آموزش

تنظیمات امنیتی اولیه در میکروتیک

پنجره افزودن گروه جدید در بخش system users پنل winbox- تنظیمات امنیتی اولیه در میکروتیک
03 آگوست

مقدمه

در این مقاله قصد داریم تنظیمات امنیتی اولیه در میکروتیک را پیاده سازی کنیم تا از حملات بسیاری جلوگیری شود.

 

در ابتدا وارد پنل winbox میکروتیک میشویم. آیپی دیفالت میکروتیک 192.168.88.1 میباشد مگر اینکه دسخوش تغییر شده باشد. پنل winbox میکروتیک پسوورد پیشفرضی ندارد

بهتر است که میکروتیک را به اینترنت متصل نکنیم تا تنظیمات امنیتی اولیه اعمال شود

 

بخش سرویس ها

ابتدا وارد بخش ip , services میشویم.

بخش ip services در پنل winbox میکروتیک

 

 

این بخش سرویس ها (پورت هایی) که در میکروتیک وجود دارد برای عملیات خاصی را مشاهده میکنید

 

بخش پورت های میکروتیک

در قسمت api  پورت پیشفرض 8728 میباشد. این سرویس برای انجام عملیات automation و یا crm مورد استفاده قرار میگیرد.

api-ssl هم در پورت 8729 ایفای نقش میکند. تفاوت این سرویس با سرویس api داشتن گواهی ssl است که ارتباط بین سیستم نرم افزاری و میکروتیک را رمزنگاری میکند.

ftp سرویس ارسال اطلاعات کم حجم از طریق میکروتیک است. این سرویس به صورت پیشفرض بر روی پورت 21 کار میکند.

telnet دسترسی به محیط کامند میکروتیک را فراهم میکند که به صورت پیشفرض بر روی پورت 23 سرویس میدهد.

ssh هم مانند telnet برای دسترسی به محیط کامند میکروتیک استفاده میشود.به صورت کلی پورت پیشفرض ssh عدد  22 میباشد.

تفاوت ssh و telnet این است که سرویس telnet امنیت کمتری دارد و رمزنگاری نمیشود.

سرویس winbox که به صورت پیشفرض  بر روی پورت 8291 کار میکند برای دسترسی به پنل winbox میکروتیک مورد استفاده قرار میگیرد.

سرویس www هم به صورت پیشفرض بر روی پورت 80 کار میکند. این سرویس برای دسترسی به پنل وب میکروتیک استفاده میشود.

سرویس www-ssl هم مانند www محیط وب پنل میکروتیک را فراهم میکند با این تفاوت که باید برای آن گواهی  ssl تهیه کرد. نتیجه این کار رمزنگاری شدن ترافیک درون پنل وب میکروتیک است.

 

اعمال تغییرات در قسمت سرویس ها

به صورت پیشفرض پورت های api, api-ssl, ,ftp, telnet, ssh را میبندیم .

بیشترین حملات از طریق پورت 22 و 23 (از سرویس های telnet و ssh ) میباشد. که باید محدودیت مناسبی بر روی آنها اعمال کرد. 

اگر از این سرویس ها استفاده نمیکنید آن را ببندید.

ما در اینجا فرض کردیم که قرار است  از سرویس ssh استفاده کنیم.

بر روی این سرویس کلیک میکنیم.

پورت پیشفرض را از 22 به 5645 تغییر میدهیم. فرقی نمیکند چه عددی را در نظر میگیریم. فقط باید پورت پیشفرض تغییر کند.

حالا دسترسی به این سرویس را از طریق آیپی ها محدود میکنیم.

میتوانیم هر تعداد که میخواهیم آیپی اضافه کنیم. یا به صورت رنج آیپی بدهیم.

برای مثال در تصویر پایین من آیپی 192.168.110.0/24  را وارد کردم که یعنی 256 هاست.

یک آیپی دیگر هم وارد کردم. 172.20.100.4 به طور مثال فرض میکنیم که آیپی خاصی است که فقط از طریق وی پی ان وارد این رنج میشود.

مخدود کردن دسترسی به پورت ssh با استفاده از آدرس آیپی

تنظیمات مربوط به ایجاد پسوورد

 

بخش system password در پنل میکروتیک

وارد قسمت system password میشویم.

پسووردی برای ورود به پنل میکروتیک در winbox اعمال میکنیم

پنجره مربوط به پسوورد میکروتیک

 

تنظیمات سطح دسترسی یوزر های پنل winbox

بخش system users در میکروتیک

 

با پنجره زیر رو به رو میشویم.

اعمال محدودیت دسترسی در یوزر admin پنل winbox میکروتیک

در قسمت Allowed Address آیپی مورد نظر خود را وارد میکنیم.

درواقع کاری که این آیپی انجام میدهد ایجاد محدودیت برای دسترسی به پنل winbox به صورت admin است.

فقط این آیپی میتواند وارد شود

در صورت مغایرت با ارور wrong username or password  رو به رو میشویم. این یک مزیت است برای افرادی متفرقه که هدفشان کرک کردن پسوورد پنل و ورود غیر مجاز است.

با این ارور مواجه میشوند و به اشتباه فکر میکنند که اطلاعات مربوط به user یا password  اشتباه است.

 

میتوانیم یوزر های دیگری با سطح دسترسی خاص اضافه کنیم.

تیظیمات مربوط به سطح دسترسی یوزر ها به پنل winbox میکروتیک

 

در تب users روی گزینه + کلیک میکنیم. پنجره جدیدی باز میشود. در این پنجره نام یوز را وارد میکنیم.

در بخش Group سطح دسترسی یوزر را تعیین میکنیم.

پسووردی برای یوزر اعمال میکنیم.

میتوانیم گروه جدیدی هم ایجاد کنیم.

 

نحوه ایجاد گروه در قسمت users

در همان بخش system users، در تب groups گزینه های پیشفرضی مشاهده میکنیم. (full, read, write)

تب groups در بخش system users

برای ساختن گروه جدید بر روی گزینه + کلیک میکنیم.

پنجره جدیدی باز میشود.پنجره افزودن گروه جدید در بخش system users پنل winbox

در این قسمت میتوانیم سطح دسترسی گروه جدید به سرویس ها را تنظیم کنیم.

سطح دسترسی policies برای اعمال پالسی های مختلف بر روی میکروتیک است

بخش sensitive دسترسی به اطلاعات حساس را رقم میزند.

بخش rommon در واقع استفاده از پروتکل rommon برای اتصال از بیرون شبکه  به دستگاه میکروتیک است.

حالا در بخش یوزر میتوانیم به یوزر جدید سطح دسترسی جدیدی که ساختیم اختصاص بدهیم.

 

در آخر وارد بخش ip dns میشویم.

بخش ip dns در پنل winbox میکروتیک

 

سپس تیک گزینه Allow Remote Requests را برمیداریم.

سخن پایانی

در این مقاله تنظیمات امنیتی اولیه مربوط دستگاه میکروتیک را انجام دادیم.

لازم به ذکر است که ایچاد امنیت در هیچ دستگاهی که حاوی سیستم عامل و یا سیگنال باشد ۱۰۰ درصد نیست و همیشه راهی دیگر برای دور زدن محدودیت ها وجود دارد.

ولی با اعمال این محدودیت ها دسترسی های سخت تر میشود و میتوان از بسیاری از حملات جلوگیری کرد.

 

منابع بیشتر برای مطالعه

آموزش نحوه تغییر آیپی کارت شبکه در ویندوز و لینوکس

جدیدتر برنامه Eshare
بازگشت به لیست
قدیمی تر دستورات مهم سوئیچ سیسکو

5 دیدگاه در “تنظیمات امنیتی اولیه در میکروتیک

  1. baniminator گفت:
    آگوست 3, 2024 در 11:31 ق.ظ

    فوق العاده بود, بازم اموزش بزارین 🔥❤️

    پاسخ
    1. علی توکلی گفت:
      آگوست 3, 2024 در 11:37 ق.ظ

      چشم. خوشحالم که لذت بردید

      پاسخ
  2. rezaalipoor1212 گفت:
    آگوست 3, 2024 در 11:37 ق.ظ

    ممنونم

    پاسخ
    1. علی توکلی گفت:
      آگوست 3, 2024 در 11:40 ق.ظ

      خواهش میکنم

      پاسخ
  3. mohammad77 گفت:
    آگوست 3, 2024 در 11:44 ق.ظ

    مفید بود

    پاسخ

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *