چطور پورت های پیش فرض MikroTik RouterOS رو تغییر بدیم

شرکت MikroTik دیروز برای مشتریانش یه ایمیل ارسال کرده و راجع به یه botnet بهشون هشدار داده که در سطح اینترنت گسترده شده و IP ها رو اسکن میکنه تا RouterOS هایی که پورت های 80 و یا 8291 روشون باز هست رو پیدا کنه. در ROS از پورت 80 به صورت پیش فرض برای WWW که WebFig باهاش کار میکنه و از پورت 8291 به صورت پیش فرض برای Winbox استفاده میشه.

این botnet سعی میکنه تا با پیدا کردن ROS هایی که این پورت هاشون باز هست از یه نفوذ پذیری که البته تقریباً یک سال پیش توسط شرکت میکروتیک برطرف شده، استفاده کنه. با توجه به اینکه این حفره امنیتی در نسخه 6.38.5 از RouterOS برطرف شده (اگه در bugfix هستید این مشکل در 6.37.5 برطرف شده)، اگر از این نسخه یا یه نسخه بالاتر استفاده می کنید مشکلی ندارید اما اگر از نسخه پایین تری استفاده می کنید مسلماً پیشنهاد اول من استفاده از نسخه های جدید هست ولی اگر به دلیلی امکان استفاده از نسخه های بالاتر از نسخه های فوق الذکر رو ندارید باید پورت های مربوط به این سرویس ها رو تغییر بدید. به همین دلیل من تصمیم گرفتم تا این پست رو بنویسم تا هم در این مورد اطلاع رسانی بشه و هم نحوه تغییر پورت ها برای جلوگیری از مشکل، سهل الوصول تر بشه.

برای اطلاعات بیش تر راجع به این اتفاق می تونید به این صفحه در وب سایت شرکت MikroTik مراجعه کنید.

من به عنوان یه پیشگیری امنیتی همواره تغییر پورت های پیش فرض، بخصوص در مورد سرویس هایی که امکان مدیریت یه دستگاه شبکه رو فراهم میکنن، توصیه می کنم.

خب بریم به سراغ نحوه تغییر پورت های پیش فرض در ROS.

توجه مهم: قبل از تغییر پورت دقت کنید که Firewall مانع اتصال شما به پورت جدید نمیشه.

اگر از Winbox استفاده می کنید به قسمت IP>Services برید و پورت ها رو از اونجا تغییر بدید.

اگر از Command Line استفاده میکنید از این دستورات استفاده کنید:

/ip service www set port=
/ip service winbox set port=

دقت کنید که پورت های دلخواه خودتون رو بایستی مقابل علامت مساوی بنویسید.

ضمناً توجه بفرمایید که اگر آدرس آی پی Mikrotik RouterOS من 192.168.100.1 باشه و به عنوان پورت Winbox عدد 4569 رو وارد کرده باشم برای اتصال به ROS خودم داخل Winbox در بخش Connect To بایستی 192.168.100.1:4569 رو وارد کنم.

امیدوارم این پست بتونه برای همکاران و همراهان عزیز مفید واقع بشه.

 

۶ دیدگاه نوشته شده است! می توانید دیدگاه خود را بنویسید

  1. مهدی گفت:

    سلام و تشکر از شما بابت این راهنمایی امنیتی

    یکک راه دیگه هم اینکه سرویس www رو غیر فعال کنیم و برای winbox یا تلنت محدودیت لاگین بزاریم (available from) که فقط از فلان IP بشه بهش وصل شد

    من خودم این کار رو معمولا انجام میدم

  2. ارسلان گفت:

    سپاس فراوان محمدجان

  3. hamid Barzegar گفت:

    عدم استفاده از شناسه کاربری و رمز پیش فرض:
    در میکروتیک بصورت پیش فرض شناسه کاربری بصورت admin و بدون رمز عبور فعال می باشد که پیشنهاد می شود در قسمت
    SystemUsers شناسه کاربری admin را به نام دیگری تغییر دهیم و برای مصارف عادی که نیاز به تغییر خاصی در روتر
    نداریم یک شناسه کاربری با سطح دسترسی Read ایجاد کنیم و تا حد لزوم از شناسه کاربری با سطح Full استفاده نکنید.

    استفاده از رمز عبور مطمئن:
    در حملاتی که برای نفوذ به روتر های میکروتیک مورد استفاده قرار می گیرد شایع ترین نوع حملات Brute Force می باشد. در
    صورتی که برای روتر خود از رمز عبور مطئن استفاده نکرده باشید ممکن است توسط این نرم افزار ها شناسه پیش فرض را با رمز
    های متعددی بررسی کنند و نفوذگر موفق به لاگین به روتر شما شود.

    -محدود کردن بازه IP مجاز کاربران:
    در نسخه های جدید میکروتیک امکان محدود کردن بازه IP address مجاز کاربران برای لاگین کردن به روتر فراهم شده است.
    می توانید با استفاده از این قابلیت محدوده IP مجاز برای لاگین به روتر را به رنج آدرس شبکه داخلی یا آدرس های اینترنتی مجاز
    که از آن به روتر می خواهید دسترسی داشته باشید به خصوص برای سطوح دسترسی Full استفاده نمایید

    غیر فعال کردن Mac-telnet, Mac-Ping ,Mac-Winbox :
    در سیستم عامل میکروتیک با استفاده از نرم افزار Winbox قابلیت اتصال به روتر از طریق Mac-address فراهم شده است که
    پیشنهاد می شود از قسمت ToolsMac Server نسبت به غیر فعال کردن این قابلیت بصورت کلی یا محدود کردن این قابلیت
    به یک Interface خاص اقدام نمایید

    در میکروتیک مشابه تجهیزات سیسکو پروتکل ارتباط با روتر های مجاور در شبکه فراهم شده است که اطلاعات کاملی از تجهیزات
    دیگر موجود در شبکه را به کاربران نمایش می دهد. برای غیر فعال کردن و مشاهده این اطلعات می توان از قسمت
    IPNeighbors استفاده نماییم. همچنین می توان این ویژگی را بر روی اینترفیس های خاصی فعال یا غیرفعال نمود

    در تجهیزات میکروتیک ابزاری برای تست انتقال پهنای باند قرار داده شده است که با استفاده از بخش ToolsBandwidth Test می توانیم به IP روتر دیگری ترافیک ایجاد کنیم تا حد اکثر توان انتقال پهنای باند را مشخص نماییم. پیشنهاد می شود با
    توجه به اینکه فعال بودن ین سرویس یک پورت روی روتر شما را باز می گذارد در صورتی که از این سرویس استفاده ای ندارید از
    قسمت ToolsBTest Server آن را غیر فعال نمایید و در مواقع نیاز مجدد فعال کرده و از این قابلیت استفاده کنید

    تنظیمات صحیح DNS :
    یکی از شایع ترین حملاتی که روی میکروتیک های دارای IP اینترنتی ایجاد می شود حملات DNS است که باعث اشغال پهنای
    باند و مصرف منابع بالا می شود. لذا برای جلوگیری از این حملات از قسمت IPDNS نسبه به غیر فعال کردن Allow Remote Requests اقدام نمایید یا در مواقعی که نیاز به فعال بودن این گزینه دارید با استفاده از قسمت IPFirewallFilters
    دسترسی به پورت UDP 53 را محدود نمایید.

    غیرفعال کردن درگاه های (Interface) بی استفاده:
    در تجهیزات سخت افزاری میکروتیک درگاه های متععدی قرار داده شده است که ممکن است برخی از آن ها مورد استفاده قرار
    نگیرند . پیشنهاد می شود در مواقعی که نیاز به استفاده از این Interface ها وجود ندارد آن ها را Disable نمایید

    موارد فوق تا حد زیادی می توانند امنیت روتر شما را در مقابل نفوذ و هک تامین کنند و این نکته را مدنظر داشته باشید که با
    تنظیم صحیح فایروال برای جلوگیری از Port Scan ها و استفاده از قابلیت هایی مثل Port knocking می توانید به همراه این
    موارد یک روتر میکروتیک ایمن در مقابل نفودگران ایجاد نمایید.

  4. آرش گفت:

    سلام . ممنون از محمد عزیز و همینطور دوست عزیز آقای برزگر .
    انقدر کامل گفتن که هیچی نمی تونم بهش اضافه کنم . انجام دادن موارد ذکر شده واقعا از واجبات در میکروتیک هست .

  5. AmizMilad گفت:

    من معمولا رو فایروال میکروتیک یه رول اضافه میکنم به اینصورت که اگر ای پی خودم اول میکروتیک رو با یه پکت سایز خاص پینگ کرد و در زمان 30 ثانیه اقدام به لاگین کرد
    بهش اجازه لاگین بده
    اینطوری حتی اگر کسی یوزر و پسورد رو هم داشته باشه تا با پکت سایز خاصی که تعریف کردیم میکروتیک رو پینگ نکنه نمیتونه لاگین کنه
    شاید به درد دوستان هم بخوره
    شاد باشید 🙂

    • Milad گفت:

      درود،

      احتمالا شما یک لیست ایجاد می کنید برای ریکوئست ها با اون خصوصیت با اعتبار 30 ثانیه، در مقابل هم به اون لیست اجازه اکسس به پورت مد نظر را میدید.

      همینطوره؟ خلاقانه هست.

دیدگاه خود را در پاسخ به hamid Barzegar به ما بگویید.