حماية النظام الاساسي للمايكروتك من اعمال الاختراق للوينبوكس MikroTik CHR

اخر تحديث في يونيو 29, 2023 بواسطة حمدي بانجار

حماية النظام الاساسي للمايكروتك من اعمال الاختراق للوينبوكس MikroTik CHR

يعاني مستخدمي سيرفر المايكروتك من اعمال العبث والاختراقات اليومية سواء على صعيد المايكروتك كاملا winbox او كروت المشتركين .

واليوم سنتحدث عن طريقة جيدة جدا في تقييد الوصول الى حساب الوينبوكس الخاص بسيرفر المايكروتك ومنع المتطفلين من الدخول علية.

تحدثنا سابقا عن وظيفة ميزة السيفمود Save Mode وما الدور الاساسي التي تقوم به والتي تتيح لك التجربة على المايكروتك قبل التنفيذ للاوامر.

نبداء موضوعنا الان :

MikroTik CHR: حماية النظام الأساسي

دليل حماية النظام الأساسي.

أولا بمجرد النظر ! إذا تركت منافذ الخدمة القياسية ولا تغير اسم المستخدم وكلمة المرور في أقرب وقت ممكن ، فستكون فرصة اختراقك هائلة.

هنا ستجد الخطوات الأساسية لحماية MikroTik CHR من الاقتحام , ولاكن كن حذرًا أثناء وضع قواعد تقييدية على النظام ، فمن الممكن أن تحد من وصولك الخاص إلى جهاز التوجية الخاص بك Mikrotik .
استخدم الزر “الوضع الآمن” أثناء عدم التأكد مما قد تسببه التغييرات , في “الوضع الآمن” Save Mode يتم تمكين / تعطيل الاوامر التنفيذية قبل تنفيذها بشكل نهائي مع تركيبة [Ctrl] + [X].
تذكر أن تقوم بتحرير “الوضع الآمن” بعد تأكيد جميع التغييرات على أنها تعمل بشكل صحيح ، وإلا سيتم إعادتها بمجرد تسجيل الخروج وكأن شئ لم يتم .

استخدام قائمة Save Mode

1. أولا و للأهمية :-
قم بإنشاء اسم مستخدم وكلمة مرور جديدين باستخدام الامتيازات الكاملة Full

[admin@mikrotik] > user add group=full name=newadmini password=H@rDt0Gu3SsP@sSw0Rd

حماية النظام الاساسي للمايكروتك

انشاء مدير في نظام المايكروتك

احذف الافتراضي

2. تعديل منافذ الخدمة بحيث يتم تعطيل الخدمات غير المستخدمة وغير المهمة، وتلك المنافذ التي سيتم استخدامها انها ليس على المنافذ الافتراضية.

حيث انها مفيدة جدا ضد البوتات , استخدم منافذ من اختيارك ، ولكن لا تتداخل مع منافذ النظام المحجوزة. اقراء هذا

فمثلا:
تعطيل واجهة برمجة التطبيقات و API-SSL و Telnet و FTP و WWW و WWW-SSL.

[newadmini@mikrotik] > ip service disable api,api-ssl,ftp,telnet,www,www-ssl

اغلاق البورتات الغير مستخدمة لحماية المايكروتك من الاختراقات

تغيير المنفذ لـ SSH من 22 إلى 22221

[newadmini@mikrotik] > ip service set ssh port=22221

Service_ports

احذر : يجب عدم تغيير منفذ WinBox نظرًا لأن تطبيق Windows لا يدعم تحديد منفذ الوجهة.

الان اضف قواعد الجدار الناري / الفلتر:

firewall/filter rules:
Chain INPUT:

[newadmini@mikrotik] > ip firewall filter add action=accept chain=input comment="Allow ICMP ping" protocol=icmp
[newadmini@mikrotik] > ip firewall filter add action=accept chain=input comment="Allow WinBox" dst-port=8291 protocol=tcp
[newadmini@mikrotik] > ip firewall filter add action=accept chain=input comment="Allow SSH" dst-port=22221 protocol=tcp
[newadmini@mikrotik] > ip firewall filter add action=accept chain=input comment="Accept established connections" connection-state=established
[newadmini@mikrotik] > ip firewall filter add action=accept chain=input comment="Accept related connections" connection-state=related
[newadmini@mikrotik] > ip firewall filter add action=accept chain=input comment="Allow DNS for trusted network" dst-port=53 protocol=udp src-address=192.168.99.0/24
[newadmini@mikrotik] > ip firewall filter add action=drop chain=input comment="Drop everything else"

اضافة الجدار الناري - الفلتر
حماية النظام الاساسي للمايكروتك
حماية النظام الاساسي للمايكروتك
حماية النظام الاساسي للمايكروتك

Chain FORWARD:

في جهاز التوجيه المستضاف في Cloud ، قد يكون جدول إعادة التوجيه مختلفًا تمامًا اعتمادًا على سيناريو الاستخدام المحدد.

[newadmini@mikrotik] > ip firewall filter add action=drop chain=forward comment="Drop invalid connections" connection-state=invalid

add_firewall_rule

firewall_rules

4. اختياري:

لتحسين الأمان ، يمكنك بسهولة تقييد الوصول إلى جهاز التوجيه ، عن طريق قبول عنوان IP الخاص بك في المنزل أو المكتب فقط الذي ستقوم من خلاله بتعديل تكوين جهاز التوجيه:
يجب أن يتم ذلك لكافة القواعد التي تقبل الاتصال على منافذ الخدمة (SSH و WinBox).

تقييد الوصول للنظام بمدير النظام فقط

تجدر الإشارة إلى أن قواعد جدار الحماية أعلاه ليست حماية كاملة! إنها القواعد الأساسية فقط ، ويجب إلحاقها أو تعديلها وفقًا للإعداد الحقيقي للحمايات الاخرى .

حماية النظام الاساسي للمايكروتك

الى هنا نكون وصلنا الى نهاية موضوعنا اليوم حماية النظام الاساسي للمايكروتك

ذا اعجبك الموضوع لاتبخل علينا بمشاركتة على مواقع التواصل الاجتماعي ليستفيذ منه الغير,كما نتمنى اشتراككم في قناة الموقع على اليوتيوب بالضغط هنا وكذلك الاشتراك في مجموعة الفيس بوك بالضغط هنا والتيليقرام بالضغط هنا  وكذلك التسجيل بالموقع لتتمكنو من تحميل بعض الملفات الخاصة بالأعضاء كما يمكنكم رفع ملفاتكم مجانا على مركز ملفات حضرموت التقنية بالضغط هنا ولاتترددو في وضع أي استفسارات للرد عليكم .

دمتم بكل ود والسلام عليكم ورحمة الله وبركاتة  … حضرموت التقنية

.. حضرموت التقنية

حول حمدي بانجار

باحث ومهندس في مجالات شبكات ومقاهي الأنترنت - شغوف في عالم الانترنت والبرمجة للشبكات - في حضرموت التقنية شعارنا الدائم - أفعل الخير مهما أستصغرتة ! فأنك لاتدري اي عمل يدخلك الجنة ... فلا يفلح كاتم العلم ...طموحاتي ان يصبح الموقع مدرسة تعليمية للعلوم التقنية الجديدة ومساعدة الاخرين في حل مشكلاتهم ونرحب بمن يرغب الانظمام لنا يفيذ ويستفيذ ليكبر هذا الصرح التعليمي ويحقق الاستفاذة القصوى للغير ... أنظمامكم لأسرة الموقع وقناتها ومشاركتكم بالمواضيع الهادفه هو بحد ذاتة تشجيع لنا وللغير لاستمرارية هذا الصرح التعليمي

تحقق أيضا

Vlan mikrotik

Guest – VLAN – WiFi كيفية اعداد Guest VLAN WiFi في الميكروتك لحمايتة من الاختراقات

اخر تحديث في مايو 27, 2023 بواسطة حمدي بانجار Guest – VLAN – WiFi كيفية …