نمایش نتایج: از شماره 1 تا 8 از مجموع 8
سپاس ها 5سپاس
  • 1 توسط shahani
  • 2 توسط shahani
  • 1 توسط shahani
  • 1 توسط shahani

موضوع: نوشتن Rule و یا Log در میکروتیک برای جلوگیری از نفوذ به روتر ؟

  
  1. #1
    نام حقيقي: Behzad

    عضو عادی شناسه تصویری AH64-D
    تاریخ عضویت
    Oct 2016
    محل سکونت
    Garmsar
    نوشته
    87
    سپاسگزاری شده
    7
    سپاسگزاری کرده
    42

    نوشتن Rule و یا Log در میکروتیک برای جلوگیری از نفوذ به روتر ؟

    درود دوستان

    لطف می کنید به بنده کمک کنید.

    چطوری در روترهای میکروتیک Rule بنویسم و یا Log را تعریف کنم . که شخصی نیت خراب کارانه داره و می خواد به روتر نفوذ کنه IP ایش شناسایی بشه و بن بشه .

    مثلا کسی میاد Port های میکروتیک اسکن کنه که اگر باز هستند بهش نفود کنه یک Rule ای تو Firewall میکروتیک باشه IP شخص نفوذ کننده شناسایی بشه و در اخر بن بشه نتونه نفوذ کنه با تشکر.



    موضوعات مشابه:

  2. #2
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    605
    سپاسگزاری شده
    481
    سپاسگزاری کرده
    57
    شما اگه لاگ ها رو ذخیره کنید در فلش یا سرور راه دور ، آدرس آی پی تمام اشخاص و یوزرهایی که برای مدیریت به میکروتیک لاگین میکنن رو میتونید ببینید.

    ابتدا بهتره از بخش Ip/Services تمام بخش هایی که مورد نیازتون نیست مثل ftp , telnet , ssh و غیره رو خاموش کنید که بکلی سرویس مورد نظر غیرفعال بشه.
    بعد از اون شما سرویس هایی که نیاز دارید ازشون استفاده کنید مثلا Winbox و وب سرویس با پورت 443 / پورت هاشون رو تغییر بدین.
    به عنوان مثال اگه با آدرس https://192.168.88.1 وصل میشدین با تغییر این پورت به 2021 از این به بعد با آدرس https://192.168.88.1:2021 میتونید به پنل دسترسی داشته باشید .
    یا وب کانفیگ معمولی با پورت 80 به صورت http://192.168.88.1 هست ، شما میتونید این پورت رو مثلا 99 قرار بدین که از این به بعد به صورت http://192.168.88.1:99 میتونید دسترسی داشته باشید.
    ویا برای Winbox شماره پورت جدیدی را انتخاب نمایید مثلا 8066 که در این صورت از این به بعد باید آدرس روتر رو با پورت در بخش Connect to برنامه winbox بزنید در غیر این صورت باز نخواهد شد ، به عنوان مثال 192.168.88.1:8066

    این کار باعث میشه در مرحله اول ، هکر نتونه با اسکن پورت های استاندارد مدیریتی میکروتیک ، پورت های مدیریتی و باز شما رو پیدا کنه .

    در مرحله بعد بخش Available from داخل همین قسمت وجود داره ، شما میتونید رنج آدرس هایی که مجاز هستند از سرویس استفاده کنند رو وارد کنید .
    و یا یک یا چند آی پی بخصوص ، به این صورت بجز این آدرس های شبکه خصوصی یا عمومی اینترنت ، این سرویس ها برای هیچ آی پی دیگه ای فعال نخواهد بود.

    همچنین با استفاده از بخش Tools / Mac Server با تنظیم کردن بخش ها روی None ، میتوانید بکلی از سرویس دهی روتر با استفاده از مک آدرس جلوگیری کنید و یا با تنظیم Mac-winbox لااقل از دیسکاور شدن و نمایش روتر شما در داخل Winbox متصل به شبکه جلوگیری خواهد کرد.

    راه دیگه برای حفظ امنیت روتر این هست که به بخش System / user رفته و نام کاربری admin را به یک نام دلخواه تغییر دهید ، و اگر یوزر غیر ضروری دیگری دارید حذف نمایید تا امکان دسترسی با آن به روتر نباشد .
    و در همین قسمت از رمز بزرگ و سخت ؛ شامل حروف کوچک و بزرگ ، اعداد و کارکترهای ویژه ... برای یوزر خودتون استفاده نمایید تا لو رفتن آن سخت تر شود.


    در انتها اگه تسلط خوبی بر رول نویسی دارید میتوانید دسترسی ورودی به پورت های مدیریتی روتر خودتون رو برای آی پی های غیر مجاز ببندید تا فقط یک تعداد آدرس مشخص به آنها دسترسی داشته باشند .
    (این کار به هیچ عنوان برای غیر حرفه ای ها پیشنهاد نمیشه ؛ نوشتن اشتباه این رول کافی خواهد بود تا دسترسی کامل به روتر خودتون رو از دست بدهید)








    AH64-D سپاسگزاری کرده است.

  3. #3
    نام حقيقي: Behzad

    عضو عادی شناسه تصویری AH64-D
    تاریخ عضویت
    Oct 2016
    محل سکونت
    Garmsar
    نوشته
    87
    سپاسگزاری شده
    7
    سپاسگزاری کرده
    42
    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    شما اگه لاگ ها رو ذخیره کنید در فلش یا سرور راه دور ، آدرس آی پی تمام اشخاص و یوزرهایی که برای مدیریت به میکروتیک لاگین میکنن رو میتونید ببینید.

    ابتدا بهتره از بخش Ip/Services تمام بخش هایی که مورد نیازتون نیست مثل ftp , telnet , ssh و غیره رو خاموش کنید که بکلی سرویس مورد نظر غیرفعال بشه.
    بعد از اون شما سرویس هایی که نیاز دارید ازشون استفاده کنید مثلا Winbox و وب سرویس با پورت 443 / پورت هاشون رو تغییر بدین.
    به عنوان مثال اگه با آدرس https://192.168.88.1 وصل میشدین با تغییر این پورت به 2021 از این به بعد با آدرس https://192.168.88.1:2021 میتونید به پنل دسترسی داشته باشید .
    یا وب کانفیگ معمولی با پورت 80 به صورت http://192.168.88.1 هست ، شما میتونید این پورت رو مثلا 99 قرار بدین که از این به بعد به صورت http://192.168.88.1:99 میتونید دسترسی داشته باشید.
    ویا برای Winbox شماره پورت جدیدی را انتخاب نمایید مثلا 8066 که در این صورت از این به بعد باید آدرس روتر رو با پورت در بخش Connect to برنامه winbox بزنید در غیر این صورت باز نخواهد شد ، به عنوان مثال 192.168.88.1:8066

    این کار باعث میشه در مرحله اول ، هکر نتونه با اسکن پورت های استاندارد مدیریتی میکروتیک ، پورت های مدیریتی و باز شما رو پیدا کنه .

    در مرحله بعد بخش Available from داخل همین قسمت وجود داره ، شما میتونید رنج آدرس هایی که مجاز هستند از سرویس استفاده کنند رو وارد کنید .
    و یا یک یا چند آی پی بخصوص ، به این صورت بجز این آدرس های شبکه خصوصی یا عمومی اینترنت ، این سرویس ها برای هیچ آی پی دیگه ای فعال نخواهد بود.

    همچنین با استفاده از بخش Tools / Mac Server با تنظیم کردن بخش ها روی None ، میتوانید بکلی از سرویس دهی روتر با استفاده از مک آدرس جلوگیری کنید و یا با تنظیم Mac-winbox لااقل از دیسکاور شدن و نمایش روتر شما در داخل Winbox متصل به شبکه جلوگیری خواهد کرد.

    راه دیگه برای حفظ امنیت روتر این هست که به بخش System / user رفته و نام کاربری admin را به یک نام دلخواه تغییر دهید ، و اگر یوزر غیر ضروری دیگری دارید حذف نمایید تا امکان دسترسی با آن به روتر نباشد .
    و در همین قسمت از رمز بزرگ و سخت ؛ شامل حروف کوچک و بزرگ ، اعداد و کارکترهای ویژه ... برای یوزر خودتون استفاده نمایید تا لو رفتن آن سخت تر شود.


    در انتها اگه تسلط خوبی بر رول نویسی دارید میتوانید دسترسی ورودی به پورت های مدیریتی روتر خودتون رو برای آی پی های غیر مجاز ببندید تا فقط یک تعداد آدرس مشخص به آنها دسترسی داشته باشند .
    (این کار به هیچ عنوان برای غیر حرفه ای ها پیشنهاد نمیشه ؛ نوشتن اشتباه این رول کافی خواهد بود تا دسترسی کامل به روتر خودتون رو از دست بدهید)







    درود

    با سپاس از شما دوست گرامی، لطف می کنید این بخش توضیح بدین در قسمت Advanced و جلوی Src.Address list چه چیزی تعریف کردین.

    این قسمت اوردین از کجا و یا کدوم قسمت رفتین لیست ادرس های مجاز که فقط بتونند به Winbox متصل شوند قرار دادین.]


    " یک سوال دیگه، ممنون میشم جواب بدین الان من تو یک اموزش دیدم با استفاده از Add Src To Address List یا Add Dst To Address List می توانیم کسانی که Ping می کنند ادرس IP اشون در بخش Address list نشون میده. من یک همچین چیزی هم در کنار توضیحات خوبتون می خوام. ادرس IP طرف مقابل نشون بده "

    ممنون از وقتی که گذاشتین .


    ویرایش توسط AH64-D : 2018-09-17 در ساعت 06:58 AM

  4. #4
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    605
    سپاسگزاری شده
    481
    سپاسگزاری کرده
    57
    شما میتونید تحت عنوان یک نام ؛ مثلا WinBoxFilter آدرس های آی پی مجاز خودتون رو برای دسترسی به روتر ایجاد کنید .
    میتونید از یک رنج آدرس استفاده کنید ، مثلا 192.168.2.0/24 که میشه از 192.168.2.1 تا 192.168.2.254 که تمامی این آدرس ها مجاز به دسترسی به پنل مدیریتی روتر خواهند بود .
    و همینطور میتوانید یک یا چند آدرس ip استاتیک اینترنتی خود را برای دسترسی به روتر در خط های جداگانه با همین نام ذخیره کنید .



    درنهایت باید در بخش Advanced رول فایروال خودتون این لیست رو در بخش Src.Address list انتخاب نمایید و برای اینکه فرمان دهید تمام آدرس های بجز استثنا های این لیست آدرس باید فیلتر شوند ، اون علامت تعجب جلوی Src.Address list را فعال میکنید و به اینصورت تفهیم میکنید که تمام داده ها با آدرسی مبدایی بجز آدرس های این لیست ، در این رول مورد پردازش قرار گرفته و دراپ شوند.



    - - - ادامه - - -

    برای اینکه آدرس آی پی هر دستگاهی که روتر شما رو پینگ میکنه در بخش لیست آدرس داشته باشید
    کافیه یک رول در بخش فیلتر فایروال ایجاد کنید و در اون Chain : Input قرار بدین که روی داده هایی که مقصدشون خود روتر هست اعمال شه.
    سپس protocol رو روی ICMP قرار دهید که مربوط به داده های پینگ است ، به این صورت هر داده ورودی که از نوع پینگ باشد این رول روی آن عمل خواهد کرد .
    بعد از این در سربرگ Action گزینه Add Src To Address List رو انتخاب نمایید تا آدرس آی پی مبدا ارسال کننده درخواست ping در لیست شما با نام ، به عنوان مثال Ping ذخیره شود .



    در نهایت مطابق مثال خواهید دید که هر دستگاهی که روتر شما رو پینگ کند و یا traceRT بگیرد که از روتر شما عبور کند ، آدرس او در این لیست آدرس ذخیره خواهد شد .



    - - - ادامه - - -

    از این آدرس لیست پویا ذخیره شده ؛ میتونید در رول های دیگه برای مسدود سازی یا هر چیز دیگه ای استفاده کنید .

    همینطور شما میتونید بطور کلی اجازه پینگ شدن روتر توسط هر دستگاهی را بگیرید برای این کار کافی است رول زیر را ایجاد کنید :

    کد:
    ip firewall filter add chain=input protocol=icmp action=drop
    ویا اینکه اجازه پینگ را تنها به آدرس های مجاز درون شبکه خود بدهید بصورت زیر :

    کد:
    ip firewall filter add chain=input protocol=icmp src-address-list=!WinBoxFilter action=drop



    EVERAL و AH64-D سپاسگزاری کرده‌اند.

  5. #5
    نام حقيقي: Behzad

    عضو عادی شناسه تصویری AH64-D
    تاریخ عضویت
    Oct 2016
    محل سکونت
    Garmsar
    نوشته
    87
    سپاسگزاری شده
    7
    سپاسگزاری کرده
    42
    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    شما میتونید تحت عنوان یک نام ؛ مثلا WinBoxFilter آدرس های آی پی مجاز خودتون رو برای دسترسی به روتر ایجاد کنید .
    میتونید از یک رنج آدرس استفاده کنید ، مثلا 192.168.2.0/24 که میشه از 192.168.2.1 تا 192.168.2.254 که تمامی این آدرس ها مجاز به دسترسی به پنل مدیریتی روتر خواهند بود .
    و همینطور میتوانید یک یا چند آدرس ip استاتیک اینترنتی خود را برای دسترسی به روتر در خط های جداگانه با همین نام ذخیره کنید .



    درنهایت باید در بخش Advanced رول فایروال خودتون این لیست رو در بخش Src.Address list انتخاب نمایید و برای اینکه فرمان دهید تمام آدرس های بجز استثنا های این لیست آدرس باید فیلتر شوند ، اون علامت تعجب جلوی Src.Address list را فعال میکنید و به اینصورت تفهیم میکنید که تمام داده ها با آدرسی مبدایی بجز آدرس های این لیست ، در این رول مورد پردازش قرار گرفته و دراپ شوند.



    - - - ادامه - - -

    برای اینکه آدرس آی پی هر دستگاهی که روتر شما رو پینگ میکنه در بخش لیست آدرس داشته باشید
    کافیه یک رول در بخش فیلتر فایروال ایجاد کنید و در اون Chain : Input قرار بدین که روی داده هایی که مقصدشون خود روتر هست اعمال شه.
    سپس protocol رو روی ICMP قرار دهید که مربوط به داده های پینگ است ، به این صورت هر داده ورودی که از نوع پینگ باشد این رول روی آن عمل خواهد کرد .
    بعد از این در سربرگ Action گزینه Add Src To Address List رو انتخاب نمایید تا آدرس آی پی مبدا ارسال کننده درخواست ping در لیست شما با نام ، به عنوان مثال Ping ذخیره شود .



    در نهایت مطابق مثال خواهید دید که هر دستگاهی که روتر شما رو پینگ کند و یا traceRT بگیرد که از روتر شما عبور کند ، آدرس او در این لیست آدرس ذخیره خواهد شد .



    - - - ادامه - - -

    از این آدرس لیست پویا ذخیره شده ؛ میتونید در رول های دیگه برای مسدود سازی یا هر چیز دیگه ای استفاده کنید .

    همینطور شما میتونید بطور کلی اجازه پینگ شدن روتر توسط هر دستگاهی را بگیرید برای این کار کافی است رول زیر را ایجاد کنید :

    کد:
    ip firewall filter add chain=input protocol=icmp action=drop
    ویا اینکه اجازه پینگ را تنها به آدرس های مجاز درون شبکه خود بدهید بصورت زیر :

    کد:
    ip firewall filter add chain=input protocol=icmp src-address-list=!WinBoxFilter action=drop

    درود

    خیلی سپاسگذارم دوست گرامی، لطف کردین خدا خیرت بده.

    بعدش یک سوال دیگه ایا امکان ثبت Mac Address کسی که Ping می کنه هم وجود داره مک ادرسش ثبت بشه . ایا امکان ثبت IP ادرس Public هم در Address list وجود داره.

    و همچنین متوجه بشیم که داره چه Port هایی داره اسکن می کنه؟



  6. #6
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    605
    سپاسگزاری شده
    481
    سپاسگزاری کرده
    57
    استفاده از آدرس لیست پویا رو براتون با یک نمونه توضیح میدم تا متوجه بشید چطور عمل میکنه .

    به عتوان مثال شما پورت ورودی مدیریت روتر به وسیله Winbox را تحت کنترل قرار می دهید که پورت استاندارد آن 8291 است .
    در رول ابتدایی هر آی پی آدرسی که قصد ورود به پنل مدیریتی از طریق این پورت و برنامه Winbox را داشته باشد و از آدرس های مجاز تعیین شده شما نباشد را بصورت پویا در آدرس لیست روتر ذخیره خواهد کرد .
    رول بالاتر :
    کد:
    ip firewall filter add chain=input protocol=tcp dst-port=8291 src-address-list=!WinBoxFilter action=add-src-to-address-list address-list=Hacker
    میتوانید پورت های دیگر پنل های مدیریتی مثل Web و غیره را نیز به این رول اضافه کنید ،
    همینطور میتوانید رول های دیگری نیز ایجاد کنید که به نحو های دیگری بررسی کند و آدرس های اینترنتی که درخواست های غیرمعمول از روتر شما دارند را در همین آدرس لیست Hacker ذخیره نمایند.

    سپس در رول نهایی و پایین تر از آنها دستور دهید هرگونه اتصال و درخواست ورودی از آدرس های ip لیست hacker به روتر دراپ شود .
    رول پایین و نهایی :

    کد:
    ip firewall filter add chain=input src-address-list=Hacker action=drop



    AH64-D سپاسگزاری کرده است.

  7. #7
    نام حقيقي: Behzad

    عضو عادی شناسه تصویری AH64-D
    تاریخ عضویت
    Oct 2016
    محل سکونت
    Garmsar
    نوشته
    87
    سپاسگزاری شده
    7
    سپاسگزاری کرده
    42
    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    استفاده از آدرس لیست پویا رو براتون با یک نمونه توضیح میدم تا متوجه بشید چطور عمل میکنه .

    به عتوان مثال شما پورت ورودی مدیریت روتر به وسیله Winbox را تحت کنترل قرار می دهید که پورت استاندارد آن 8291 است .
    در رول ابتدایی هر آی پی آدرسی که قصد ورود به پنل مدیریتی از طریق این پورت و برنامه Winbox را داشته باشد و از آدرس های مجاز تعیین شده شما نباشد را بصورت پویا در آدرس لیست روتر ذخیره خواهد کرد .
    رول بالاتر :
    کد:
    ip firewall filter add chain=input protocol=tcp dst-port=8291 src-address-list=!WinBoxFilter action=add-src-to-address-list address-list=Hacker
    میتوانید پورت های دیگر پنل های مدیریتی مثل Web و غیره را نیز به این رول اضافه کنید ،
    همینطور میتوانید رول های دیگری نیز ایجاد کنید که به نحو های دیگری بررسی کند و آدرس های اینترنتی که درخواست های غیرمعمول از روتر شما دارند را در همین آدرس لیست Hacker ذخیره نمایند.

    سپس در رول نهایی و پایین تر از آنها دستور دهید هرگونه اتصال و درخواست ورودی از آدرس های ip لیست hacker به روتر دراپ شود .
    رول پایین و نهایی :

    کد:
    ip firewall filter add chain=input src-address-list=Hacker action=drop
    عالی عالی ، خیلی ممنونم لطف کردین همون چیزی بودش که می خواستم .



  8. #8
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    605
    سپاسگزاری شده
    481
    سپاسگزاری کرده
    57
    شما میتونید برای لیست هکر تایم اوت مشخص کنید ،
    از زمان ایجاد هر یک از آی پی ها ، به مدت زمان مشخص شده اون آدرس آی پی در لیست تحریم خواهند ماند و در زمان به اتمام رسیدن وقت تایم اوت ، اون آدرس بصورت خودکار از لیست حذف خواهد شد و مجدد اجازه دسترسی به روتر را خواهد داشت .

    در این رول ها هیچ تفاوتی بین آدرس های خصوصی و عمومی وجود نخواهد داشت و بر روی تمام آی پی آدرس ها اعمال خواهد شد .


    در مورد مک آدرس باید بگم به دلیل اینکه ارتباطات شبکه بطور کلی و خود روتر در لایه سه انجام میشه ، و اصلا یکی از دلایل بوجود آمدن روتر همین است ، امکان دسترسی به مک آدرس وجود ندارد.
    مگر در شرایط خاص ؛ انهم از درون شبکه داخلی شما که فایده چندانی نخواهد داشت.


    AH64-D سپاسگزاری کرده است.

کلمات کلیدی در جستجوها:

هیچ کلمه ای ثبت نشده است.

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •