مرکز فروش و آموزش سرورهای ویپ، تجهیزات شبکه و سانترال پاناسونیک

پنل کاربری
جستجو
بستن
جستجو
جستجو
0
پنل کاربریورود / عضویت
تخفیف ها
فروش ویژه
دانلود ها انجمن
شروع از کجا شروع کنم

آشنایی با نکات مهم در سرویس پورت ها (جلسه ۳۷)

نکات مهم در سرویس پورت های میکروتیک
ویدئوی آموزشیدوره روترهای میکروتیک (جلسه 37)
نویسنده مقاله : تیم تولید محتوا تاریخ انتشار : ۱۲ اردیبهشت ۱۴۰۳ تعداد دفعات نمایش : 424 شناسه مقاله : 52394 تعداد دیدگاه : بدون نظر آخرین آپدیت مقاله :
۴ تیر ۱۴۰۳
برچسب
دسته بندی

نکات مهم در سرویس پورت های میکروتیک  

دوستان ما در این بخش، می خواهیم در رابطه با سرویس پورت ها صحبت کنیم و یک سری نکات وجود دارند که در بخشی که در رابطه با سرویس پورت صحبت کردیم، جا مانده بودند و ما باید حتماً ابتدا در مورد فیلتر رول ها برایتان توضیحاتی ارائه می دادیم که بعد بتوانیم در این قسمت، آن را تکمیل کنیم. بنابراین نکاتی در مورد سرویس پورت ها وجود دارند که ما قصد داریم در رابطه با آن ها، صحبت کنیم.

نکات مهم در مورد سرویس پورت ها

ابتدا به سراغ میکروتیک می رویم. ما در بخش قبلی، اولین رول را ایجاد کردیم و icmp را روی آی پی پابلیکمان بستیم و آن را با یک آی پی پابلیک دیگر نیز، تست کردیم و ملاحظه کردیم که دقیقاً در حال کار کردن است و بسته شده است.

حال به قسمت IP Services می رویم. گفتیم سرویس هایی در این قسمت وجود دارند که به صورت پیش فرض روی میکروتیک فعال هستند و ما باید این سرویس ها را غیر فعال کنیم.

دوستان ما در این بخش در رابطه با پورت اسکن، مطالبی را شرح می دهیم و ابزارهایی را نیز برای اسکن پورت های آی پی پابلیک شما به شما معرفی می کنیم که این موضوع با قسمت بعدی مرتبط است و ما در قسمت بعدی، آن را تکمیل خواهیم کرد که دقیقاً موضوع بستن پورت اسکن است که دیگر نتوانند پورت های ما را اسکن کنند.

شما در قسمت IP Services، سرویس هایی را مشاهده می کنید که می توانید از آن ها روی میکروتیک استفاده کنید. برای مثال، ما قبلاً ssh را بسته بودیم. اکنون ssh را باز می کنیم و پورت آن ۲۲ است.

ما همچنان با آی پی ۴۶.۱۰۰ هستیم؛ یعنی سیستم ما در یک رنج آی پی دیگر با یک آی پی پابلیک دیگر  بوده و میکروتیکمان در یک آی پی پابلیک دیگر است و به هم هیچ ربطی ندارند. ما فقط در حال دیدن محیط تنظیمات میکروتیک هستیم و از لحاظ شبکه ای، اصلاً به آن وصل نیستیم. آی پی سیستم ما ۴۶.۱۵۳.۲۴۴ است و ما می خواهیم با این آی پی به آی پی پابلیک میکروتیکمان، ssh بزنیم.

حال به قسمت  IP Address می رویم و آی پی آن را وارد می کنیم. آی پی ۲.۱۷۶.۱۰۹.۱۳۰، آی پی پابلیک میکروتیکمان است. حال ما ssh را باز کردیم. پوتی(putty) ssh ما است و ما می خواهیم به آی پی ۲.۱۷۶.۱۰۹.۱۳۰ با پورت ۲۲، ssh بزنیم. Ok را زده و سپس بر روی Accept که به ما نشان می دهد، می زنیم و در نهایت صفحه ی پوتی را مشاهده می کنید که در حال وصل شدن به آن است. اگر یوزرپس را بزنیم به میکروتیکمان وصل می شویم؛ چرا؟ چون ssh فعال است.

نکات مهم در سرویس پورت ها

نکته ی بسیار مهم، این است که اگر قرار باشد ما سرویسی را روی میکروتیکمان فعال کنیم، حتماً باید پورت آن را تغییر دهیم؛ یعنی به هیچ عنوان نباید از پورت پیش فرض استفاده کنیم. این یک نکته ی امنیتی و بسیار مهم است. بنابراین یکی از راه های امنیتی چیست؟ این است که ما پورت های پیش فرض را تغییر دهیم.

این برای چندمین بار است که ما بر این موضوع تأکید می کنیم! مشابه این که ما icmp را روی آی پی پابلیکمان بستیم، اگر در حال استفاده کردن از هر پورتی برای برقراری ارتباط به میکروتیک یا به هر سرویس دیگری هستید، باید پورت پیش فرض را تغییر دهید؛ یعنی ما نباید با پورت ۲۲ به میکروتیکمان وصل شویم؛ هر چند که در حال برقراری امنیت نیز هستیم، باید پورت ۲۲ را تغییر دهیم. این نکته ی بسیار مهمی است.

بنابراین ما باید پورت های پیش فرض را تغییر دهیم. اکنون ما برای مثال، پورت پیش فرض آن را به ۴۵۴۵ تغییر می دهیم.

اکنون پوتی را مجدداً باز کرده و آی پی آن را ۲.۱۷۶.۱۰۹.۱۳۰ وارد می کنیم. پورت آن نیز، ۴۵۴۵ است. ok را می زنیم و دوباره به آن وصل شدیم.

تغییر پورت پیش فرض روتر میکروتیک

وقتی نوشته شده Login as در این حالت یعنی ما به میکروتیک وصل شده ایم.

وصل شدن به روتر میکروتیک با نرم افزار putty

نکته ای که ما می خواستیم در این قسمت به شما بگوییم، این است. ببینید الان برای مثال، ما سرویسی مانند ssh را با پورت ۴۵۴۵ روی میکروتیکمان فعال کردیم و می توانیم به میکروتیکمان ssh بزنیم. نکته ای که مهم است، این است که ما باید حتماً یک لایه ی امنیتی را برای آن در نظر بگیریم. برای مثال باید محدودیتی را بر روی آن ایجاد کنیم.

حال چه محدودیتی؟ برای مثال می توانیم در قسمت IP Services، آی پی خاصی را وارد کنیم و بگوییم که فقط این آی پی با این پورت می تواند به میکروتیک ما ssh بزند. راهکار بهتر آن چیست؟ راهکار بهتر این است که ما در قسمت فیلتر رول ها، این کار را انجام دهیم؛ یعنی بنویسیم که اگر قرار بود برای مثال Chain آن در حالت Input بوده و پورت آن tcp باشد و دستینیشن آن ۴۵۴۵ و اینترفیس آن pppoe-out2 (اینترنت) باشد و قرار باشد که Accept شود؛ ما این را Apply می کنیم.

نکات مهم در سرویس پورت های میکروتیک

حال بگذارید با MobaXterm کار کنیم. MobaXterm برای این کار، مقداری مناسب تر است. ۱۰۲.۱۷۶.۱۰۹.۱۳۰ را وارد کرده و پورت آن را ۴۵۴۵ قرار می دهیم و ok را زده و نهایتاً Accept را می زنیم. Login as را مشاهده می کنیم که این یعنی عملاً به میکروتیکمان وصل شده است. ما الان به آی پی ۱۰۲.۱۷۶.۱۰۹.۱۳۰ با پورت ۴۵۴۵ وصل شده ایم. حال مشاهده می کنید که Accept شده و در حال تطبیق پیدا کردن با این رول (رول شماره ی ۸) است.

حال نکته ی مهم این است که فیلتر رول ها، دقیقاً در لبه ی شبکه ی شما قرار دارند؛ البته قبل از فیلتر رول هم ما چیزهایی داریم که اکنون به این موضوع مرتبط نیست و در سطح های پیشرفته تر امنیت در مورد آن صحبت می شود. شما این طور فرض کنید که فیلتر رول ها، لبه ی درگاهمان هستند. پکتی که بخواهد وارد میکروتیک شود، ابتدا باید روی فیلتر رول، ارزیابی شود.

اگر شما policy ای دارید، باید آن را در همین قسمت پیاده سازی کنید؛ یعنی اگر ما Accept را به drop تغییر دهیم چه اتفاقی می افتد؟ ما گفتیم input تی سی پی ۴۵۴۵ از اینترنت (pppoe-out2)، drop شود. این را Reset یا Reset All می کنیم. ما در این بخش drop کردیم؛ اما هنوز در IP Services فعال است؛ چه اتفاقی می افتد؟ الان شما باید حدس بزنید.

گفتیم که فیلتر رول ها روی لبه ی شبکه هستند؛ یعنی اگر در این قسمت drop شود، دیگر قسمت IP Services اهمیتی ندارد. نکته ی مهم همین است و باید به آن دقت کنید. بنابراین ما امنیت را در فیلتر رول ها در همین قسمت پیاده سازی کرده و قرار می دهیم. حال بعداً می توانیم بگوییم که در این بخش چه ssh ای فعال باشد. این موضوع به بخش دوم مربوط می شود و قدم بعدی است.

حالا دقت کنید که اگر ما روی رکوردی که ایجاد کردیم Double Click کنیم، صفحه ی دیگری برایمان باز می شود. ما الان در حال وصل شدن به میکروتیک با آی پی دیگری به ۴۵۴۵ و ssh هستیم. اگر روی رکورد Double Click کنیم، مشاهده می کنیم که کانتر می اندازد و در این بخش در حال drop شدن است. اگر دقت کنید می بینید که دیگر Login as را به ما نشان نمی دهد هر چند که این بخش باز است.

بنابراین، این مورد چه چیزی را نشان می دهد؟ نشان می دهد که شما می توانید در فیلتر رول ها، سرویس ها را نیز کنترل و مدیریت کنید. این موضوع، نکته ای بود که ما می خواستیم در این بخش به شما بگوییم. گفتیم به صورت عملی نیز به شما بگوییم که در ذهنتان باقی بماند. بنابراین ما می توانیم در فیلتر رول ها، سرویس ها را نیز کنترل کنیم.

حال اگر ما drop را از این قسمت برداریم و آن را غیر فعال کنیم و رکورد ۱۳۰ را دوباره باز کنیم، مشاهده می کنیم که Login as را به ما نشان می دهد؛ یعنی به آن وصل شده است.

حالا اگر این امر برعکس شود، یعنی به جای drop در قسمت Action، Accept باشد و ما ssh را غیر فعال کنیم چه اتفاقی می افتد؟ دقت کنید ما ابتدا کانتر را صفر می کنیم. مشاهده می کنید که ۴ پکت آمده و هر ۴ پکت نیز، Accept شده اند اما وصل نشده اند؛ چرا؟ چون سرویسی فعال نیست و ما ssh را غیر فعال کرده بودیم؛ بنابراین این دو به یک دیگر وابسته اند.

ابتدا شرایط در قسمت رول ها چک می شود و بعد به سراغ این سرویس می رود که ببیند آیا چنین سرویسی اصلاً وجود دارد یا خیر که اگر وجود داشت و یا باز یا فعال بود، انجام شود و اگر وجود نداشت، دیگر چیزی نیست که بخواهد انجام شود.

برای مثال ما پورت ۸۰ را روی یک وب سرور باز کردیم ولی در سمت دیگر، وب سروری نداریم و در این صورت، چیزی نیست که بخواهد به ما نشان بدهد. این قسمت نیز، همین مفهوم را می رساند. ما خواستیم به شما بگوییم که شما می توانید لایه ی امنیتی را برای این سرویس پورت ها در فیلتر رول ها، اجرا کنید.

حال اگر بخواهیم مثالی کاربردی به شما بگوییم که بعداً آن را پیاده سازی می کنیم، می توانیم بگوییم که هر کسی که خواست ssh بزند، فقط بتواند از داخل ایران ssh بزند. الان ما در گام اول، icmp آن را بستیم؛ یعنی پینگ آی پی پابلیک ما را ندارد و در گام دوم، پورت sshخودمان را عوض کردیم و در گام سوم، گفتیم که فقط از داخل ایران یعنی فقط با آی پی های پابلیک ایران بتوانند ssh بزنند.

قرار است که ما این گام سوم را در بخش های بعدی پیاده سازی کنیم؛ فعلا عجله نکنید. گفتیم که بدانید که ما می توانیم در فیلتر رول ها، انواع محدودیت ها را برای سرویس های میکروتیکمان، پیاده سازی کنیم؛ اما پیشنهاد می کنیم که کلاً ssh را روی میکروتیک ببندید؛ حتی هنگامی که پورت را نیز تغییر دادید و خیلی نیاز دارید و واجب است و در غیر این صورت، ما راهکارهای دیگری را به شما پیشنهاد می کنیم. برای مثال از تانل ها استفاده کنید که امنیت نسبتاً بالاتری دارند.

دوستان فراموش نکنید که به اولویت بندی یا priority نیز دقت کنید. این priority خیلی مهم است. این هم از بحث سرویس پورت ها که ما به طور کامل در مورد آن صحبت کردیم. ما در انتها نیز، می خواهیم ابزار آنلاینی را به شما معرفی کنیم که البته خیلی کاربردی است و شما می توانید از این ابزار استفاده کنید. ما در قسمت بعدی نیز، بیشتر از این ابزار کمک می گیریم.

حال به سراغ محیط وبمان می رویم. عبارت online port scanner را داخل گوگل وارد می کنیم. ابزارهای مختلفی مانند این ابزار وجود دارند؛ مانند DNS Checker که ما خودمان نیز، بیشتر از همین ابزار استفاده می کنیم. ابزارهای بسیار متنوعی وجود دارند.

شما می توانید با ابزار check open port online روی هر آی پی پابلیکی چک کنید که چه پورت های بازی را دارد؛ یعنی چه پورت هایی روی آن میکروتیک، باز هستند. ابتدا توضیحی را شرح دهیم که ببینید به چه شکلی است. این کار، خیلی راحت است.

0204

ابتدا در قسمت Port Type، شما می توانید انواع پورت ها را انتخاب کنید که در Custom ports، شما می توانید پورت دلخواهتان را بنویسید، اگر پورتی مد نظرتان است، اما فکر کنیم که رنج را قبول نکند. می توانید روی Server Ports بگذارید. پورت هایی که خیلی معروف هستند را در قسمت Ports مشاهده می کنید؛ برای مثال، ۸۰ وب است، ۵۳ DNS می باشد، ۲۲ ssh است، ۲۱ تلنت و… که مهم نیست.

0205

موضوع بسیار مهم این است که اگر شما در حال استفاده کردن از هر یک از این پورت ها هستید، باید آن ها را تغییر دهید و به هیچ عنوان و تحت هیچ شرایطی، نباید از این پورت ها استفاده کنید. بنابراین شما نباید از پورت هایی که معروف هستند و جزو اولین تلاش های هکرها می باشند و آن ها این پورت ها را چک می کنند، استفاده کنید. مانند کاری که ما کردیم که ssh که ۲۲ بود را به یک پورت بی ربط تغییر دادیم.

حال ما می خواهیم این پورت ها را چک کنیم. اجازه بدهید که ما ssh  را روی میکروتیکمان باز کنیم و پورت را همان ۲۲ پیش فرض خودش بگذاریم؛ چون صرفاً می خواهیم تست کنیم و ssh را نیز فعال می کنیم. حال آی پی پابلیکمان را در قسمت Domain/IP وارد می کنیم که آی پی پابلیک ما ۲.۱۷۶.۱۰۹.۱۳۰ است. می گوییم که این پورت ها را برایمان چک کن. Check را می زنیم و به ما نشان می دهد که ۲۲ باز است.

چک کردن پورت های باز روتر میکروتیک با نرم افزار DNSCHECKER

فقط نکته ای که وجود دارد، این است که روی آی پی های پابلیکی که ststic هستند به درستی جواب می دهد و روی آی پی های پابلیکی که static نیستند مانند آی پی ای که ما داریم که Static نیست و عوض می شود، ممکن است به شما اشتباه نشان بدهد؛ یعنی موقعی که آی پی پابلیک شما static نیست، خطا دارد.

البته حق هم دارد؛ چون آن آی پی ها به چند کلاینت اختصاص داده می شوند و به همین خاطر، تشخیصشان سخت شده و یا کلاً اشتباه تشخیص داده می شوند؛ اما استثنائاً برای ما را درست نشان داده است؛ یعنی آی پی ما پابلیک static نیست؛ اما خروجی درستی را به ما نشان می دهد. می گوید که ssh باز است و بقیه بسته هستند.

حال اگر تی سی پی ۲۲ را drop کنیم، ملاحظه می کنیم که باز هم drop شده است. کانتر آن را نیز صفر می کنیم و پورت را نیز به ۲۲ تغییر می دهیم. اکنون Check را می زنیم.

این سایت ۳ پکت فرستاد و ملاحظه می کنید که هر سه پکت با رول ۸ مچ شده و در حال drop شدن است و در نهایت Time Out می شود.

چک کردن پورت های باز روتر میکروتیک با نرم افزار DNSCHECKER

بنابراین ما می توانیم از ابزارهای آنلاین نیز، برای اسکن استفاده کنیم و ببینیم که آیا رولی که نوشتیم درست عمل می کند یا خیر. برای icmp که پینگ بود و خیلی راحت بود. برای بستن پورت های سرویس ها روی میکروتیک نیز، می توانیم برای مثال از این ابزار استفاده کنیم که فوق العاده کاربردی نیز می باشد.

درباره تیم تولید محتوا

تیم تولید محتوا و سئو پی بی ایکس شاپ. در تلاشیم تا بهترین محتوای آموزشی را تولید کنیم، همراه ما باشید

همراه ما باشید
آپاراتآپارات تلگرامتلگرام اینستاگراماینستاگرام انجمنانجمن

دیدگاه شما درباره این مقاله چیست ؟

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پشتیبانی آنلاین واتساپ

منتظر پیام شما عزیزان هستیم

واتساپ شرکت

000 67241 021

واتساپ شرکت
در روز های تعطیل و ساعات غیر اداری پاسخگوی شما هستیم
دپارتمان فروش

111 67241 021

تیم فروش تیم فروش تیم فروش تیم فروش
بخش پشتیبانی فنی

222 67241 021

تیم پشتیبانی تیم پشتیبانی
پشتیبانی محصولات آموزشی

333 67241 021

تیم آموزش