مرکز فروش و آموزش سرورهای ویپ، تجهیزات شبکه و سانترال پاناسونیک

آموزش تغییر پورت پروتکل های مهم میکروتیک (جلسه ۴۳)

تغییر پورت پروتکل های مهم میکروتیک
ویدئوی آموزشیدوره روترهای میکروتیک (جلسه 43)
نویسنده مقاله : تیم تولید محتوا تاریخ انتشار : ۰۹ خرداد ۱۴۰۳ تعداد دفعات نمایش : 1001 شناسه مقاله : 53048 تعداد دیدگاه : ۲ نظر آخرین آپدیت مقاله :
۸ مهر ۱۴۰۳
برچسب

تغییر پورت پروتکل های مهم و پیش فرض میکروتیک (SIP-RTP-SSH)

دوستان عزیز در این درسنامه قصد داریم که درباره ی تغییر پورت های پیش فرض و شناخته شده برایتان صحبت کنیم. البته لازم است بدانید که ما در رابطه با این موضوع در فصل های قبلی مفصلاً صحبت کرده ایم و مثال های عملی نیز زده ایم. با این تفاسیر، این بخش از درسنامه صرفاً برای تاکید بیشتر بر روی این موضوع، طراحی شده است.

تاکید بر این موضوع که شما همیشه باید پورت های شناخته شده و معروف را که برای همه قابل دسترسی است، تغییر دهید. در واقع این موضوع یکی از مهم ترین گام هایی است که باید برای تامین امنیت شبکه میکروتیک بردارید.

توضیحات اولیه

خوب؛ برای انجام این کار ابتدا به سراغ one note می رویم. فرض کنید که قرار است شما سرویسی را راه اندازی کنید یا مثلاً مرکز تلفنی دارید که قصد دارید آن را امن تر کنید. چرا که موضوع امنیت، پروسه ای است که باید برای اکثر مراکز تلفن پیاده سازی شود.

خوب؛ بهترین راهکار برای اینکه بتوانید یک داخلی در خارج از شبکه میکروتیک تان راه اندازی کنید، این است که از DST NAT استفاده نمایید. البته جالب است بدانید که این کار با استفاده از VPN ها و یا تانل ها نیز امکان پذیر است. ولی خوب آن ها به هر حال محدودیت های خاص خودشان را دارند.

این در صورتی است که DST NAT ها این محدودیت ها را ندارند. اما یک شرطی برای انجام این کار با کمک DST NAT ها وجود دارد و آن هم این است که باید تمامی لایه های امنیتی مورد نیاز شبکه پیاده سازی شوند.

تغییر پورت

ببینید برای برقراری لایه های امنیتی شبکه نیاز است که مراحل زیر طی شوند :

  • تنظیمات اکانت
  • سرویس پورت ها
  • کار با FILTER RULE
  • جلوگیری از پورت اسکن
  • جلوگیری از ورود پکت های نامعتبر
  • ساخت ADDRESS LIST  از IP های داخل ایران
  • محدود کردن NAT ها بر اساس ADDRESS LIST
  • محدودیت INPUT بر اساس ADDRESS LIST
  • تغییر پروت پروتکل های مهم و شناخته شده مثل SIP/RTP/SSH
  • پروتکل های ناامن

ببینید ما این کارها را باید برای برقراری یک داخلی خارج از شبکه و برای برقراری امنیت شبکه انجام دهیم.  فرض کنید که شما یک مرکز تلفن بر روی سرور ۱۰۰۱۸۰ دارید. که می خواهید یک تلفن با پورت ۵۰:۶۰ را بر روی آن رجیستر کنید. به پورت ۵۰.۶۰ پورت SIP گفته می شود.

بنابراین لازم است بدانید که این پورت بسیار معروف و شناخته شده است. با این تفاسیر حدسی که هکر در ابتدای کار می زند این است که شما این پورت را باز گذاشته اید.

حالا موضوعی که پیش می آید این است که اگر ما بخواهیم این پورت را به بیرونDST NAT کنیم باید حتماً آن را تغییر دهیم. تغییر پورت ها عموماً به دو روش انجام می شود.

روش اول : ببینید شما می توانید پورت سرویسی که در حال راه اندازی هست را تغییر دهید. مثلاً این سرویس یک سرویس sip می باشد. ما پورت این سرویس را به جای ۵۰۶۰ به ۳۰۶۳۶ تغییر می دهیم. حالا باید همین پورت را بر روی dst nat استفاده کنیم.

تغییر پورت پروتکل های مهم میکروتیک

روش دوم : مسیر بعدی این است که شما زمانی که در حال نوشتن dst nat هستید به پورت ۵۰۶۰ دست نزنید و آن را تغییر ندهید. اما در عوض پورت ورودی مان را تغییر می دهیم. به این صورت که فرمان صادر شود که اگر ورودی این بود باید به این پورت ارسال شود. برای درک بهتر این موضوع، نیاز است که به سراغ میکروتیک برویم.

ما می خواهیم که بر روی میکروتیک مان یک NAT بنویسیم و دو محدودیت برای آن NAT تعریف کنیم. محدودیت اول اینکه پورت پیش فرضمان را تغییر دهیم و محدودیت دوم اینکه ورودی بر اساس یک ADDRESS LIST  مشخص باشد و فقط از ایران NAT شود.

حالا در قسمت NEW NAT RULE نیاز است که یک NAT جدید باز کنیم. CHAIN این نت را بر روی حالت DST NAT  قرار می دهیم. حالا از بخش ADVANCED گزینه SRC ADDRESS LIST  را بر روی حالت I2P LOCATION  می گذاریم. برای قسمت PROTOCOL هم گزینه ی UDP را انتخاب می کنیم. به DSTPORT  عدد ۳۰۶۳۶  می دهیم و IN.INTERFACE را بر روی PPPOE-OUT2 قرار می دهیم.

تغییر پورت پروتکل های مهم میکروتیک

بعد از این مراحل حالا باید ACTION  مورد نظر را تعریف کنیم. برای این کار به بخش ACTION می رویم DST NAT را انتخاب می کنیم. اما برای TO ADDRESS 192.168.10.180  و TO PORT را ۵۰۶۰ قرار می دهیم. حالا OK را می زنیم.

تغییر پورت پروتکل های مهم میکروتیک

به این روال، روال تغییر پورت گفته می شود. این روال برای برقراری هر چه بیشتر امنیت هر شبکه بسیار نیاز است. در واقع به طور خلاصه هرگز نباید در بخش DST PORT شما، پورت های شناخته شده ای قرار گیرد. این بدین معناست که پورت های شناخته شده حتماً باید عوض شوند. چون اگر عوض نشوند به راحتی توسط هکرها هک می شوند.

ببینید دوستان، ما در این فرآیند، چندین مرحله امنیتی تعریف کرده ایم. اولی این است که اصلاً اجازه پورت اسکن وجود ندارد. مورد بعدی این است که اگر به فرض پورت تعریف شده پیدا شود، تنها در شرایطی می تواند به سرور ما وصل شود که حتماً از داخل ایران باشد. چون هر IP که داخل ایران باشد، خیلی راحت و سریع قابل پیگیری خواهد بود.

پس تا به اینجای درسنامه یاد گرفتیم که برای ایجاد امنیت بالا، ابتدا باید برای SRC IP محدودیت ایجاد کنیم. پس باید پورت را تغییر دهیم، پورت اسکن را ببندیم و بعد محدودیت ایجاد کنیم. با انجام این مراحل دیگر خیالتان راحت است که پورت ها به راحتی قابل هک شدن نیستند.

جمع بندی و سخن آخر

خوب؛ تا به اینجای کار تقریباً تمامی نکات مهم گفته شده است. ما قصد داشتیم در این درسنامه به شما بگوییم که اگر قصد راه اندازی هر سرویسی را دارید، نیاز است که برای راه اندازی و برقراری امنیت بیشتر حتماً از پورت های شناخته نشده و نا مرتبط استفاده کنید.

همان کاری که ما در این درسنامه انجام دادیم؛ پورت ۵۰۶۰ را به که یک پورت شناخته شده و معروف است به پورت ۳۰۶۳۶ تبدیل کردیم تا امنیت شبکه را تامین نماییم.

در ادامه اگر شما وب سروری دارید که با پورت ۸۰ کار می کند، بهتر است ورودی آن را فرضاً بر روی ۹۰۲۳ بگذارید. در کل لپ مطلب این است که اصلاً و ابداً فرقی نمی کند که شما چه سرویسی دارید؛ هر سرویسی را که بخواهید راه اندازی کنید باید حتماً حواستان به موضوع تغییر پورت باشد؛ علی الخصوص برای سرویس های مرکز تلفن که بحث امنیت آن ها از اهمیت بالایی برخوردار است.

 

درباره تیم تولید محتوا

تیم تولید محتوا و سئو پی بی ایکس شاپ. در تلاشیم تا بهترین محتوای آموزشی را تولید کنیم، همراه ما باشید

دیدگاه شما درباره این مقاله چیست ؟

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

  1. حمیدرضارستمی گفت:

    درود مهندس همتی عزیز
    قربان در این دوره آموزش تانل از طریق IPsec هم مد نظر دارید؟

    1. سلام و درود
      بله در بخش های بعد آموزش اضافه خواهد شد

پشتیبانی آنلاین واتساپ

منتظر پیام شما عزیزان هستیم