آموزش هاردنینگ میکروتیک| ۱۰ قدم حیاتی برای امنیت روتر

در دنیای پرمخاطره امنیت شبکه امروز (به‌ویژه در سال ۲۰۲۶ با رشد چشمگیر هوش مصنوعی در حملات سایبری)، کانفیگ اولیه روتر اصلاً کافی نیست. برای محافظت از شبکه، شما به هاردنینگ میکروتیک (MikroTik Hardening) نیاز دارید.

هدف آموزشی مجموعه هریتک از این مقاله چیست؟ ما در مجموعه هریتک معتقدیم که دانش امنیت باید در دسترس همه باشد. هدف ما از این محتوا، آموزش کاربردی و گام‌به‌گام هاردنینگ میکروتیک برای متخصصان و دانشجویان IT است تا با مفاهیم پایه‌ای و پیشرفته امنیتی آشنا شوند. چه در حال یادگیری باشید و چه مسئولیت پشتیبانی شبکه یک سازمان بزرگ را بر عهده داشته باشید، این مقاله با راهنمایی کامل، نیاز شما را برطرف خواهد کرد.

پس بیایید با هم این ۱۰ قدم حیاتی را برداریم.

 فهرست مطالب:

  • هاردنینگ میکروتیک چیست و چرا اهمیت دارد؟
  • قدم اول تا دهم… (لینک‌دار شود به تیترهای پایین)
  • جمع‌بندی

هاردنینگ میکروتیک چیست و چرا اهمیت دارد؟

هاردنینگ (Hardening) در فناوری اطلاعات به معنای کاهش سطح حمله (Attack Surface) است. هر پورت باز، هر سرویس غیرضروری و هر رمز عبور ساده، یک درِ باز برای هکرهاست. با انجام هاردنینگ، ما این درها را قفل می‌کنیم و فقط به افراد مجاز اجازه ورود می‌دهیم.

 قدم اول: تغییر کاربر پیش‌فرض (Admin) و ساخت کاربر جدید

هکرها می‌دانند که نام کاربری پیش‌فرض میکروتیک admin است. پس نیمی از راه را برای هک کردن شما رفته‌اند! اولین قدم، ساخت یک کاربر با دسترسی کامل (Full) و غیرفعال کردن کاربر ادمین است.

  • آموزش در وین‌باکس (Winbox):به مسیر System > Users بروید. با زدن دکمه (+) یک کاربر جدید بسازید و گروه (Group) آن را روی full قرار دهید. سپس روی کاربر admin کلیک راست کرده و آن را Disable کنید.
 

 قدم دوم: استفاده از رمز عبور قدرتمند

شاید ساده به نظر برسد، اما یک رمز ضعیف تمام تنظیمات امنیتی شما را بر باد می‌دهد. دانشجویان عزیز، در امنیت شبکه همیشه تاکید می‌شود که رمز عبور باید ترکیبی از حروف بزرگ، کوچک، اعداد و کاراکترهای ویژه (مثل @#$%) باشد و حداقل ۱۲ کاراکتر طول داشته باشد.

 

 قدم سوم: غیرفعال کردن سرویس‌های بلااستفاده

هر سرویسی که به آن نیاز ندارید، باید خاموش شود. آیا واقعاً از روتر خود به عنوان وب‌سرور استفاده می‌کنید؟ اگر نه، چرا پورت ۸۰ باز است؟

  • آموزش در وین‌باکس:به مسیر IP > Services بروید. سرویس‌هایی مثل api, ftp, telnet, www را انتخاب کرده و با زدن دکمه X (قرمز رنگ) آن‌ها را غیرفعال کنید.
 

قدم چهارم: تغییر پورت سرویس‌های حیاتی (مثل Winbox)

ربات‌های هکر دائماً در حال اسکن پورت ۸۲۹۱ (پورت پیش‌فرض وین‌باکس) در بستر اینترنت هستند. با تغییر این پورت، روتر خود را از دید ربات‌های مزاحم پنهان می‌کنید.

  • آموزش در وین‌باکس:در همان بخش IP > Services، روی winbox دابل‌کلیک کنید و پورت را به یک عدد دلخواه (مثلاً ۵۸۲۹۱) تغییر دهید.

💡 نکته مهم: پس از این کار، برای ورود به روتر باید IP را به همراه پورت وارد کنید (مثال: 192.168.88.1:58291).

 

قدم پنجم: مسدود کردن حملات Brute Force در جدول RAW

یکی از جذاب‌ترین بخش‌های آموزش فایروال میکروتیک، استفاده از جدول RAW است. اگر کسی سعی کند با حدس زدن رمز عبور (Brute Force) از طریق SSH یا Telnet وارد روتر شود، بهتر است قبل از اینکه درخواست او پردازشگر (CPU) روتر را درگیر کند، آی‌پی او را در لایه RAW مسدود کنیم.

  • آموزش در وین‌باکس:ابتدا در مسیر IP > Firewall > Filter Rules رول‌هایی برای شناسایی اتصالات مکرر بنویسید و آن‌ها را به تب Address Lists با نامی مثل BlackList بفرستید. سپس در تب Raw یک رول با اکشن Drop برای این آدرس‌لیست ایجاد کنید تا ترافیک آن‌ها کاملاً دور ریخته شود.
 

قدم ششم: بستن پورت اسکن با قابلیت PSD میکروتیک

هکرها قبل از حمله، پورت‌های شما را اسکن می‌کنند (Port Scan) تا نقاط ضعف را بیابند. میکروتیک قابلیتی به نام PSD (Port Scan Detection) دارد که این رفتار مخرب را به سرعت تشخیص می‌دهد.

  • آموزش در وین‌باکس:در IP > Firewall > Filter Rules یک رول جدید در زنجیره Input بسازید. در تب Extra بخش PSD را با تنظیمات پیش‌فرض فعال کنید. در تب Action، آن آی‌پی را به یک لیست (مثلاً Port-scan) بفرستید و سپس از طریق تب RAW آن لیست را Drop کنید.
 

 قدم هفتم: محدود کردن دسترسی IP به شبکه لوکال

چرا کسی از خارج از شبکه یا اینترنت باید صفحه ورود روتر شما را ببیند؟ برای افزایش امنیت شبکه، دسترسی به سرویس‌هایی مثل Winbox یا SSH را فقط به IPهای خاص محدود کنید (مثلاً رنج IP شبکه داخلی خودتان یا آی‌پی استاتیک مدیر شبکه).

  • آموزش در وین‌باکس:در IP > Services روی سرویس مدنظر (مثل winbox) دابل‌کلیک کنید. در کادر Available From، رنج شبکه مجاز خود (مثلاً 168.1.0/24) را وارد کنید.
 

قدم هشتم: ایمن‌سازی سرویس DNS در برابر حملات

اگر روتر شما کش DNS دارد، به هیچ‌وجه نباید به درخواست‌های DNS از سمت اینترنت (پورت WAN) پاسخ دهد؛ در غیر این صورت روتر شما به ابزاری برای حملات خطرناک DNS Amplification علیه دیگر شبکه‌ها تبدیل می‌شود!

  • آموزش در وین‌باکس:اگر نیازی به DNS Server بودن روتر ندارید، در مسیر IP > DNS تیک Allow Remote Requests را بردارید. اما اگر برای شبکه داخلی به آن نیاز دارید، حتماً باید در فایروال، درخواست‌های پورت ۵۳ (UDP/TCP) روی اینترفیس اینترنت (WAN) را Drop کنید.
 

قدم نهم: آپدیت پکیج‌های سیستم‌عامل (RouterOS)

سیستم‌عامل‌ها همیشه ممکن است باگ داشته باشند. شرکت میکروتیک به طور مداوم آپدیت‌هایی برای رفع حفره‌های امنیتی منتشر می‌کند. به‌روز نگه‌داشتن سیستم‌عامل روتر (RouterOS) از اصول اولیه امنیت است.

  • آموزش در وین‌باکس:به مسیر System > Packages بروید و روی Check For Updates کلیک کنید. سپس دکمه Download & Install را بزنید.
 
 قدم دهم: آپدیت فریم‌ور روتربورد (RouterBOARD)

بسیاری از دانشجویان و حتی متخصصان، آپدیت پکیج (مرحله قبل) را انجام می‌دهند اما فراموش می‌کنند که خود سخت‌افزار یا فریم‌ور (Firmware) هم نیاز به به‌روزرسانی دارد!

  • آموزش در وین‌باکس:به مسیر System > Routerboard بروید. روی Upgrade کلیک کنید و در نهایت روتر را ری‌استارت (Reboot) نمایید.
 

 جمع‌بندی: امنیت، یک مسیر همیشگی است

همان‌طور که دیدیم، هاردنینگ میکروتیک یک کار عجیب و غریب و غیرممکن نیست، بلکه مجموعه‌ای از اقدامات منطقی و پیشگیرانه است. با تغییر پورت‌ها، بستن سرویس‌های اضافی، مدیریت فایروال در لایه RAW و به‌روزرسانی مداوم، شما امنیت شبکه کامپیوتری خود را به سطح استاندارد و بسیار قابل قبولی رسانده‌اید.

 

یک پیشنهاد دوستانه از هریتک: اگر اجرای این موارد برایتان پیچیده است یا شبکه‌ای بزرگ با حساسیت اطلاعاتی بالا دارید، کار را به کاردان بسپارید! تیم متخصصان ما در هریتک با ارائه برترین خدمات شبکه در سراسر کشور، از طراحی شبکه و مجازی‌سازی تا مانیتورینگ شبکه و امنیت زیرساخت، در کنار شما هستند.

📞 برای مشاوره رایگان و ارتقای امنیت شبکه سازمان خود، همین حالا با کارشناسان هریتک تماس بگیرید.