سرویس پورت های پیش فرض میکروتیک (جلسه ۲۹)

آشنایی با سرویس پورت های پیش فرض میکروتیک 

قرار است که ما در این بخش در رابطه با سرویس پورت های پیش فرض میکروتیک، صحبت کنیم.

توضیحات اولیه

ابتدا توضیحی در رابطه با سر فصل هایمان بدهیم. ما در سر فصلی که برایتان در ابتدا در نظر گرفتیم یعنی در بحث امنیت، مواردی را داریم که باید پیاده سازی کنیم. ما این موارد را کپی کرده و در بخش Security در میکروتیک قرار دادیم که دسترسی یافتن به آن ها، برایمان آسان تر باشد. 

ما در بخش اول در رابطه با اهمیت امنیت و همچنین در رابطه با امنیت در مرکز تلفن، صحبت کردیم و گفتیم که در شبکه های کامپیوتری که این روزها با شبکه ی مخابراتی ادغام شده اند، ما باید امنیت را لحاظ کنیم و هیچ فرقی نمی کند که ما در حال استفاده کردن از چه مرکز تلفنی هستیم و در مرحله ی بعد نیز در رابطه با امنیت در لبه ی شبکه صحبت کردیم و گفتیم که ما باید جلوی حملات را در ابتدای شبکه ی LAN بگیریم که حمله ای وارد شبکه نشود؛ نه این که حملات به شبکه وارد شوند و بعد هدف ما این باشد که روی آن سرور یا کلاینت، امنیت را تأمین کنیم.

این راهکار درستی نیست و بهترین راهکار، این است که ما روی فایروالمان که در لبه ی شبکه قرار دارد، بتوانیم امنیت را با پالیسی هایی(Policy) که در این دوره قرار است پیاده سازی کنیم، تأمین کنیم.

ما در بخش قبلی، دقیقاً در رابطه با اکانت صحبت کردیم و گفتیم که حتماً باید اکانت پیش فرض میکروتیک را پاک کنید و اکانت دیگری را با نام برند مورد نظرتان بسازید و پسورد را نیز با سایت های آنلاین چک کرده و یک پسورد قوی برای آن در نظر بگیرید. ما قرار است که در این ویدئو در رابطه با سرویس پورت های پیش فرض میکروتیک، صحبت کنیم.

سرویس پورت پیش فرض میکروتیک

میکروتیک ما، میکروتیک RB 951 است. ابتدا به قسمت IP بخش Services می رویم. این بخش، سرویس های فعال و پیش فرض میکروتیک را به ما نشان می دهد.

 اگر از بالا به پایین نگاه کنید، این موارد را می بینید:

api، ftp که فوق العاده خطرناک و ناامن است، ssh، telnet که واقعاً خطرناک است، Winbox و پروتکل وبمان(www) و در نهایت ssl. ما پیشنهاد می کنیم که اگر به دسترسی خاصی نیاز ندارید، این موارد را غیر فعال کنید. اگر هم قرار است که از بیرون یعنی از خارج از شبکه ی LAN به میکروتیک وصل شوید، راهکارهایی را به شما می گوییم که امن باشند و بعد از این مینی دوره که در رابطه با مبحث امنیت است در رابطه با آن، صحبت خواهیم کرد و به شما می گوییم که باید چه کار کنید.

برای مثال یک تانل را پیاده سازی کرده و با استفاده از تانل به میکروتیک وصل شوید و ما تا حد ممکن، این سرویس ها را غیر فعال می کنیم. ما در این قسمت، یک Winbox نیز داشتیم که این مورد، برای وصل شدن به میکروتیکمان است و همان طور که مشاهده می کنید، پورت پیش فرض آن ۸۲۹۱ است. حال نکته ای را به شما بگوییم.

شما می توانید روی این سرویس ها، لایه های امنیتی را نیز پیاده سازی کنید؛ اما نظر ما این است که اگر برای مثال خواستید سرویس ssh را روی میکروتیکتان فعال کنید، این کار را در این قسمت انجام ندهید؛ بلکه در قسمت رول ها به آن بپردازید.

 این بدین معنا است که رولی را برای آن بنویسید و ابتدا سورس و آی پی را چک کنید. برای مثال: اگر از کشورهای خارجی نبود. همچنین می توانید Policyهای مختلفی را برای آن ایجاد کرده و بعد تعیین کنید که بتواند ssh بزند و یا اگر قرار است همیشه از یک آی پی Static خاصی به این میکروتیک وصل شوید، آن IP را نوشته و تعیین کنید که اگر آن IP بود، بتواند به روتر میکروتیک ssh بزند و در غیر این صورت، پکت هایتان را drop کند.

حال در مورد این موضوع در بخش های بعد، صحبت خواهیم کرد. ما در این مرحله، پیشنهاد می کنیم که تمام سرویس ها را غیر فعال کرده و Winbox را نیز، غیر فعال کنید.

اکنون ما Winbox را غیر فعال کردیم؛ اما به آن وصلیم. این موضوع در مورد چه مواقعی صدق می کند؟ برای مواقعی که شما بخواهید از خارج از شبکه به آن وصل شوید و به اصطلاح، قرار است که با IP وصل شوید. ما اکنون از طریق MAC به میکروتیکمان وصل هستیم. اگر ما Winbox را بسته و مجدداً باز کنیم، میکروتیکمان را مشاهده می کنیم و ملاحظه می کنیم که با MAC به آن وصل شده ایم.

حال اگر IP را بزنیم، مشاهده خواهیم کرد که کانکت نمی شویم. پس اگر سرویس Winbox را در قسمت IP Services غیر فعال کنید، دیگر نمی توانید با IP به میکروتیک وصل شوید. تحت وب آن نیز، www بود که بستیم. الان ما فقط می توانیم از طریق MAC به روتر میکروتیکمان وصل شویم.

حال به قسمت IP بخش Services می رویم. ملاحظه می کنیم که به هیچ عنوان نمی توانیم از طریق وب(www) وصل شویم و از طریق Winbox (که از طریق IP است؛ چون MAC در لایه ای قبل از IP است و ما در دوره ی نتورک در مورد آن صحبت کردیم)، امکان انجام دادن این کار وجود دارد.

 یکی از کاربردهای بحث لایه های شبکه در همین قسمت است. ما الان در لایه ی شبکه بستیم و نمی توانیم از طریق IP به میکروتیکمان وصل شویم؛ حال چه تحت وب باشد و چه تحت Winbox. فقط می توانیم به صورت Local از طریق MAC به میکروتیک وصل شویم؛ یعنی می توان گفت که امنیت آن را به میزان زیادی، افزایش دادیم؛ اما این کافی نیست. لازم است که ما کارهای زیاد دیگری را نیز، انجام بدهیم که می خواهیم در بخش های دیگری در رابطه با این موضوع، صحبت کنیم.

الان اگر ما Winbox را باز کنیم، می توانیم از طریق IP نیز به میکروتیکمان وصل شویم؛ ولی تنها از طریق Winbox می توانیم این کار را انجام دهیم. آیا از طریق مرورگر نیز می توانیم؟ خیر، مرورگر به www ربط دارد.

پس برای بالا رفتن امنیت، ما Winbox را غیر فعال می کنیم و یا اگر خیلی مورد نیاز باشد، پورت آن را تغییر می دهیم؛ یعنی پورت ۸۲۹۱ را به پورت ۶۲۳۲۱ تغییر می دهیم که دسترسی یافتن به آن، سخت تر باشد؛ اما در کل پیشنهاد می دهیم که آن را غیر فعال کنید و برای وصل شدن به Winbox از تانل ها و یا از پروتکل های امن مانند L2TP استفاده کنید که گفتیم بعد از مینی دوره ی امنیت در رابطه با تانل ها نیز، صحبت خواهیم کرد و به شما خواهیم گفت که چگونه با خیال راحت به میکروتیک وصل شوید.

پس ما کل سرویس ها را غیر فعال کردیم و می توان گفت که امنیت را یک مرحله، روی میکروتیکمان افزایش دادیم و ما می توانیم در بخش رول ها از این سرویس ها استفاده کرده و یک سری Policyهای بیشتری را نیز، روی آن لحاظ کنیم؛ اما ما فعلاً در این مرحله، غیر فعال می کنیم تا در بخش بعدی که می خواهیم فیلتر رول ها را با چندین مثال برایتان شرح دهیم، سپس در مورد پروتکل های دیگر نیز، صحبت خواهیم کرد. فعلاً عجله نکنید. ما در این مرحله، اکانت پیش فرض را تغییر دادیم و کل سرویس پورت ها را نیز بستیم.