View RSS Feed

مهرزاد مقدس

امنیت در میکروتیک (بخش اول )

امتیاز
توسط - 2014-04-18 - 11:24 PM (بازدید: 6805)
  
پست چند وقت قبل یکی از دوستان محرک این پست شد که همین جا از ایشون تشکر می کنم . نداشتن عواقب و نبود قوانین و بازدارنده های کافی برای جرایم رایانه ای و ابزارهای مجانیی که به سادگی در دسترس هر کاربری هست خواه و ناخواه وسوسه گر هر کاربری است که لذت دسترسی غیر مجاز را تجربه نماید و بدتر آنکه مقوله امنیت به شدت از سوی مدیران ای تی مورد کم لطفی قرار می گیرد . یا حتی در پاره ای از موارد نادیده ! مثلا خود من بعد از مدتی متوجه شدم چند تا از روتر هام بدون پسورد روی شبکه و در دسترس قرار دارند ! یا در مورد دیگه ای در حال کانفیگ یک روتر بودم که بعد از چند لحظه ترمینال رو که باز کردم متوجه لاگ خطای دسترسی شدم ! خوشبختانه دوستان فکر نمی کردند روتر در حال کانفیگ و هنوز بدون پسورد باشد !!!!

در ادامه چند راه حل ساده که میتواند حجم زیادی از مشکلات شما را کم می کند مورد بررسی قرار می دهیم . البته واضح است که این روش ها امنیت صد در صد روتر شما را تامین نمی کند . فقط جلوی هکر های تازه کار و حملات مرسوم را تا حدی می گیرد . دوستان اگر راه حل یا تجربه ای دارند ممنون میشوم ذکر کنند یا اگر راه حلی ناقص می بینند خوشحال میشوم تذکر بدهند .

یک اکانت خوب یک پسورد خوب !
روزانه در مورد امنیت کلمه عبور و نحوه انتخاب یک کلمه عبور مناسب مطالبی را میشنویم و بدون استثنا به آنها بی توجهی می کنیم ! پیشرفته ترین و قوی ترین تجهیزات شبکه هم در صورت دارا بودن کلمات عبور ضعیف به سادگی قابل عبور و نفوذند ! جمله و عبارتی بلد نیستم که بیش از دیگران حساسیت این موضوع رو گوشزد کنم !
اما در مورد اکانت . پیشنهاد خود میکروتیکه که یک یوزر با دسترسی full بسازید و یوزر پیش فرض admin رو به دسترسی فقط خواندنی یا read only تغییر بدید . داشتم فیلم سناریوی شماره یک رو ضبط می کردم که تا قسمتی از کار رو ذخیره کردم و الباقی رو به بعد موکول کردم فردا متوجه شدم دوست عزیزی همین کار رو سر من در آورده ! که بخاطر محبت ایشون من نتونستم کار رو تموم کنم !
سعی کنید در صورت امکان از یه رادیوس سرور برای مدیریت اکانت های لاگین به میکروتیک استفاده کنید . تا بتونید به صورت دوره ای اونا رو تغییر بدید و ..

سرویس های بد !
سیستم عامل میکروتیک مجموعه بیشماری سرویس و خدمات خوب داره که مخصوصا موقع آپ دیت با کپی کردن پکیج ها تمام اونها فعال میشود ! خیلی از این سرویس ها واقعا مورد نیاز شما نیست . و نصب اونها نه تنها حافظه مفید روترتون رو اشغال می کنه بلکه ممکنه بعنوان یه ضعف امنیتی عمل کنه . پس ابتدا از منوی system > package هر پکیجی که مورد نیازتون نیست رو حذف کنید . در صورتی که کاربرد پکیجی رو نمی دونید از این آدرس کمک بگیرید :
http://wiki.mikrotik.com/wiki/Manual:System/Packages
بعد می رسیم به سرویس های مورد نیاز یا سرویس هایی که با پکیج های مورد نیاز شما راه اندازی میشوند ! از منوی ip > services شما سرویس های قابل اجرا روی روتر بوردتان رو می تونید ببینید . روش های دسترسی عزیز ! تل نت و SSH سرویس های مورد علاقه هکران تازه کارند ! یه برنامه ساده بارت فورس و مقدار زیادی زمان ! هر بار که ترمینال رو باز می کنید تعداد لاگ های مربوطه رو ببینید !
سعی کنید از این دو مورد استفاده نکنید ! اگر هم نیازمند این دو هستید حداقل پورت پیشفرض آنها را تغییر بدید ! و بزارید روی یه پورت معروف ! مثلا تل نت روی پورت 80 ! و همچنین پورت ناکینگ رو که در ادامه توضیح خواهیم داد رو استفاده کنید . تغییر پورت پیش فرض وین باکس رو هم توصیه می کنم . البته خوشبختانه در جامعه هکری میکروتیک بعنوان یه مورد مستقل بررسی نمیشه و هنوز یه دید مشابه سایر توزیع های لینوکس بهش هست ! که باعث شده ما برنامه ای برای حمله به پورت وین باکس نداشته باشیم ! و یا حمله به یوزر منیجر و ...

پورت های بد !
بعد از سرویس ها بحث بررسی پورت های معروف سرویس های اجرا شده روی آنهاست . مثلا شما از وب پراکسی استفاده می کنید یا pptp و DNS cache... مطمئنا منظور شما این نبوده که کاربران اینترنتی توانایی اتصال و استفاده از این سرویس ها رو داشته باشند . کمترین ضرر این موارد استفاده از پهنای باند شماست !!! پس در صورتی که سرویس های مشابه این موارد را روی روتر بوردتان اجرا کرده اید با کمک فایروال اجازه دسترسی به اونها از طریق پورت wan تون رو بگیرید . برای آشنایی با فایروال میکروتیک هم این پست بهتون کمک می کنه .
آموزش كاربردي فايروال ميكروتيك

Security Not My Problem
Snmp یکی از مفیدترین و مهمترین پروتکل های موجود شبکه است ! اما در عین حال یکی از نا امن ترین اونها هم هست ! مخصوصا ورژن یک ! اگر یه کامیونیتی با مجوز read / write روی روتر بورد شما فعاله عملا تمام موارد بالا یعنی کشک ! هر کاربری با دونستن نام کامیونیتی می تونه به روتر بورد شما دسترسی داشته باشه و تنظیمات اونو تغییر بده ! حتی دسترسی read هم چندان بدون مشکل نیست ! حداقل ضرر این مورد اینه که به نفوذ گر کمک می کنه از ساختار شبکه شما سر در بیاره . پس لطفا کامیونیتی public رو فعال نکنید . سعی کنید از ورژن دو یا سه snmp استفاده کنید و اونو با کلمه عبور مناسب امن کنید . مجوز write رو تا جایی که می تونید فعال نکنید .

· پورت ناکینگ
یه ویژگی جالب و کار امد هست که می تونه توسط فایروال میکروتیک پیاده سازی بشه . بدین صورت که کاربر پس از انجام اعمالی بتونه برای مدتی به سرویس خاصی روی شبکه دسترسی داشته باشه .
مثلا در صورتی که من ای پی x.x.x.x رو سه مرتبه پینگ کنم اونوقت ای پی من برای یک ساعت می تونه به میکروتیک تل نت کنه . یا من میخوام در صورتی که ای پی فلان رو پینگ کردم و بعد سعی کردم به تل نت به این ای پی وصل بشم بتونم سایت داخلی اداره رو ببینم و ....
از این روش می تونید برای ارائه سرویس هایی که بعضا لازمه از بیرون شبکه مورد استفاده قرار بگیره اما از نظر امنیتی دغدغه هایی رو براتون به همراه داره استفاده کنید . پیاده سازی این روش به کمک فایروال میکروتیک چندان پیچیده نیست مقاله زیر اصول کار رو توضیح داده اگر نکته مبهمی دیدید توی کامنت ها ذکر کنید تا توضیح بدم
http://wiki.mikrotik.com/wiki/Port_Knocking
M-r-r، mohsenhvac، EVERAL و 18 نفر دیگر سپاسگزاری کرده‌اند.
دسته ها
دسته بندی نشده

نظر

  1. شناسه تصویری mojtaba461
    بسیار عالی و با حوصله توضیح دادید جناب مقدس ممنون
    mehrzadmo، mohamad-23 و vahid_di سپاسگزاری کرده‌اند.
  2. شناسه تصویری j_p
    با تشکر از مطالب مفیدتون
    جناب آقای مقدس مطلب زیر برای رد گم ک کردن است یا دلیلی فنی دارد؟
    **...سعی کنید از این دو مورد استفاده نکنید ! اگر هم نیازمند این دو هستید حداقل پورت پیشفرض آنها را تغییر بدید ! و بزارید روی یه پورت معروف ! مثلا تل نت روی پورت 80 !**
  3. شناسه تصویری j_p
    نقل قول نوشته اصلی توسط j_p
    با تشکر از مطالب مفیدتون
    جناب آقای مقدس مطلب زیر برای رد گم ک کردن است یا دلیلی فنی دارد؟
    **...سعی کنید از این دو مورد استفاده نکنید ! اگر هم نیازمند این دو هستید حداقل پورت پیشفرض آنها را تغییر بدید ! و بزارید روی یه پورت معروف ! مثلا تل نت روی پورت 80 !**
    منظور بنده از استفاده از پورت های معروف است
  4. شناسه تصویری mehrzadmo
    رد گم کنیه ! طرف انتظار داره رو پورت 80 وب سرور ران باشه . نه تل نت ! اگر هم بو ببره باید کلی وقت بزار بفهمه کدوم سرویس روش رانه !
    j_p سپاسگزاری کرده است.
  5. شناسه تصویری mehrzadmo
    کلا هدف اینه که جلوی جوجه هکرها گرفته بشه ! یه مقدار هم هکر کار درست ها رو سر کار بزاریم..
    j_p سپاسگزاری کرده است.
  6. شناسه تصویری gallaxy67
    مثل همیشه خوب و مفید
    mehrzadmo سپاسگزاری کرده است.
  7. شناسه تصویری shahein2
    سلام
    سال نو مبارک
    خدا قوت و مچکر
    من راستش منظور این قسمت رو متوجه نشدم :
    "پس لطفا کامیونیتی public رو فعال نکنید:
    ممکنه بیشتر توضیح بدید؟؟
    قربون محبت شما
    تشکر