Mik – Bảo mật route MikroTik trước khi bị tấn công

0
244

Mục Lục

1. Giới thiệu

Ai cũng muốn bảo mật cho một thiết bị của mình 1 cách an toàn nhất, kể cả khi bạn đi mua 1 thiết bị Route Mikrotik từ nhà cung cấp dịch vụ hoặc là một nhà bán lẻ, nhưng nếu chúng ta không bảo mật hoặc không khôi phục về trạng thái xuất xưởng thì nguy cơ bị xạm nhập hoặc bị gắn một mã độc vào hệ thống Mikrotik của chúng ta là rất cao. Vì thế, việc cần làm trước khi mua 1 thiết bị Mikrotik về là cần làm những điều sau đây, khi vọng giúp các bạn tránh xa ra khỏi nằm trong tầm ngắm của hacker.

1. Reset cấu hình ban đầu Mikrotik

Khi đã có thiết bị Mikrotik trong tay, đầu tiên cầu reset cấu hình về trạng thấy xuất xưởng.
Vào system –> reset configuration Check vào No Default Configuration và chọn reset Configuration

2. Cập nhật phiên bản mới nhất

  • Thông thường khi bạn mua một thiết bị Route Mikrotik về thì việc đầu tiên cần làm sẽ là cập nhật lên phiên bản mới nhất, bản mới nhất giúp các bạn vá lỗi ở những phiên bản củ, để thực hiện điều này, chúng ta làm như sau.

Vào system –> packages ( check for update )

Trường hợp báo can not file thì vào IP –> DNS Server 8.8.8.8 8.8.4.4 để kiểm tra thông tin phiên bản mới nhất. Nếu không nâng cấp lên version mới nhất thì có nguy cơ bị lỗ hỏng rất cao, tạo cơ hội cho các hacker xâm nhập vào lỗ hỏng của phiên bản hiện tại.

3. Đổi tên truy cập trên Mikrotik

Vào system –> Users . trong này mặc định là user admin. sẽ có 2 option cho các bạn lựa chọn.
1 là user admin và đổi mật khẩu.
2 là tạo tên khác kèm theo mật khẩu
Để tạo tên mới chọn vào dấu + sẽ hiện ra bản Ner User

Trong phần Group có 3 option. 1 là Full quyền, 2 là quyền đọc và 3 là quyền write
Full quyền: cho phép user đó thực hiện được mọi thao tác trên Mikrotek, không bị ngăn cản
Quyền Read: cho phép user chỉ được xem và không làm được làm gì trên Mikrotik
Quyền Write: cho phép chỉnh sửa nhưng còn hạn chế thấp hơn quyền Full.
Allow address:
Ví dụ công ty hiện tại đang dùng 3 lớp mạng: lớp A, Lớp B, lỚP C. bây giờ admin Chỉ cho phép IP lớp A truy cập vào Mikrotik thì nhập IP Lớp A vào.

– Tại Tab Group chúng ta có thể thêm quyền do chúng ta thiết lập như bản sau

4. Tắt cổng Ether không cần thiết

Tại menu bên trái mikrotek, chọn interface hiện ra như hình.

Trên con Mikrotek hiện tại có 4 port Ether. port 1 làm WAN. port 2 và port 3 làm LAN ( Bridge_LAN, còn port 4 trống, chúng tat disable port này. tránh trường hợp người khác cắm dây vào Mikrotik của chúng ta. chọn dấu X để disable

Ngoài ra trên những dòng Mikrotik khác nếu có cổng console thì disable luôn.
vào system –> console

5. Tắt module không cần thiết trên Mikrotik

Thông thường khi khởi động 1 route Mikrotik thì mất tầm 10 đến 30s tùy thuộc vào route đó. để cải thiện được tình trạng chậm này, chúng ta thực hiện như sau.
vào system –> package

6. Tắt dịch vụ đang chạy

Vào IP –> Services hiện tại tắt cả dịch vụ đang được mở. để tắt 1 dịch vụ bất kì, chọn dấu X để disable

7. Tắt tính năng hiển thị Neighbors

Khi bật winbox lên, chúng ta thường không để ý phần Neighbors tại sao hiện ra nhiều như vậy, chỉ qua là chưa tắt thôi, để tắt tính năng này chúng ta vào IP –> Neighbors

Cọn 1 port bất kì, chọn Discovery Setting, chọn none. để bật lại, chọn all và tích vào ô bên trái để hiển thị dấu chấm than !

8. Cập nhật ngày giờ từ xa

Cập nhật ngày giờ cho phép Mikrotik ở Local có thể đồng bộ được thời gian với google.
Vào system –> SMTP Client vào nhập vào time.google.com

9. Tắt seri number trên mikrotik

Nếu công ty đang dùng IP Tĩnh thì không nên public IP ra ngoài, nhằm tạo cơ hội cho hacker nhòm ngó. nếu Công ty dùng IP động thì cần phải cân nhắc mở hay không.
Vào IP –> Cloud và check vào Enbale lên để thực hiện truy cập từ xa.
Trong bản này có thông tin như sau: serinumber.sn.mynetname.net
Chữ im đậm là mặc định. còn serinumber là seri trên Mikrotek của bạn

10. Tắt LCD dòng RB2011 RB3011

Vào system –> LCD. đối với dòng RB2011 và RB 3011 thì có LCD này, tránh trường hợp người khác nhìn bạn thao tác

11. Chặn hacker xâm nhập hệ thống mikrotik

Nếu chúng ta mở port FPT truy cập ra ngoài mà không dùng cách này, có lẻ đang tạo cơ hội cho hacker xâm nhập trái phép vào hệ thống của chúng ta.
Vào IP –> Firewall. tại Tab Filter Rules chưa có gì.

bây giờ nhập thiết lập bằng code như sau: Chọn new Terminal bên trái của Mikrotik
Drop FTP

add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
comment="drop ftp brute forcers"

add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m

add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \
address-list=ftp_blacklist address-list-timeout=3h

Xem File hướng dẫn: tại đây

Dòng lệnh trên cho phép chặn những thiết bị truy cập qua giao thức FTP. nếu vượt qua giới hạn cho phép thì bị chặn sau 3h

DROP telnet

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute forcers" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=10d comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \
address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

Xem File hướng dẫn: tại đây

để kiểm tra, thử truy cập vào trình duyệt gõ: fpt://172.16.1.1 . nhập sai nhiều lần bị khóa như sau.

vào IP –> Firewall, chọn Tab Address lists để kiểm tra IP vừa bị chặn.

Kiểm tra log trên Mikrotek. chọn Log.

So sánh giữa 2 bảng trên, ip 172.16.1.253 đang cố tình truy cập vào route mikrotek của chúng ta. thời gian được mở lại là 3h do đã thiết lập ban đầu. chúng ta có thề tự thiết lập chặn ip theo chúng ta thì chọn Tab Address lists chọn + để thêm thông tin

12. Tổng kết

Như vậy, muốn tốt cho route mikrotek cho công ty cũng như nâng cao tầm bảo mật tốt thì nên tham khảo 1 số tính năng mình vừa nói bên trên, hi vọng giúp ích được 1 phần nào đó cho các bạn trong phần quản trị Route Mikrotek.

13. Tài liệu tham khảo

  1. MikroTik Viet Nam
  2. Bruteforce login prevention

Tham khảo thêm chủ đề Mikrotek tại https://trungthienit.com/category/open-source/mikrotek

LEAVE A REPLY

Please enter your comment!
Please enter your name here