آموزش پیاده سازی لایه های امنیت روتر میکروتیک (جلسه ۵۰)

پیاده سازی لایه های امنیت و تامین امنیت کانکشن های L2TP

خوب؛ ما در بخش قبل درباره L2TP برای شما صحبت کردیم و به صورت اولیه یک کانکشن مجازی بین دو روتر روی زیر ساخت اینترنت برقرار کردیم و یک مقدار هم درباره امنیت برای شما عزیزان توضیح دادیم. حالا در این بخش قصد داریم که به صورت کاملاً اصولی به پیاده سازی امنیت بپردازیم و لایه های امنیتی که در فصل های قبل درباره آن ها صحبت کردیم را نیز پیاده سازی نماییم.

در ادامه نیز درباره چند مورد مهم که حتما روی کانکشن های L2TP باید لحاظ شوند هم صحبت خواهیم کرد. بنابراین برای یادگیری تمامی این موارد، در ادامه با ما همراه باشید :

توضیحات اولیه

خوب ابتدا نیاز است که یک مرور سطحی و سریع روی مباحث قبل داشته باشیم. دوستان ما در جلسه ی قبل دو تا روتر را برای شما پیاده سازی کردیم که یکی در سمت راست و دیگری در سمت چپ مجموعه قرار داشتند. ما روتر سمت راست را به عنوانSERVER  L2TP در نظر گرفتیم و روتر سمت چپ را نیز به عنوان L2TP CLIENT که قرار است به L2TP SERVER ما متصل شود، معرفی کردیم. اگر خاطرتان باشد روتر سمت راست یعنی ۲.۱۷۶.۶۷.۴۱ را به عنوان آی پی پابلیک در نظر گرفتیم و L2TP CLIENT هم در حال ارسال ریکوئست به این آی پی می باشد.

خوب ابتدا نیاز است که روی هر دوی روترها یک یوزر جدید بسازیم. این بدان معناست که باید یوزر پیش فرض یعنی ADMIN پاک شود. بعد از این کار حالا در قسمت IP à SERVICES تمام سرویس های پیش فرض میکروتیک را غیر فعال می کنیم.

به دنبال این موضوع نیاز است که در قسمت ADDRESS LIST یک لیستی از آی پی های ایران را تعریف کنیم. این لیست شامل ۱۹۸۹ تا IP است و باید بر روی هر دو روتر تعریف شود. در ادامه در قسمت FILTTER ROULE برای هر روتر رول هایی را که نیاز داشتیم را مینویسیم.

خوب حالا در روتر سمت راست که به عنوان L2TP SERVER تعریف شده، اولین رول را در ارتباط با حذف کلیه درخواست هایی که روی درگاه PPPOE OUT 1 وارد می شود و سورس ایران ندارد، می نویسیم. این بدان معناست که هر درخواستی خارج از لیست IPهای داخل ایران، اجازه ورود به شبکه را ندارند و حتماً باید DROP شوند. بعد از این مرحله نیاز است که IMCP بسته شود. بر طبق این سناریو هر IMCP فرقی نمی کند که داخل ایران باشد یا خارج از ایران، باید حتماً دراپ شود. درخواست بعدی نوبت به بسته شدن PORT SCAN می رسد.

در ادامه در رول بعدی پکت های TCP و  INVALID تماماً دراپ خواهند شد. البته این دستور دراپ شدن بر روی فوروارد های INVALID نیز تعریف می شود. در واقع فرقی نمیکند که پکت ها داخل شبکه باشند یا در حال ارسال، تحت هر شرایطی هر درخواستی که INVALID بود باید دراپ شود. خوب دوستان این موارد همان رول هایی بودند که ما در فصل امنیت تعریف کردیم. البته ما درباره تمامی این رول ها بارها و بارها در فصل امنیت مفصلا توضیح داده ایم.

اما حالا موضوعی که ما قصد داریم در این مرحله درباره اش صحبت کنیم مربوط به L2TP می باشد. کاری که ما انجام داده ایم این است که ابتدا یک تانل ایجاد کرده ایم. در واقع الان ما روی شبکه مان در حال ایجاد دسترسی می باشیم.

بررسی موضوع امنیت در پروتکل های L2TP!

ببینید دوستان یکی از نکات مهمی که ما در بخش قبل درباره آن صحبت کرده بودیم بحث پسوورد گذاشتن بود. ما گفته بودیم که اگر شما قصد گذاشتن پسوورد در هر جایی را داشتید، باید در نظر داشته باشید که پسووردتان فقط عدد نباشد. در واقع سعی کنید که حتماً از حروف کوچک و بزرگ در پسووردتان استفاده نمایید و حداقل از ۱۲ تا ۱۴ کاراکتر برای تعریف پسووردتان استفاده کنید.

البته به این موضوع هم در زمان ران کردن L2TP سرور در INTERFACE به این موضوع هم اشاره کرده بودیم که حتماً باید برای IPSEC یک پسوورد خوب تعریف کنیم. خوب این اولین قدم ما بود؛ در گام بعدی حتماً باید USER NAME  و پسووردمان را در VPN نیز تغییر دهیم و یک پسوورد قوی ایجاد کنیم.

حالا مطلبی که میخواهیم درباره آن صحبت کنیم در رابطه با L2TP می باشد. ابتدا باید به سراغ INTERFACE سپس L2TP SERVER و بعد به بخش ATHENTICATION بروید. اگر خاطرتان باشد در رابطه با پروتکل PPTP این موضوع مطرح شد که هرگز از این پروتکل برای شبکه مان استفاده نکنیم. چون این پروتکل به صورت یک متن ساده ارسال می شود. جالب است بدانید که در قسمت L2TP SERVER بخش ATHENTICATION نیز گزینه PAP همین کار را می کند. در واقع فعال بودن دو گزینه PAP و CHAP باعث از بین بردن امنیت شبکه می شوند و بنابراین بهتر است که به جهت تامین امنیت بیشتر غیر فعال شوند.

هرسوالی که داری در انجمن مطرح کن

خوب دوستان این اولین نکته در مسیر تامین امنیت L2TP بود. موضوع بعد بحث IPSEC است که به نوبه خود از اهمیت بسیار بالایی برخوردار می باشد. برای تنظیمات این موضوع ابتدا به سراغ IP و بخش IPSEC می رویم. ببینید عزیزان ما زمانی که داریم از L2TP استفاده می کنیم، در واقع داریم از این پروتکل برای INCREAPT کردن و تامین امنیت بیشتر کمک میگیریم.

به دنبال این موضوع در IPSEC در سربرگ اول یعنی POLICIESبه دنبال این موضوع در IPSEC در سربرگ اول یعنی POLICIES، مشاهده می کنیم که یک کانکشن با آی پی تعریف شده و پورت ۱۷۰۱ روی UDP برقرار شده است. اما در قسمت PROPOSAL ما باید در قسمت AUTH.ALGORITHMS و ENCR.ALGORITHMS برای تامین شبکه تغییراتی را ایجاد نماییم.

این تغییرات شامل این موارد می شوند که ابتدا AUTH.ALGORITHMS را روی گزینه SHA25T و SHA1 را غیر فعال کنید و ENCR.ALGORITHM را روی AES-256CBC بگذارید و AES-128 و ۱۲۹ را غیر فعال کنید. در نهایت روی دکمه APPLY کلیک کنید و مشاهده کنید که اتصال برقرار است.

خوب موضوع بعدی بحث امنیت روی L2TP، کارهایی است که باید روی FILTTER RULE انجام شود.

امنیت L2TP از طریق FILTTER RULE!

خوب دوستان؛ موضوعی که می خواهیم در این قسمت درباره آن صحبت کنیم باز مرتبط با موضوع فصل امنیت و کار کردن با رول هایی که در بخش NAT در فیلترها با آن سر و کار داریم، می باشد.

ما روی روترمان، یعنی جایی که قرار است دسترسی ایجاد کنیم و L2TP سرورمان را راه اندازی نماییم؛ یعنی همان روتر سمت راست مان، نیاز است که کمی محدودیت مان را روی L2TP بیشتر نماییم. ببینید دوستان ما در فایروال رول، در بخش جنرال نوشته بودیم که اگر درخواستی داشت وارد یک میکروتیک میشد از اینترنت ما بود و داخل ایران نبود، حتماً دراپ شود.

حالا اگر ما این شرط را برعکس کنیم؛ یعنی این رول را بنویسیم که آی پی های داخل ایران دراپ شوند، اتفاق متفاوتی خواهد افتاد!

ما در بحث امنیت به این موضوع اشاره کرده بودیم مواردی که قرار است دراپ شوند را ما به دو صورت می توانیم بنویسیم:

روش اول: به این صورت که، موارد مطلوب ما اکسپت شوند و روش دوم: اینکه موارد نامطلوب، دراپ شوند.

حالا ما اینطور نوشتیم که اگر پکتی داشت وارد میکروتیک میشد و داخل ایران بود، دراپ شود. در این شرایط به هیچ وجه اتصالی با L2TP برقرار نخواهد شد. چرا؟ چون آی پی های داخل ایران را دراپ کرده ایم. با ذکر این موضوع و بررسی اتصال و گرفتن پینگ، متوجه میشویم که نتیجه درست است و اتصال برقرار نشده است.

خوب؛ پس ما آمدیم و رول را چک کردیم! بر طبق این رول ما می توانیم بگوییم که این ئدو روتر در صورتی به هم وصل می شوند که در ایران باشند. بنابراین بر طبق این رول، تمامی ورودی ها با هر پروتکلی که خارج از ایران است، دراپ خواهند شد.

البته ما در این رول بازه ی خیلی بزرگی را تعریف کرده ایم. اما یک وقت هایی شما قصد دارید که فقط L2TP را محدود کنید که برای این موضوع نیز به راحتی می توانید RULE بنویسید.

کلاً دوستان بحث امنیت و رول نویسی موضوعی است که شما بارها و بارها باید آزمون و خطا کنید. در نهایت یادتان باشد که وقتی هر سرویسی و یا هر ارتباطی را دارید برقرار می کنید، فرقی هم نمی کند که به چه وسیله ای باشد، موضوع امینت باید همه جوره در این پروسه لحاظ شود. این کار به راحتی با فیلتر رول امکان پذیر خواهد بود.