ผู้ผลิต

    รายการสินค้า

    คู่มือการกำหนด Security เบื้องต้นบนอุปกรณ์ Mikrotik

    Published : 2018-08-20 17:39:08
    Categories : Internet & Networking Tips & Tricks

    คู่มือการกำหนด Security เบื้องต้นบนอุปกรณ์ Mikrotik
    คู่มือการกำหนด Security เบื้องต้นบนอุปกรณ์ Mikrotik


    อาจจะเยอะนิดนึงนะครับสำหรับมือใหม่ ที่สำคัญที่สุดคือ Update RouterOS ให้ Version ล่าสุดเสมอ, เปลี่ยน User/Password ให้ยากๆเข้าไว้ รวมถึงปิดหรือเปลี่ยน Port Service ที่ไม่ได้ใช้ครับ เท่านี้ก็รอดจากการโดน Hack แล้วครับ


    จากเหตุการณ์ที่มีการ Hack เข้ามาเพื่อฝัง Script ที่ Router Mikrotik ผลกระทบหลักๆเลยคือ Hacker ได้ทำการเปลี่ยนสิทธิ User ที่เป็นจาก Full แก้ไขได้ทุกอย่าง ให้เป็น Read Only คือดูได้อย่างเดียว และ Disable ปุ่ม Reset ไม่ให้เรา Reset ได้ หรือ ต้องกดปุ่ม Reset ค้างไว้เป็นระยะเวลาที่นานมาก รวมถึงเปลี่ยน Boot Device เป็น Nand Only ทำให้ไม่สามารถทำ Net-Install เพื่อทำการ Format ได้ และได้ฝัง Script เอาไว้ ซึ่งผมเองก็ไม่เข้าใจครับว่าเขาจะทำไปเพื่ออะไร


    Mikrotik security hack

    สำหรับการป้องกันเบื้องต้นให้ทำตามขั้นตอนดังนี้ครับ หรือ จะ Copy Script ไป Run ที่ Terminal ได้เลยก็ได้ครับ


    1. ใช้เครื่อง PC ต่อเข้า Internet แล้ว Download Router OS ได้ที่ https://mikrotik.com/download เลือก รุ่น CPU ของ Mikrotik ตัวอย่างเช่น hAP, hAP ac, hAP ac lite , RB450G จะเป็น CPU แบบ MIPSBE หรือ CCR จะเป็น CPU แบบ TILE และเลือก Version ล่าสุด Click Download ที่ Extra Package จากนั้นแตก Zip ไว้ครับ

    Mikrotik security


    Download Winbox Version ล่าสุดไว้ด้วยนะครับ (ล่าสุด Version 3.17)


    2. เชื่อมต่อ PC เข้ากับ Mikrotik เปิด Winbox แล้ว Login ผ่าน Winbox (ยังไม่ต่อ Internet ให้ Mikrotik)

    จะขึ้นหน้าจอ RouterOS Default Configuration ให้ Click [OK] ตัว Mikrotik จะเป็นค่า Default ครับ

    Mikrotik security



    3. เปลี่ยน User และ Password (เปลี่ยนทั้งคู่นะครับ) ที่ Menu System --> User ใช้ User เป็นชื่อผู้ใช้ก็ได้ครับ ส่วน Password ให้มีอักขระพิเศษด้วยครับ หลายตัวนิดนึง ไม่ต้องห่วงว่าจะจำไม่ได้ครับ เพราะถ้าจำไม่ได้ Reset ยังได้อยู่ แต่ถ้าโดน Hack เข้ามา มันจัดเต็มครับ

    /user set 0 name=sysnetcenter password=sysnet@#$%

    Mikrotik security




    3. ค่า Default จะมี IP เป็น 192.168.88.1 ถ้าต้องการเปลี่ยนให้เข้า Menu QuickSet ได้เลยครับ

    Mikrotik security



    4. ปิด Port  ที่ไม่ได้ใช้ ที่ Menu IP --> Service
    สำหรับ Service Winbox ให้ตั้ง Available From ไว้ด้วยนะครับ ตัวอย่างจะเป็นการยอมให้ Login เข้า Winbox ด้วย IP ที่เป็นหมายเลข 192.168.2.1-192.168.2.254 เท่านั้น

    /ip service
    set telnet disabled=yes
    set ftp disabled=yes
    set ssh disabled=yes
    set api disabled=yes
    set api-ssl disabled=yes


    เปลี่ยนเป็นวง IP Subnet ที่ใช้ครับ

    /ip service
    set winbox address=192.168.2.0/24

    Mikrotik security



    5. ปิด Serivce Neighbor List เป็น Service ที่ให้ Winbox เครื่องชาวบ้านเห็นเครื่องเราครับ

    /ip neighbor discovery-settings
    set discover-interface-list=none

    Mikrotik security



    6. ปิด MAC-Telnet, MAC-Winbox และ MAC-Ping

    /tool mac-server set allowed-interface-list=none
    /tool mac-server mac-winbox set allowed-interface-list=none
    /tool mac-server ping set enabled=no

    Mikrotik security



    6. เชื่อมต่อ Internet เข้า Mikrotik ถ้าดูใน QuickSet ขา Internet จะได้ IP มาจาก Modem Router ต้นทาง กรณีที่ทำ Modem เป็น Bridge แล้ว ให้ตั้ง Mikrotik เป็น PPPoE

    Mikrotik security


    7. Upgrade Firmware ของ RouterBoard ล่าสุด เข้า Menu System --> RouterBoard --> Click [Upgrade] แล้วก็ Reboot





    8. ปิด BandwidthTest Server เข้า Menu Tool --> BTest Server


    /tool bandwidth-server
    set enabled=no





    หลังจากนั้นอย่าลืม Backup ค่า Config ไว้แล้วลากไฟล์ออกมาเก็บไว้ที่ Desktop ครับ


    Mikrotik security


    ถ้าเลือก Mikrotik ใช้งาน ควรจะมีการ Maintenance ต้องมีการ Update RouterOS ให้บ่อยๆครับ โดยเข้าที่ Menu System Package แล้ว Click Download&Install ได้เลย และติดตามข่าวสารจากทาง Mikrotik Forum https://forum.mikrotik.com/

    Share this content

    Follow us on Facebook