ผู้ผลิต

รายการสินค้า

Search on blog

คู่มือการกำหนด Security เบื้องต้นบนอุปกรณ์ Mikrotik

Published : 2018-08-20 17:39:08
Categories : Internet & Networking Tips & Tricks

คู่มือการกำหนด Security เบื้องต้นบนอุปกรณ์ Mikrotik
คู่มือการกำหนด Security เบื้องต้นบนอุปกรณ์ Mikrotik


อาจจะเยอะนิดนึงนะครับสำหรับมือใหม่ ที่สำคัญที่สุดคือ Update RouterOS ให้ Version ล่าสุดเสมอ, เปลี่ยน User/Password ให้ยากๆเข้าไว้ รวมถึงปิดหรือเปลี่ยน Port Service ที่ไม่ได้ใช้ครับ เท่านี้ก็รอดจากการโดน Hack แล้วครับ


จากเหตุการณ์ที่มีการ Hack เข้ามาเพื่อฝัง Script ที่ Router Mikrotik ผลกระทบหลักๆเลยคือ Hacker ได้ทำการเปลี่ยนสิทธิ User ที่เป็นจาก Full แก้ไขได้ทุกอย่าง ให้เป็น Read Only คือดูได้อย่างเดียว และ Disable ปุ่ม Reset ไม่ให้เรา Reset ได้ หรือ ต้องกดปุ่ม Reset ค้างไว้เป็นระยะเวลาที่นานมาก รวมถึงเปลี่ยน Boot Device เป็น Nand Only ทำให้ไม่สามารถทำ Net-Install เพื่อทำการ Format ได้ และได้ฝัง Script เอาไว้ ซึ่งผมเองก็ไม่เข้าใจครับว่าเขาจะทำไปเพื่ออะไร


Mikrotik security hack

สำหรับการป้องกันเบื้องต้นให้ทำตามขั้นตอนดังนี้ครับ หรือ จะ Copy Script ไป Run ที่ Terminal ได้เลยก็ได้ครับ


1. ใช้เครื่อง PC ต่อเข้า Internet แล้ว Download Router OS ได้ที่ https://mikrotik.com/download เลือก รุ่น CPU ของ Mikrotik ตัวอย่างเช่น hAP, hAP ac, hAP ac lite , RB450G จะเป็น CPU แบบ MIPSBE หรือ CCR จะเป็น CPU แบบ TILE และเลือก Version ล่าสุด Click Download ที่ Extra Package จากนั้นแตก Zip ไว้ครับ

Mikrotik security


Download Winbox Version ล่าสุดไว้ด้วยนะครับ (ล่าสุด Version 3.17)


2. เชื่อมต่อ PC เข้ากับ Mikrotik เปิด Winbox แล้ว Login ผ่าน Winbox (ยังไม่ต่อ Internet ให้ Mikrotik)

จะขึ้นหน้าจอ RouterOS Default Configuration ให้ Click [OK] ตัว Mikrotik จะเป็นค่า Default ครับ

Mikrotik security



3. เปลี่ยน User และ Password (เปลี่ยนทั้งคู่นะครับ) ที่ Menu System --> User ใช้ User เป็นชื่อผู้ใช้ก็ได้ครับ ส่วน Password ให้มีอักขระพิเศษด้วยครับ หลายตัวนิดนึง ไม่ต้องห่วงว่าจะจำไม่ได้ครับ เพราะถ้าจำไม่ได้ Reset ยังได้อยู่ แต่ถ้าโดน Hack เข้ามา มันจัดเต็มครับ

/user set 0 name=sysnetcenter password=sysnet@#$%

Mikrotik security




3. ค่า Default จะมี IP เป็น 192.168.88.1 ถ้าต้องการเปลี่ยนให้เข้า Menu QuickSet ได้เลยครับ

Mikrotik security



4. ปิด Port  ที่ไม่ได้ใช้ ที่ Menu IP --> Service
สำหรับ Service Winbox ให้ตั้ง Available From ไว้ด้วยนะครับ ตัวอย่างจะเป็นการยอมให้ Login เข้า Winbox ด้วย IP ที่เป็นหมายเลข 192.168.2.1-192.168.2.254 เท่านั้น

/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes


เปลี่ยนเป็นวง IP Subnet ที่ใช้ครับ

/ip service
set winbox address=192.168.2.0/24

Mikrotik security



5. ปิด Serivce Neighbor List เป็น Service ที่ให้ Winbox เครื่องชาวบ้านเห็นเครื่องเราครับ

/ip neighbor discovery-settings
set discover-interface-list=none

Mikrotik security



6. ปิด MAC-Telnet, MAC-Winbox และ MAC-Ping

/tool mac-server set allowed-interface-list=none
/tool mac-server mac-winbox set allowed-interface-list=none
/tool mac-server ping set enabled=no

Mikrotik security



6. เชื่อมต่อ Internet เข้า Mikrotik ถ้าดูใน QuickSet ขา Internet จะได้ IP มาจาก Modem Router ต้นทาง กรณีที่ทำ Modem เป็น Bridge แล้ว ให้ตั้ง Mikrotik เป็น PPPoE

Mikrotik security


7. Upgrade Firmware ของ RouterBoard ล่าสุด เข้า Menu System --> RouterBoard --> Click [Upgrade] แล้วก็ Reboot





8. ปิด BandwidthTest Server เข้า Menu Tool --> BTest Server


/tool bandwidth-server
set enabled=no





หลังจากนั้นอย่าลืม Backup ค่า Config ไว้แล้วลากไฟล์ออกมาเก็บไว้ที่ Desktop ครับ


Mikrotik security


ถ้าเลือก Mikrotik ใช้งาน ควรจะมีการ Maintenance ต้องมีการ Update RouterOS ให้บ่อยๆครับ โดยเข้าที่ Menu System Package แล้ว Click Download&Install ได้เลย และติดตามข่าวสารจากทาง Mikrotik Forum https://forum.mikrotik.com/

Share this content

Follow us on Facebook