امنیت در میکروتیک – جلوگیری از هک شدن میکروتیک

چند روزی است طبق گزارشات و آمار به دست رسیده، حملات بر روی میکروتیک بسیار شایع شده است، لذا شروع به تهیه و تنظیم راهکاری نمودیم تا بتوانیم جلوی اینگونه حملات و نفوذها را بگیریم و در بیان ساده تر باید بگویم امنیت در میکروتیک – جلوگیری از هک شدن میکروتیک را ایجاد کنیم.

تا به حال بنده با دو میکروتیک مورد نفوذ قرار گرفته مواجه شدم، که هر دو با روشهای متفاوت از هم اما عمکرد مشابه، شروع به ارسال پکتهای وب یا همان HTTP و یا HTTPS به یک سرور راه اندازی شده توسط هکر و در نهایت سرقت اطلاعات میکردند. نکته ی بسیار با اهمیت آن است که اگر روتری که امنیت در میکروتیک را انجام نداده باشند، مورد حمله و نفوذ قرار گرفته و تمامی شبکه را شروع به مانیتور کردن و همچنین سرقت اطلاعات مینمایند، و شاید تا روزها شما متوجه اسکریپتها و mangle های نوشته شده توسط هکر نباشید.

امنیت در میکروتیک که دارای ip valid است، بسیار بسیار ضروری و حیاتی است،

با استفاده از اسکریپتهای زیر که از سایتهای معتبر و با استفاده از کمی تجربه دستکاری شده اند، میتوانید روتر خود را بسیار امن تر از سابق نمایید. در ادامه با انتشار یک ویدیو و استفاده از یک راهکار جدید جهت جلوگیری از هک شدن میکروتیک و بالاخص winbox، امیدواریم تا قدمی هرچند کوچک در راستای پیشرفت سطح امنیت داشته باشیم.

فیلترهای مورد نیاز جهت امنیت در میکروتیک

add action=add-src-to-address-list address-list=Invalid_stage1 address-list-timeout=1m chain=forward connection-state=invalid
add action=drop chain=input src-address-list=Invalid_BlackList
add action=add-src-to-address-list address-list=Invalid_BlackList address-list-timeout=1d chain=input connection-state=invalid src-address-list=Invalid_stage4
add action=add-src-to-address-list address-list=Invalid_stage4 address-list-timeout=1m chain=input connection-state=invalid src-address-list=Invalid_stage3
add action=add-src-to-address-list address-list=Invalid_stage3 address-list-timeout=1m chain=input connection-state=invalid src-address-list=Invalid_stage2
add action=add-src-to-address-list address-list=Invalid_stage2 address-list-timeout=1m chain=input connection-state=invalid src-address-list=Invalid_stage1
add action=add-src-to-address-list address-list=Invalid_stage1 address-list-timeout=1m chain=input connection-state=invalid
add action=drop chain=input comment="dropping port scanners" src-address-list="port scanners"
add action=drop chain=forward comment="dropping port scanners" src-address-list="port scanners"
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=output content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h chain=output content="530 Login incorrect" protocol=tcp
add action=drop chain=forward comment="drop ssh brute forcers" src-address-list=ssh_blacklist
add action=drop chain=input comment="drop ssh brute forcers" src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp
add action=drop chain=forward comment="drop RDP brute forcers" src-address-list=RDP_blacklist
add action=drop chain=input comment="drop RDP brute forcers" src-address-list=RDP_blacklist
add action=add-src-to-address-list address-list=RDP_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=3389 protocol=tcp src-address-list=RDP_stage3
add action=add-src-to-address-list address-list=RDP_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=3389 protocol=tcp src-address-list=RDP_stage2
add action=add-src-to-address-list address-list=RDP_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=3389 protocol=tcp src-address-list=RDP_stage1
add action=add-src-to-address-list address-list=RDP_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=3389 protocol=tcp
add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input comment="Add Syn Flood IP to the list" connection-limit=30,32 protocol=tcp tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment="Port Scanner Detect" protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" src-address-list=Port_Scanner
add action=drop chain=input comment="drop invalid connections" connection-state=invalid
add action=drop chain=forward comment="drop invalid connections" connection-state=invalid
add action=accept chain=forward comment=AllowTrafic connection-mark=AllowTrafic
add action=drop chain=forward comment=DropAnotherTrafic

با استفاده از راهکار ارائه شده در فایل ویدیویی زیر، میتوانید نکات امنیتی و همچنین استفاده از اسکریپت بالا را آموزش ببینید، همچنین در ویدیوی زیر، راهکار جدید جهت جلوگیری از هک شدن میکروتیک و بالاخص winbox به حضورتان ارائه گردیده است.

راهکار جدید جهت جلوگیری از هک شدن میکروتیک

بازدیدکنندگان قبلی این مطالب را نیز خوانده اند:

18 دیدگاه در “امنیت در میکروتیک – جلوگیری از هک شدن میکروتیک

  • باتشکر از آموزش عااااالیتون که بسیار مفید و ارزشمند بود
    موفق باشین

    پاسخ

  • بسیار عالی و اموزنده سپاااس
    صلاح میدونید پورت WinBox هم تغییر داده بشود؟

    پاسخ

  • با عرض سلام و خسته نباشید خدمت مهندس پژوم و تشکر از ویدئو خوبشون در تکمیل فرمایشات ایشون
    1-اول از همه روترos خودتون update به جدیدترین نسخه stable یا long term به روز کنید
    2-در قسمت ip ->services میتونید در قسمت avaliable اون قسمت ip خودتون بدین تا فقط از اون ip وصل بشین

    پاسخ

  • با تشکر از مهندس پژوم

    یه مورد بسیار حیاتی در باره drop

    همانطور میدانید در دراپ پون پکت ها ازش عبور میکنن حجم بسیاز زیادی از ترافیک و سی پی رو اشغال میکنه که این خود یک نو هک محسوب میشه

    به نظر شما بهتر نیست همه drop ها رو به tarpit تبدیل کنید که بار اضافی ناشی از عبور پکت ها گرفته بشه ؟

    پاسخ

  • خیلی ممنون از راهنماییتان

    پس مهندس پژوم گرامی به نظر شما من میتونم همه رول هایی که drop کردیم رو تبدیل کنم به tarpit مشکلی پیش نمیاد ؟

    پاسخ

  • سلام مهمندس

    امروز متوجه شدم وقتی کل اسکریپت هایی که زحمت کشیدید رو کپی میکنم و درون میکروتیک پیست میکنم رول drop onother trafic رو درج نمیکنه
    یا اگرم درج کنه نشونش نمیده لطفا برسی کنید

    با تشکر

    پاسخ

  • سلام مهندس

    خط آخر add action=drop chain=forward comment=DropAnotherTrafic

    وقتی در حالت اجرا باشه دیگه نه میشه از بیرون به دوربین های مدار بسته نه ریموت دسکتاپ نه به میکروتیک دسترسی داشت ولی وقتی دیزیبل میکنم به همه این ها از بیرون می تونم دست رسی داشته باشم

    میشه راهنمایی کنید

    با تشکر از شما

    پاسخ

  • با تشکر از شما

    مهندس با راهنمایی هیا شما مشکل حل شد

    خیلی خیلی لطف کردید که قابل جبران نیست

    پاسخ

  • با سلام
    بسیار ممنون
    پاینده و پیروز و سلامت باشید مهندس عزیز

    پاسخ

  • هر کاری میکنم کلمه ای پیدا نمیکنم برای تشکر از شما . لذا فقط میتوانم بگویم خدا شما رو بیش از این عاقبت به خیر کند.

    پاسخ

  • با سلام
    این اسکریپتا رو که اظافه میکنیم hotspot میکروتیک از کار میوفته باید چیکار کنیم؟

    پاسخ

  • سلام و ادب
    سپاس از آموزش خوب شما . کاش ادامه دار بود
    استاد با این رول ها که نوشته شده اگر ما Nat تعریف کنیم پورت هاش باز نمی شه . راه حل چیه؟
    سپاس از شما

    پاسخ

  • سلام مهندس پژوم عزیز و توانا
    سپاسگزارم از آموزش بسیار عالیتون
    همه رولهارو اد کردم و اینترنت از کلاینتها کاملا قطع شد
    منگل و نت هم نوشتم اما متاسفانه وصل نشد
    امکان داره راهنمایی کنید
    با تشکر از شما استاد گرامی

    پاسخ

  • سپاس از آموزش خوب شما . کاش ادامه دار بود
    استاد با این رول ها که نوشته شده اگر ما Nat تعریف کنیم پورت هاش باز نمی شه . راه حل چیه؟
    سپاس از شما

    پاسخ

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *