرح زیر است:
گام اول: ابتدا باید بدانیم که از چه نوع اتصالاتی برای اسکن استفاده میشود، برای این کار باید وارد قسمت فایروال IP شوید و و روی "+" کلیک کنید.
گام دوم: در پنجره باز شده روی گزینه Chain کلیک کرده و گزینه input را انتخاب کرده و سپس در قسمت Protocol گزینه 6(tcp) را انتخاب کنید.
گام سوم: روی تب Advance کلیک کنید و سپس گزینه "Src. Address List” را انتخاب کنید.
گام چهارم: در مرحله آخر هم روی تب Action کلیک و سپس گزینه “drop” را انتخاب کنید.
پورت اسکنر (port scanner) چیست؟
برای اینکه از هک شدن MikroTik جلوگیری کنیم، باید حتما پورت اسکنرها را ببندیم، با بستن پورت اسکنر (port scanner) مانع از نفوذ هکرها میشویم و از حملات بروت فورس و DDOS به میکروتیک جلوگیری میکنیم. همان طور که در ابتدای مقاله هم اشاره کردیم، یکی از مهمترین اطلاعات برای نفوذ به یک شبکه و هک کردن آن، دانستن پورتهای باز یک روتر است. با استفاده از برنامه وین باکس (Winbox) و یا پروتکل تلنت (Telnet) هم میتوانید به راحتی پورت اسکنر (port scanner) را ببندید و پویش پورتها را انجام دهید. نرم افزار Winbox (وین باکس) ابزار رایگانی است که توسط شرکت میکروتیک برای ساده سازی روند اتصال به سیستم عامل Mikrotik RouterOS و بررسی application designed to probe for open ports منتشر شده است.
مراحل بستن پورت اسکن با وین باکس
نرم افزار وین باکس را باز کرده و به قسمت ترمینال بروید و یک ترمینال جدید باز کنید و یا از طریق SSH به میکروتیک متصل شوید. سپس دقیقا مطابق شکل زیر دستور را بزنید تا به بخش firewall قسمت filter بروید.
|
/ ip firewall address-list add list = "(SSH) Black List" comment = "(SSH) Black List" / ip firewall filter WAN comment = "(SSH) Blocks everyone in the Black List." log-yes-log-prefix = "KL_ (SSH) Blacklist" src-address-list = "(SSH) Blacklist" WAN comment = "(SSH) Black List Chain Skip Rule." dst-port = 22 jump-target = "(SSH) Blacklist Chain" protocol = tcp add-in-interface = WAN action = add-src-to-address-list address-list = "(SSH) Blacklist" address-list-timeout = 4w2d chain = "(SSH) Blacklist Chain" comment = "Repeating moves the initiatives (SSH) from the Level-3 Tracking List (SSH) to the Black List. " Connection-state = new log = yes log-prefix = "SSH) Added to Blacklist" src-address-list = "(SSH) Level-3 Tracking List" add-in-interface = WAN action = add-src-to-address-list Address-list = "(SSH) Level-3 Tracking List" address-list-timeout = 1m chain = "(SSH) Blacklist Chain" comment = "Adds recurring attempts to the 1-minute Tracking List (SSH) Level-3." connection-state = new log = yes log-prefix = "Level-3 (SSH) added to Track List" src-address-list = "(SSH) Level-2 Track List" add-in-interface = WAN action = add-src-to-address-list Address-list = "(SSH) Level-2 Tracking List" address-list-timeout = 1m chain = "(SSH) Blacklist Chain" comment = "Adds recurring attempts to the 1-minute Follow-up List (SSH) Level-2." log-prefix = "Level-2 (SSH) added to the Track List" src-address-list = "(SSH) Level-1 Track List" add-in-interface = WAN action = add-src-to-address-list Address-list = "(SSH) Level-1 Track List" address-list-timeout = 1m chain = "(SSH) Blacklist Chain" comment = "Adds recurring attempts to the 1-minute Track (SSH) Level-1 Tracking List." connection-state = new log = yes log-prefix = "Level-1 (SSH) added to the Track List" add action = return chain = "(SSH) Blacklist Chain" comment = "(SSH) Components from the Blacklist Chain." |
در گام بعدی دستورات زیر را به ترتیب کپی و در ترمینال Paste کنید.
|
/ ip firewall address-list add list = "(Telnet) Black List" comment = "(Telnet) Black List" / ip firewall filter WAN comment = "(Telnet) Blocks everyone in the Black List." log-yes-log-prefix = "KL_ (Telnet) Blacklist" src-address-list = "(Telnet) Blacklist" WAN comment = "(Telnet) Black List Chain Skip Rule." dst-port = 23 jump-target = "Black List Chain" (Telnet) protocol = tcp add-in-interface = WAN action = add-src-to-address-list address-list = "Black List" (Telnet) address-list-timeout = 4w2d chain = "Black List Chain" comment = "Repeating moves the initiatives from the Level-3 Tracking List (Telnet) to the Black List. connection-state = new log = yes log-prefix = "Telnet) Added to Blacklist" src-address-list = "(Telnet) Level-3 Tracking List" add-in-interface = WAN action = add-src-to-address-list Address-list = "(Telnet) Level-3 Tracking List" address-list-timeout = 1m chain = "(Telnet) Blacklist Chain" comment = "Adds recurring attempts to the 1-minute (Telnet) Level-3 Tracking List." connection-state = new log = yes log-prefix = "Added to Level-3 (Telnet) Track List" src-address-list = "(Telnet) Level-2 Track List" add-in-interface = WAN action = add-src-to-address-list Address-list = "(Telnet) Level-2 Tracking List" address-list-timeout = 1m chain = "(Telnet) Black List Chain" comment = "Adds recurring attempts to the 1-minute (Telnet) Level-2 Tracking List." connection-state = new log = yes log-prefix = "Added to Level-2 (Telnet) Track List" src-address-list = "(Telnet) Level-1 Track List" add-in-interface = WAN action = add-src-to-address-list Address-list = "(Telnet) Level-1 Track List" address-list-timeout = 1m chain = "(Telnet) Blacklist Chain" comment = "Adds repeated attempts to the 1-minute (Telnet) Level-1 Tracking List." connection-state = new log = yes log-prefix = "Level-1 (Telnet) added to the Track List" add action = return chain = "(Telnet) Blacklist Chain" comment = "(Telnet) Blacklist Chain.
|
کد زیر برای شناسایی IP هایی طراحی شده است که به flag های پروتکل TCP حمله میکنند و یا پورتهایی که سعی دارند، سیستم را چک کنند. با استفاده از کد زیر میکروتیک آنها را شناسایی کرده و پورتهای سیستم را نمایش نمیدهند. در واقع به این شکل شناسایی و لیست کردن آدرس آی پیهایی که دارن میکروتیک رو اسکن میکنند در port scanners ذخیره میشود.
|
/ip firewall address-list add list="(Winbox) Kara Liste" comment="(Winbox) Kara Liste"
/ip firewall filter add action=drop chain=input in-interface=WAN comment="(Winbox) Kara Liste icerisindeki herkesi engeller." log=yes log-prefix="KL_(Winbox) Kara Liste" src-address-list="(Winbox) Kara Liste" add action=jump chain=input in-interface=WAN comment="(Winbox) Kara Liste Zinciri Atlama Kurali." dst-port=8291 jump-target="(Winbox) Kara Liste Zinciri" protocol=tcp add in-interface=WAN action=add-src-to-address-list address-list="(Winbox) Kara Liste" address-list-timeout=4w2d chain="(Winbox) Kara Liste Zinciri" comment="Tekrar eden girisimleri (Winbox) Seviye-3 Takip Listesinden (Winbox) Kara Liste icerisine tasir." connection-state=new log=yes log-prefix="Winbox) Kara Listeye Eklendi" src-address-list="(Winbox) Seviye-3 Takip Listesi" add in-interface=WAN action=add-src-to-address-list address-list="(Winbox) Seviye-3 Takip Listesi" address-list-timeout=1m chain="(Winbox) Kara Liste Zinciri" comment="Tekrar eden girisimleri 1 dakikaliginia (Winbox) Seviye-3 Takip Listesi icerisine ekler." connection-state=new log=yes log-prefix="Seviye-3(Winbox) Takip Listesine eklendi" src-address-list="(Winbox) Seviye-2 Takip Listesi" add in-interface=WAN action=add-src-to-address-list address-list="(Winbox) Seviye-2 Takip Listesi" address-list-timeout=1m chain="(Winbox) Kara Liste Zinciri" comment="Tekrar eden girisimleri 1 dakikaliginia (Winbox) Seviye-2 Takip Listesi icerisine ekler." connection-state=new log=yes log-prefix="Seviye-2(Winbox) Takip Listesine eklendi" src-address-list="(Winbox) Seviye-1 Takip Listesi" add in-interface=WAN action=add-src-to-address-list address-list="(Winbox) Seviye-1 Takip Listesi" address-list-timeout=1m chain="(Winbox) Kara Liste Zinciri" comment="Tekrar eden girisimleri 1 dakikaliginia (Winbox) Seviye-1 Takip Listesi icerisine ekler." connection-state=new log=yes log-prefix="Seviye-1(Winbox) Takip Listesine eklendi" add action=return chain="(Winbox) Kara Liste Zinciri" comment="(Winbox) Kara Liste Zincirinden donenler." |
سپس با وارد کردن دستور زیر شما به میکروتیک خود اجازه خواهید داد که تمامی آدرس IP های ذخیره شده در این لیست را Drop نمایید. بنابراین پس از وارد کردن دستورات بالا، دستور زیرا هم دقیقا به همین شکل وارد کنید.
|
/ ip firewall address-list add list = "Black List (Port Scanner WAN)" comment = "Black List (Port Scanner WAN)" / ip firewall filter Add action = drop chain = input in-interface = WAN comment = "(Port Scanner WAN) Block everyone in the Black List." log-yes-log-prefix = "KL_ (Port Scanner WAN) Black List" src-address-list = "(Port Scanner WAN) Black List" add action = drop chain = forward in-interface = WAN comment = "(Port Scanner WAN) Block everyone in the Black List." log-yes-log-prefix = "KL_ (Port Scanner WAN) Black List" src-address-list = "(Port Scanner WAN) Black List" add-in-interface = WAN action = add-src-to-address-list address-list = "Black List (Port Scanner WAN)" address-list-timeout = 4w2d chain = input comment = "IP addresses that scan TCP ports Scanner WAN) Adds to Blacklist and blocks for 30 days "log = yes log-prefix =" (Port Scanner WAN) is added to Blacklist "protocol = tcp psd = 21.3s, 3.1 |
بعد از اتمام کار شما دستورات در صفحه firewall مربوط به میکروتیک اضافه میشود و هکرها به مدت 30 روز مسدود میشود.
سخن پایانی
در آخر باید بگوییم که اگر میخواهید میکروتیک شما در امنیت کامل وظیفه توزیع اینترنت در شبکههای داخلی را انجام دهد، باید حتما پورت اسکنرها را ببندید تا به این شکل هکرها خیلی راحت امکان نفوذ به شبکه شما را نداشته باشند. در این مقاله سعی کردیم راهکارهای موجود برای بستن پورت اسکنرها در میکروتیک را با جزئیات با شما در میان بگذاریم تا امنیت شبکه خود را با استفاده از این راهکارهای کاربردی حفظ کنید.
سوالات متداول
چطور پورت اسکنرها را ببندیم؟
استفاده یک فایروال قوی میتواند از دسترسی غیرمجاز به شبکه خصوصی یک کسب و کار جلوگیری کند.
چطور یک پورت را ببندیم؟
بهترین راهکار برای بستن پورتهای بدون استفاده، از طریق خود روتر است. برای این کار باید به قسمت تنظیمات روتر شبکه خود بروید و تمامی اطلاعات مربوط به IP ها را چک کنید.
برای مخفی ماندن از هکرها و جلوگیری از نفوذ آنها به شبکه چه کارهایی میتوان انجام داد؟
بستن پورتهای ورودی و خروجی، یعنی بستن پورتهایی که از اینترنت و از داخل شبکه قابل مشاهده است.
چطور از هک شدن میکروتیک جلوگیری کنیم؟
برای جلوگیری از هک میکروتیک، بستن پورت اسکن (Port Scan) و پورت اسکنرها اهمیت بالایی دارد و در جلوگیری از هک بسیار راهکار موثری است.
