چند روزی است طبق گزارشات و آمار به دست رسیده، حملات بر روی میکروتیک بسیار شایع شده است، لذا شروع به تهیه و تنظیم راهکاری نمودیم تا بتوانیم جلوی اینگونه حملات و نفوذها را بگیریم و در بیان ساده تر باید بگویم امنیت در میکروتیک – جلوگیری از هک شدن میکروتیک را ایجاد کنیم.
تا به حال بنده با دو میکروتیک مورد نفوذ قرار گرفته مواجه شدم، که هر دو با روشهای متفاوت از هم اما عمکرد مشابه، شروع به ارسال پکتهای وب یا همان HTTP و یا HTTPS به یک سرور راه اندازی شده توسط هکر و در نهایت سرقت اطلاعات میکردند. نکته ی بسیار با اهمیت آن است که اگر روتری که امنیت در میکروتیک را انجام نداده باشند، مورد حمله و نفوذ قرار گرفته و تمامی شبکه را شروع به مانیتور کردن و همچنین سرقت اطلاعات مینمایند، و شاید تا روزها شما متوجه اسکریپتها و mangle های نوشته شده توسط هکر نباشید.
امنیت در میکروتیک که دارای ip valid است، بسیار بسیار ضروری و حیاتی است،
با استفاده از اسکریپتهای زیر که از سایتهای معتبر و با استفاده از کمی تجربه دستکاری شده اند، میتوانید روتر خود را بسیار امن تر از سابق نمایید. در ادامه با انتشار یک ویدیو و استفاده از یک راهکار جدید جهت جلوگیری از هک شدن میکروتیک و بالاخص winbox، امیدواریم تا قدمی هرچند کوچک در راستای پیشرفت سطح امنیت داشته باشیم.
فیلترهای مورد نیاز جهت امنیت در میکروتیک
add action=add-src-to-address-list address-list=Invalid_stage1 address-list-timeout=1m chain=forward connection-state=invalid add action=drop chain=input src-address-list=Invalid_BlackList add action=add-src-to-address-list address-list=Invalid_BlackList address-list-timeout=1d chain=input connection-state=invalid src-address-list=Invalid_stage4 add action=add-src-to-address-list address-list=Invalid_stage4 address-list-timeout=1m chain=input connection-state=invalid src-address-list=Invalid_stage3 add action=add-src-to-address-list address-list=Invalid_stage3 address-list-timeout=1m chain=input connection-state=invalid src-address-list=Invalid_stage2 add action=add-src-to-address-list address-list=Invalid_stage2 address-list-timeout=1m chain=input connection-state=invalid src-address-list=Invalid_stage1 add action=add-src-to-address-list address-list=Invalid_stage1 address-list-timeout=1m chain=input connection-state=invalid add action=drop chain=input comment="dropping port scanners" src-address-list="port scanners" add action=drop chain=forward comment="dropping port scanners" src-address-list="port scanners" add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Port scanners to list " protocol=tcp psd=21,3s,3,1 add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 protocol=tcp src-address-list=ftp_blacklist add action=accept chain=output content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h chain=output content="530 Login incorrect" protocol=tcp add action=drop chain=forward comment="drop ssh brute forcers" src-address-list=ssh_blacklist add action=drop chain=input comment="drop ssh brute forcers" src-address-list=ssh_blacklist add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3 add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp add action=drop chain=forward comment="drop RDP brute forcers" src-address-list=RDP_blacklist add action=drop chain=input comment="drop RDP brute forcers" src-address-list=RDP_blacklist add action=add-src-to-address-list address-list=RDP_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=3389 protocol=tcp src-address-list=RDP_stage3 add action=add-src-to-address-list address-list=RDP_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=3389 protocol=tcp src-address-list=RDP_stage2 add action=add-src-to-address-list address-list=RDP_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=3389 protocol=tcp src-address-list=RDP_stage1 add action=add-src-to-address-list address-list=RDP_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=3389 protocol=tcp add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input comment="Add Syn Flood IP to the list" connection-limit=30,32 protocol=tcp tcp-flags=syn add action=drop chain=input comment="Drop to syn flood list" src-address-list=Syn_Flooder add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment="Port Scanner Detect" protocol=tcp psd=21,3s,3,1 add action=drop chain=input comment="Drop to port scan list" src-address-list=Port_Scanner add action=drop chain=input comment="drop invalid connections" connection-state=invalid add action=drop chain=forward comment="drop invalid connections" connection-state=invalid add action=accept chain=forward comment=AllowTrafic connection-mark=AllowTrafic add action=drop chain=forward comment=DropAnotherTrafic
با استفاده از راهکار ارائه شده در فایل ویدیویی زیر، میتوانید نکات امنیتی و همچنین استفاده از اسکریپت بالا را آموزش ببینید، همچنین در ویدیوی زیر، راهکار جدید جهت جلوگیری از هک شدن میکروتیک و بالاخص winbox به حضورتان ارائه گردیده است.
باتشکر از آموزش عااااالیتون که بسیار مفید و ارزشمند بود
موفق باشین
بسیار عالی و اموزنده سپاااس
صلاح میدونید پورت WinBox هم تغییر داده بشود؟
فوق العاده مهندس ممنون
واقعا عالی بود ، ممنون از آموزش مفیدتون
ممنونم از مطلب مفیدتون .
با عرض سلام و خسته نباشید خدمت مهندس پژوم و تشکر از ویدئو خوبشون در تکمیل فرمایشات ایشون
1-اول از همه روترos خودتون update به جدیدترین نسخه stable یا long term به روز کنید
2-در قسمت ip ->services میتونید در قسمت avaliable اون قسمت ip خودتون بدین تا فقط از اون ip وصل بشین
با تشکر از مهندس پژوم
یه مورد بسیار حیاتی در باره drop
همانطور میدانید در دراپ پون پکت ها ازش عبور میکنن حجم بسیاز زیادی از ترافیک و سی پی رو اشغال میکنه که این خود یک نو هک محسوب میشه
به نظر شما بهتر نیست همه drop ها رو به tarpit تبدیل کنید که بار اضافی ناشی از عبور پکت ها گرفته بشه ؟
خیلی ممنون از راهنماییتان
پس مهندس پژوم گرامی به نظر شما من میتونم همه رول هایی که drop کردیم رو تبدیل کنم به tarpit مشکلی پیش نمیاد ؟
سلام مهمندس
امروز متوجه شدم وقتی کل اسکریپت هایی که زحمت کشیدید رو کپی میکنم و درون میکروتیک پیست میکنم رول drop onother trafic رو درج نمیکنه
یا اگرم درج کنه نشونش نمیده لطفا برسی کنید
با تشکر
سلام مهندس
خط آخر add action=drop chain=forward comment=DropAnotherTrafic
وقتی در حالت اجرا باشه دیگه نه میشه از بیرون به دوربین های مدار بسته نه ریموت دسکتاپ نه به میکروتیک دسترسی داشت ولی وقتی دیزیبل میکنم به همه این ها از بیرون می تونم دست رسی داشته باشم
میشه راهنمایی کنید
با تشکر از شما
سلام مهندس
فیلم ویدیویی حذف شده ؟
با تشکر از شما
مهندس با راهنمایی هیا شما مشکل حل شد
خیلی خیلی لطف کردید که قابل جبران نیست
با سلام
بسیار ممنون
پاینده و پیروز و سلامت باشید مهندس عزیز
هر کاری میکنم کلمه ای پیدا نمیکنم برای تشکر از شما . لذا فقط میتوانم بگویم خدا شما رو بیش از این عاقبت به خیر کند.
با سلام
این اسکریپتا رو که اظافه میکنیم hotspot میکروتیک از کار میوفته باید چیکار کنیم؟
سلام و ادب
سپاس از آموزش خوب شما . کاش ادامه دار بود
استاد با این رول ها که نوشته شده اگر ما Nat تعریف کنیم پورت هاش باز نمی شه . راه حل چیه؟
سپاس از شما
سلام مهندس پژوم عزیز و توانا
سپاسگزارم از آموزش بسیار عالیتون
همه رولهارو اد کردم و اینترنت از کلاینتها کاملا قطع شد
منگل و نت هم نوشتم اما متاسفانه وصل نشد
امکان داره راهنمایی کنید
با تشکر از شما استاد گرامی
سپاس از آموزش خوب شما . کاش ادامه دار بود
استاد با این رول ها که نوشته شده اگر ما Nat تعریف کنیم پورت هاش باز نمی شه . راه حل چیه؟
سپاس از شما