در دنیای پرمخاطره امنیت شبکه امروز (بهویژه در سال ۲۰۲۶ با رشد چشمگیر هوش مصنوعی در حملات سایبری)، کانفیگ اولیه روتر اصلاً کافی نیست. برای محافظت از شبکه، شما به هاردنینگ میکروتیک (MikroTik Hardening) نیاز دارید.
هدف آموزشی مجموعه هریتک از این مقاله چیست؟ ما در مجموعه هریتک معتقدیم که دانش امنیت باید در دسترس همه باشد. هدف ما از این محتوا، آموزش کاربردی و گامبهگام هاردنینگ میکروتیک برای متخصصان و دانشجویان IT است تا با مفاهیم پایهای و پیشرفته امنیتی آشنا شوند. چه در حال یادگیری باشید و چه مسئولیت پشتیبانی شبکه یک سازمان بزرگ را بر عهده داشته باشید، این مقاله با راهنمایی کامل، نیاز شما را برطرف خواهد کرد.
پس بیایید با هم این ۱۰ قدم حیاتی را برداریم.
فهرست مطالب:
- هاردنینگ میکروتیک چیست و چرا اهمیت دارد؟
- قدم اول تا دهم… (لینکدار شود به تیترهای پایین)
- جمعبندی
هاردنینگ میکروتیک چیست و چرا اهمیت دارد؟
هاردنینگ (Hardening) در فناوری اطلاعات به معنای کاهش سطح حمله (Attack Surface) است. هر پورت باز، هر سرویس غیرضروری و هر رمز عبور ساده، یک درِ باز برای هکرهاست. با انجام هاردنینگ، ما این درها را قفل میکنیم و فقط به افراد مجاز اجازه ورود میدهیم.
قدم اول: تغییر کاربر پیشفرض (Admin) و ساخت کاربر جدید
هکرها میدانند که نام کاربری پیشفرض میکروتیک admin است. پس نیمی از راه را برای هک کردن شما رفتهاند! اولین قدم، ساخت یک کاربر با دسترسی کامل (Full) و غیرفعال کردن کاربر ادمین است.
- آموزش در وینباکس (Winbox):به مسیر System > Users بروید. با زدن دکمه (+) یک کاربر جدید بسازید و گروه (Group) آن را روی full قرار دهید. سپس روی کاربر admin کلیک راست کرده و آن را Disable کنید.
قدم دوم: استفاده از رمز عبور قدرتمند
شاید ساده به نظر برسد، اما یک رمز ضعیف تمام تنظیمات امنیتی شما را بر باد میدهد. دانشجویان عزیز، در امنیت شبکه همیشه تاکید میشود که رمز عبور باید ترکیبی از حروف بزرگ، کوچک، اعداد و کاراکترهای ویژه (مثل @#$%) باشد و حداقل ۱۲ کاراکتر طول داشته باشد.
قدم سوم: غیرفعال کردن سرویسهای بلااستفاده
هر سرویسی که به آن نیاز ندارید، باید خاموش شود. آیا واقعاً از روتر خود به عنوان وبسرور استفاده میکنید؟ اگر نه، چرا پورت ۸۰ باز است؟
- آموزش در وینباکس:به مسیر IP > Services بروید. سرویسهایی مثل api, ftp, telnet, www را انتخاب کرده و با زدن دکمه X (قرمز رنگ) آنها را غیرفعال کنید.
قدم چهارم: تغییر پورت سرویسهای حیاتی (مثل Winbox)
رباتهای هکر دائماً در حال اسکن پورت ۸۲۹۱ (پورت پیشفرض وینباکس) در بستر اینترنت هستند. با تغییر این پورت، روتر خود را از دید رباتهای مزاحم پنهان میکنید.
- آموزش در وینباکس:در همان بخش IP > Services، روی winbox دابلکلیک کنید و پورت را به یک عدد دلخواه (مثلاً ۵۸۲۹۱) تغییر دهید.
نکته مهم: پس از این کار، برای ورود به روتر باید IP را به همراه پورت وارد کنید (مثال: 192.168.88.1:58291).
قدم پنجم: مسدود کردن حملات Brute Force در جدول RAW
یکی از جذابترین بخشهای آموزش فایروال میکروتیک، استفاده از جدول RAW است. اگر کسی سعی کند با حدس زدن رمز عبور (Brute Force) از طریق SSH یا Telnet وارد روتر شود، بهتر است قبل از اینکه درخواست او پردازشگر (CPU) روتر را درگیر کند، آیپی او را در لایه RAW مسدود کنیم.
- آموزش در وینباکس:ابتدا در مسیر IP > Firewall > Filter Rules رولهایی برای شناسایی اتصالات مکرر بنویسید و آنها را به تب Address Lists با نامی مثل BlackList بفرستید. سپس در تب Raw یک رول با اکشن Drop برای این آدرسلیست ایجاد کنید تا ترافیک آنها کاملاً دور ریخته شود.
قدم ششم: بستن پورت اسکن با قابلیت PSD میکروتیک
هکرها قبل از حمله، پورتهای شما را اسکن میکنند (Port Scan) تا نقاط ضعف را بیابند. میکروتیک قابلیتی به نام PSD (Port Scan Detection) دارد که این رفتار مخرب را به سرعت تشخیص میدهد.
- آموزش در وینباکس:در IP > Firewall > Filter Rules یک رول جدید در زنجیره Input بسازید. در تب Extra بخش PSD را با تنظیمات پیشفرض فعال کنید. در تب Action، آن آیپی را به یک لیست (مثلاً Port-scan) بفرستید و سپس از طریق تب RAW آن لیست را Drop کنید.
قدم هفتم: محدود کردن دسترسی IP به شبکه لوکال
چرا کسی از خارج از شبکه یا اینترنت باید صفحه ورود روتر شما را ببیند؟ برای افزایش امنیت شبکه، دسترسی به سرویسهایی مثل Winbox یا SSH را فقط به IPهای خاص محدود کنید (مثلاً رنج IP شبکه داخلی خودتان یا آیپی استاتیک مدیر شبکه).
- آموزش در وینباکس:در IP > Services روی سرویس مدنظر (مثل winbox) دابلکلیک کنید. در کادر Available From، رنج شبکه مجاز خود (مثلاً 168.1.0/24) را وارد کنید.
قدم هشتم: ایمنسازی سرویس DNS در برابر حملات
اگر روتر شما کش DNS دارد، به هیچوجه نباید به درخواستهای DNS از سمت اینترنت (پورت WAN) پاسخ دهد؛ در غیر این صورت روتر شما به ابزاری برای حملات خطرناک DNS Amplification علیه دیگر شبکهها تبدیل میشود!
- آموزش در وینباکس:اگر نیازی به DNS Server بودن روتر ندارید، در مسیر IP > DNS تیک Allow Remote Requests را بردارید. اما اگر برای شبکه داخلی به آن نیاز دارید، حتماً باید در فایروال، درخواستهای پورت ۵۳ (UDP/TCP) روی اینترفیس اینترنت (WAN) را Drop کنید.
قدم نهم: آپدیت پکیجهای سیستمعامل (RouterOS)
سیستمعاملها همیشه ممکن است باگ داشته باشند. شرکت میکروتیک به طور مداوم آپدیتهایی برای رفع حفرههای امنیتی منتشر میکند. بهروز نگهداشتن سیستمعامل روتر (RouterOS) از اصول اولیه امنیت است.
- آموزش در وینباکس:به مسیر System > Packages بروید و روی Check For Updates کلیک کنید. سپس دکمه Download & Install را بزنید.
بسیاری از دانشجویان و حتی متخصصان، آپدیت پکیج (مرحله قبل) را انجام میدهند اما فراموش میکنند که خود سختافزار یا فریمور (Firmware) هم نیاز به بهروزرسانی دارد!
- آموزش در وینباکس:به مسیر System > Routerboard بروید. روی Upgrade کلیک کنید و در نهایت روتر را ریاستارت (Reboot) نمایید.
جمعبندی: امنیت، یک مسیر همیشگی است
همانطور که دیدیم، هاردنینگ میکروتیک یک کار عجیب و غریب و غیرممکن نیست، بلکه مجموعهای از اقدامات منطقی و پیشگیرانه است. با تغییر پورتها، بستن سرویسهای اضافی، مدیریت فایروال در لایه RAW و بهروزرسانی مداوم، شما امنیت شبکه کامپیوتری خود را به سطح استاندارد و بسیار قابل قبولی رساندهاید.
یک پیشنهاد دوستانه از هریتک: اگر اجرای این موارد برایتان پیچیده است یا شبکهای بزرگ با حساسیت اطلاعاتی بالا دارید، کار را به کاردان بسپارید! تیم متخصصان ما در هریتک با ارائه برترین خدمات شبکه در سراسر کشور، از طراحی شبکه و مجازیسازی تا مانیتورینگ شبکه و امنیت زیرساخت، در کنار شما هستند.
برای مشاوره رایگان و ارتقای امنیت شبکه سازمان خود، همین حالا با کارشناسان هریتک تماس بگیرید.