مستندات فنی

مقاوم‌سازی روترهای میکروتیک

میکروتیک سیستم‌عامل مبتنی بر لینوکس است که با عنوان MikroTik RouterOS  نیز شناخته می‌شود. این سیستم‌عامل با نصب بر روی سخت‌افزار اختصاصی شرکت میکروتیک یا بر روی رایانه‌های استاندارد مبتنی بر x86، سخت‌افزار را به یک مسیریاب شبکه تبدیل می‌کند و بسیاری از ویژگی‌های اضافه گوناگون مانند دیواره آتش، خدمات دهنده و سرویس‌گیرنده شبکه خصوصی مجازی (VPN) و ارتقادهنده کیفیت خدمات پهنای باند را ارائه می‌دهد. در این مقاله راه‌های محافظت و پیکربندی‌های امن روترهای میکروتیک ارائه می‌گردد. این گام‌ها عبارت‌اند از:

به‌روزرسانی نسخه سیستم‌عامل

ازآنجاکه برخی از نسخه‌های قدیمی دارای نقاط ضعف یا آسیب‌پذیری خاصی می‌باشند نخستین عمل جهت امن‌سازی روتر های میکروتیک ارتقاء و به‌روزرسانی نسخه سیستم‌عامل روتر است. بنابراین توصیه می‌شود برای رعایت اصول امنیتی همواره آخرین نسخه نصب و به‌روزرسانی شود.

اعمال محدودیت به روتر برد میکروتیک

این محدودیت شامل اعمال محدودیت در دسترسی کاربر و محدودیت در اتصال توسط یک آدرس آی‌پی خاص است.

گام دیگر جهت امن کرد روتر برد تغییر نام کاربری پیش‌فرض است. در روتر برد میکروتیک نام کاربری پیش‌فرض admin است که تغییر و حذف آن می‌تواند باعث افزایش امنیت شود. در ادامه نحوه پیکربندی این مورد مشاهده می‌شود. توجه نمایید که از نام کاربری و کلمه عبور امن استفاده شود.

/user add name=myname password=mypassword group=full
/user remove admin

لاوه بر وجود فایروال پیش‌فرض که دسترسی غیرمجاز به روتر را محافظت می‌نماید می‌توان امکان دسترسی کاربر را به آدرس IP خاص محدود کرد.

/user set 0 allowed-address=x.x.x.x/yy

x.x.x.x/yy یک آدرس آی‌پی یا محدوده‌ای از آدرس‌های آی‌پی است که امکان دسترسی به روتر را دارا می‌باشند.

اعمال تنظیمات امنیتی برای سرویس‌های روتر میکروتیک

عملیات مدیریتی روتر بایستی توسط سرویس‌های امن مانند SSH، Winbox امن و HTTPS انجام گردد. همچنین برای رعایت مسائل امنیتی بایستی از آخرین نسخه Winbox استفاده شود. برای مشاهده سرویس‌های مدیریتی موجود در روتر های میکروتیک می‌توان از دستور زیر استفاده نمود:

/ip service print

بایستی توجه شود که سرویس‌های مدیریتی امن نگهداری شود و سرویس‌های ناامن غیرفعال شود برای انجام این کار از دستور زیر استفاده می‌شود:

/ip service disable telnet,ftp,www,api,api-ssl
/ip service print

همچنین برای افزایش امنیت روترهای میکروتیک می‌توان شماره پورت سرویس‌های فعال را تغییر داد. به‌عنوان نمونه در دستور زیر شماره پورت سرویس SSH تغییر پیداکرده است. انجام این کار امکان حمله Bruteforce بر روی این سرویس را کاهش می‌دهد:

/ip service set ssh port=2200
/ip service print

همچنین می‌توان سرویس‌های مدیریتی را نیز به آدرس‌های IP خاص محدود کرد:

/ip service set winbox address=192.168.88.0/24

کشف همسایه

در روتر های میکروتیک از پروتکل کشف همسایه برای نشان دادن و تشخیص سایر روترهای میکروتیک در شبکه استفاده می‌شود برای رعایت مسائل امنیتی بایستی پروتکل کشف همسایه بر روی تمامی واسط‌های شبکه غیرفعال گردد.

/ip neighbor discovery-settings set discover-interface-list=none

غیرفعال کردن سرور پهنای باند

سرور پهنای باند برای آزمون توان عملیاتی بین دو روتر میکروتیک استفاده می‌شود که بایستی غیرفعال گردد.

/tool bandwidth-server set enabled=no

غیرفعال کردن DNS cache

در روتر های میکروتیک ممکن است از DNS cache برای کاهش زمان درخواست‌های DNS کاربران استفاده شود. درصورتی‌که این سرویس نیاز نباشد و یا روتر دیگری برای این کار وجود داشته باشد سرویس مربوطه غیرفعال گردد.

/ip dns set allow-remote-requests=no

سرویس‌های Clinet در میکروتیک

در روتر های میکروتیک ممکن است برخی از سرویس‌ها فعال‌شده باشند که در صورت عدم نیاز بایستی غیرفعال گردند.

/ip proxy set enabled=no
/ip socks set enabled=no
/ip upnp set enabled=no
/ip cloud set ddns-enabled=no update-time=no

استفاده از SSH

برای افزایش امنیت دسترسی، از پروتکل SSH استفاده شود.

/ip ssh set strong-crypto=yes

واسط‌های شبکه روتر

برای افزایش امنیت روتر های میکروتیک و جلوگیری از دسترسی افراد غیرمجاز به روتر ها بایستی واسط‌های شبکه بدون استفاده غیرفعال گردند.

/interface print
/interface set x disabled=yes

LCD

برخی از روتر های میکروتیک برای اطلاع‌رسانی بیشتر دارای LCD می‌باشند که جهت افزایش امنیت بایستی رمزی به آن اعمال گردد و یا غیرفعال شوند.

/lcd set enabled=no

دیواره آتش

در روتر های میکروتیک به‌صورت پیش‌فرض دیواره آتش و یا فایروال تنظیم‌شده است که توصیه می‌شود حذف نشود. در ادامه چندین تنظیم برای ایجاد امنیت بیشتر ارائه‌شده است.

  • فایروال IPV4  مربوط به روتر
    • برای کاهش بار در یک روتر اتصالات جدید ایجاد شود.
    • لیست آدرس‌های IP مجاز به دسترسی به روتر ایجاد شود
    • دسترسی ICMP فعال گردد.
    • مابقی دسترسی‌ها حذف گردد.
/ip firewall filter
add action=accept chain=input comment="default configuration" connection-state=established,related
add action=accept chain=input src-address-list=allowed_to_router
add action=accept chain=input protocol=icmp
add action=drop chain=input
/ip firewall address-list
add address=192.168.88.2-192.168.88.254 list=allowed_to_router
  • فایروال IPV4  مربوط به کاربر
    • برای افزایش توان عملیاتی داده‌ها، بسته‌های Established/related به fasttrack اضافه شوند.
    • اتصال نامعتبر قطع گردد و در رویدادها ثبت شود.
    • تلاش برای رسیدن به آدرس‌های غیرعمومی از شبکه محلی قطع گردد.
    • پکت های ورودی که NAT نیستند حذف گردند.
    • بسته‌های ورودی از اینترنت که دارای آدرس‌های IP عمومی نیستند حذف گردند.
    • بسته‌های ورودی از شبکه محلی که دارای آدرس IP شبکه محلی نیستند حذف گردند.
/ip firewall filter
add action=fasttrack-connection chain=forward comment=FastTrack connection-state=established,related
add action=fasttrack-connection chain=forward comment=FastTrack connection-state=established,related
add action=accept chain=forward comment="Established, Related" connection-state=established,related
add action=drop chain=forward comment="Drop invalid" connection-state=invalid log=yes log-prefix=invalid
add action=drop chain=forward comment="Drop tries to reach not public addresses from LAN" dst-address-list=not_in_internet in-interface=bridge1 log=yes log-prefix=!public_from_LAN out-interface=!bridge1
add action=drop chain=forward comment="Drop incoming packets that are not NATted" connection-nat-state=!dstnat connection-state=new in-interface=ether1 log=yes log-prefix=!NAT
add action=drop chain=forward comment="Drop incoming from internet which is not public IP" in-interface=ether1 log=yes log-prefix=!public src-address-list=not_in_internet
add action=drop chain=forward comment="Drop packets from LAN that do not have LAN IP" in-interface=bridge1 log=yes log-prefix=LAN_!LAN src-address=!192.168.88.0/24
/ip firewall address-list
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=not_in_internet

رعایت نکات امنیتی IPv6

بسته IPv6 به‌طور پیش‌فرض در روتر های میکروتیک غیرفعال است و در صورت فعال‌سازی آن بایستی مسائل امنیتی رعایت شود چراکه میکروتیک در حال حاضر هیچ مقررات پیش‌فرض فایروال برای IPv6 ایجاد نمی‌کند.

  • پروتکل کشف همسایه در IPV6 غیرفعال شود
/ipv6 nd set [find] disabled=yes
  • فایروال IPV6  مربوط به روتر
    • بسته‌های جدید و همچنین بسته‌های established/related پذیرش شود
    • آدرس link-local از اینترفیس اینترنت حذف گردد.
    • دسترسی به روتر از آدرس link-local پذیرش شود
    • آدرس‌های multicast برای اهداف مدیریتی پذیرش شود
    • مابقی دسترسی‌ها حذف شوند.
/ipv6 firewall filter
add action=accept chain=input comment="allow established and related" connection-state=established,related
add chain=input action=accept protocol=icmpv6 comment="accept ICMPv6"
add chain=input action=accept protocol=udp port=33434-33534 comment="defconf: accept UDP traceroute"
add chain=input action=accept protocol=udp dst-port=546 src-address=fe80::/16 comment="accept DHCPv6-Client prefix delegation."
add action=drop chain=input in-interface=sit1 log=yes log-prefix=dropLL_from_public src-address=fe80::/16
add action=accept chain=input comment="allow allowed addresses" src-address-list=allowed
add action=drop chain=input
/ipv6 firewall address-list
add address=fe80::/16 list=allowed
add address=xxxx::/48 list=allowed
add address=ff02::/16 comment=multicast list=allowed
  • فایروال IPV6 مربوط به کاربر
    • بسته‌های جدید و همچنین بسته‌های established/related پذیرش شود
    • بسته‌های نامعتبر حذف گردد
    • بسته‌های ICMP پذیرش شود
    • اتصال جدید از سمت کاربر به اینترنت پذیرش شود
    • مابقی دسترسی‌ها حذف گردد.
/ipv6 firewall filter
add action=accept chain=forward comment=established,related connection-state=established,related
add action=drop chain=forward comment=invalid connection-state=invalid log=yes log-prefix=ipv6,invalid
add action=accept chain=forward comment=icmpv6 in-interface=!sit1 protocol=icmpv6
add action=accept chain=forward comment="local network" in-interface=!sit1 src-address-list=allowed
add action=drop chain=forward log-prefix=IPV6

مطالب مرتبط:
۴۱۵۰۰۰ مسیریاب آلوده، میکروتیک هدف اصلی
مهاجمان از هزاران روتر میکروتیک وصله نشده ترافیک را به آی‌پی‌های تحت کنترل مهاجم ناشناخته ارسال می‌کنند
آسیب پذیری منع سرویس MikroTik – ویدیو

منبع: MikroTik


مقاوم‌سازی روترهای میکروتیک

آگاهی رسانی، پشتیبانی و امداد رایانه‌ای در حوزه امنیت فضای تبادل اطلاعات

cert.znu.ac.ir
certoffice@znu.ac.ir
TelFax: 024-33054210

خدمات مرکز آپا:


  • آزمون نفوذ و کشف آسیب پذیری
  • رسیدگی به حوادث شبکه‌های رایانه‌ای
  • ارائه مشاوره در زمینه امنیت
  • ارزیابی امنیت و صدور گواهی‌نامه
  • امن‌سازی اتوماسیون صنعتی
  • انجام طرح‌های پژوهشی در زمینه امنیت
  • برگزاری دوره‌های تخصصی آموزشی ویژه مدیران و کارشناسان سازمان‌ها
To Top