Bảo vệ bộ định tuyến trước nguy cơ truy cập từ Internet – BSOVN - Giải Pháp cho doanh nghiệp Việt

Chào mừng các bạn đến với Công Ty Tư Vấn và Giải Pháp Công Nghệ BSO

Vi
0934 115 288 Mr. Bảontbao@bsovn.com
1/3/13 Nguyễn Thái Sơn

P.3, Q. Gò Vấp, HCM

8:30 AM - 7:00 PM

Thứ hai đến thứ bảy

Hỗ trợ kỹ thuật
Th11 07, 2024
by

Bảo vệ bộ định tuyến trước nguy cơ truy cập từ Internet

Là kỹ thuật viên mạng, trước khi bắt đầu lập kế hoạch triển khai các tính năng nâng cao trên hệ thống mạng, hãy đảm bảo đã bảo vệ an toàn bộ định tuyến trước các nguy cơ tấn công từ mạng bên ngoài, những kẻ vô trách nhiệm. Đó là nhiệm vụ cũng như trách nhiệm mà quản trị viên mạng cần thực hiện trước khi thực hiện các bước cấu hình sau đó.

Các bước bảo vệ có thể thực hiện như sau.

1. Đổi thông tin tài khoản truy cập vào bộ định tuyến.

Sẽ không bao giờ an toàn cho bộ định tuyến nếu có Tên người dùng và Mật khẩu mặc định của nhà máy, cụ thể là Tên người dùng: admin và Mật khẩu: (để trống).
Chúng tôi khuyên bạn nên vô hiệu tên người dùng mặc định, xóa hoặc thay đổi nó để người khác không sử dụng nó. Để xóa và vô hiệu hóa Người dùng mặc định, trước tiên hãy tạo một người dùng có toàn quyền truy cập (nhóm: full) trước. Để thực hiện điều này, bạn có thể vào Menu System -> Users

Có một lưu ý quan trọng: Chúng tôi có thể tạo một người dùng có thể tùy chỉnh các thuộc tính trên RouterOS, chẳng hạn xóa quy tắc, thêm quy tắc hoặc khởi động lại hệ thống. Tuy nhiên, người dùng này không được phép truy cập vào quản lý người dùng (xóa các người dùng khác).
Để làm điều này, hãy thực hiện tạo nhóm mới, trong đó phải xóa thuộc tính policy.

2. Tắt các dịch vụ không cần thiết trên RouterOS.

Có nhiều dịch vụ hoạt động trên hệ điều hành RouterOS cho phép người dùng cuối có thể tương tác và định cấu hình cho bộ định tuyến từ xa, chẳng hạn ssh, telnet, web và giao diện lập trình tương ứng – api.
Không sử dụng tới, chúng tôi có thể vô hiệu hóa chúng đi trong Menu IP – Services.

3. Tắt tính năng khám phá thiết bị xung quanh.

Mikrotik có một giao thức có thể quảng bá tên miền qua lớp 2 để các thiết bị Mikrotik có thể tìm thấy nhau nếu chúng nằm trên cùng một mạng lớp 2, tên của nó là Mikrotik Neighbor Discovery Protocol (MNDP). Các thiết bị hỗ trợ MNDP và CDP có thể tìm hoặc tìm ra thông tin khác về bộ định tuyến như thông tin nhận dạng Bộ định tuyến, Địa chỉ MAC và Địa chỉ IP. Ví dụ đơn giản nhất là khi chúng ta thực hiện Winbox trên thẻ Neighbors chúng ta sẽ thấy một số thông tin về bộ định tuyến được kết nối với lớp 2 với máy tính xách tay của chúng ta.
Để Router không cung cấp thông tin này, với tư cách là quản trị viên mạng, bạn nên tắt giao diện khám phá. Đặc biệt là các giao diện được kết nối trực tiếp với các mạng công cộng, ví dụ như giao diện không dây cho mạng bộ phát sóng, giao diện ethernet cho mạng PC của khách hàng quán cà phê internet, v.v.
Cài đặt này có thể được thực hiện trong menu IP -> Neighbors

4. Tắt hoặc tùy chỉnh giới hạn truy cập địa chỉ MAC Router.

Bằng cách tắt giao diện khám phá, điều đó không có nghĩa là Bộ định tuyến không thể sử dụng điều khiển từ xa Địa chỉ MAC. Nếu trước đó bạn đã lưu hoặc biết Địa chỉ MAC của Bộ định tuyến, bạn vẫn có thể sử dụng Địa chỉ MAC từ xa. Nếu bạn muốn Bộ định tuyến không thể sử dụng Địa chỉ MAC từ xa thông qua Winbox hoặc qua telnet, hãy tắt Tính năng Máy chủ MAC trên Bộ định tuyến. Truy cập vào menu Tools -> MAC Server

5. Thay đổi mã PIN hoặc tắt màn hình LCD.

Một số bộ định tuyến Mikrotik được trang bị màn hình LCD cũng có thể được sử dụng để thêm các lệnh đơn giản trực tiếp từ màn hình LCD. Nếu bộ định tuyến có màn hình LCD được đặt ở nơi nhiều người có thể tiếp cận, bạn nên thay đổi mã pin hoặc tắt tính năng LCD để người khác không gây rối với bộ định tuyến của chúng ta.
Để tắt màn hình, hãy chọn vào Menu LCD và bỏ tích vào Enable.
Để thay đổi mã PIN, hãy chọn vào mục PIN và nhập mã mới.

6. Sao lưu cấu hình và lưu trữ cần thiết.

Để không phải cấu hình lại mỗi khi bộ định tuyến gặp sự cố hoặc cần thiết lập lại trước đó, việc sao lưu dự phòng có thể giúp chúng ta khôi phục lại cấu hình nhanh, mà không mất quá nhiều thời gian, đôi khi là không nhớ các quy tắc thiết lập trước đó.
RouterOS cung cấp nhiều phương pháp sao lưu, bao gồm sao lưu toàn bộ (.backup) và sao lưu cấu hình (.rsc)
Lưu ý: Sao lưu toàn bộ chỉ áp dụng để khôi phục cho bộ định tuyến trước đó. Vì tính chất bảo mật của phương pháp này, người dùng không để đọc chính quy tắc đã được mã hóa.
Đôi khi chúng ta mua thêm một bộ định tuyến mới nhưng không muốn cấu hình lại nó. Sau đó, tôi nghĩ đến việc lấy cấu hình bộ định tuyến hiện có bằng tính năng sao lưu , sau đó khôi phục nó trên bộ định tuyến mới. Nhưng chờ đã, việc sử dụng tính năng sao lưu và khôi phục chỉ được khuyến nghị cho cùng một bộ định tuyến hoặc các bộ định tuyến có cùng dòng và loại giống hệt nhau. Ý nghĩa của một bộ định tuyến giống hệt nhau là bộ định tuyến cũ và bộ định tuyến mới vẫn cùng dòng và có cùng thông số kỹ thuật phần cứng. Ví dụ: cả hai đều là RB3011UiAS-RM. Nếu bạn có bộ định tuyến khác, chúng tôi khuyên bạn không nên sử dụng sao lưu-khôi phục vì có thể xảy ra lỗi. Giải pháp là sử dụng tính năng Xuất và Nhập trên dòng dòng. Đó chính là sao lưu cấu hình.

Phương pháp sao lưu cấu hình sử dụng Menu Files

Phương pháp xuất nhập cấu hình sử dụng dòng lệnh

Với quy tắc này, việc truy cập từ các nguồn không tin cậy có thể kiểm soát triệt để, và trên hết phương pháp này có thể giúp người quản lý chặn những kẻ vô trách nhiệm truy cập trái phép vào bộ định tuyến cũng như chặn tấn công DoS/DDoS vào dịch vụ trên bộ định tuyến.

Nguồn: Routerikvn

Chia sẻ:

Bài viết mới

Categories

Thẻ

Bán hàng Cách kinh doanh Công nghệ thông tin Cạnh tranh khoi Khởi Nghiệp Kinh doanh Kiên Hà Minh Kỹ Năng Lan Bercu Lãnh đạo Lương bổng Lời khuyên Nghệ thuật Nguyên tắc Quản lý quản trị Sáng tạo Thuế Thuế kế toán Tinh thần Nhật Tư duy tích cực Tư vấn virus Xu hướng Ý nghĩa Đuổi khách Đầu tư Đỗ Xuân Tùng đối thủ
Call Now Button
Gửi tin nhắn facebook