คู่มือการกำหนด Security เบื้องต้นบนอุปกรณ์ Mikrotik

คู่มือการกำหนด Security เบื้องต้นบนอุปกรณ์ Mikrotik

อาจจะเยอะนิดนึงนะครับสำหรับมือใหม่ ที่สำคัญที่สุดคือ Update RouterOS ให้ Version ล่าสุดเสมอ, เปลี่ยน User/Password ให้ยากๆเข้าไว้ รวมถึงปิดหรือเปลี่ยน Port Service ที่ไม่ได้ใช้ครับ เท่านี้ก็รอดจากการโดน Hack แล้วครับ


จากเหตุการณ์ที่มีการ Hack เข้ามาเพื่อฝัง Script ที่ Router Mikrotik ผลกระทบหลักๆเลยคือ Hacker ได้ทำการเปลี่ยนสิทธิ User ที่เป็นจาก Full แก้ไขได้ทุกอย่าง ให้เป็น Read Only คือดูได้อย่างเดียว และ Disable ปุ่ม Reset ไม่ให้เรา Reset ได้ หรือ ต้องกดปุ่ม Reset ค้างไว้เป็นระยะเวลาที่นานมาก รวมถึงเปลี่ยน Boot Device เป็น Nand Only ทำให้ไม่สามารถทำ Net-Install เพื่อทำการ Format ได้ และได้ฝัง Script เอาไว้ ซึ่งผมเองก็ไม่เข้าใจครับว่าเขาจะทำไปเพื่ออะไร




สำหรับการป้องกันเบื้องต้นให้ทำตามขั้นตอนดังนี้ครับ หรือ จะ Copy Script ไป Run ที่ Terminal ได้เลยก็ได้ครับ


1. ใช้เครื่อง PC ต่อเข้า Internet แล้ว Download Router OS ได้ที่ https://mikrotik.com/download เลือก รุ่น CPU ของ Mikrotik ตัวอย่างเช่น hAP, hAP ac, hAP ac lite , RB450G จะเป็น CPU แบบ MIPSBE หรือ CCR จะเป็น CPU แบบ TILE และเลือก Version ล่าสุด Click Download ที่ Extra Package จากนั้นแตก Zip ไว้ครับ




Download Winbox Version ล่าสุดไว้ด้วยนะครับ (ล่าสุด Version 3.17)


2. เชื่อมต่อ PC เข้ากับ Mikrotik เปิด Winbox แล้ว Login ผ่าน Winbox (ยังไม่ต่อ Internet ให้ Mikrotik)

จะขึ้นหน้าจอ RouterOS Default Configuration ให้ Click [OK] ตัว Mikrotik จะเป็นค่า Default ครับ





3. เปลี่ยน User และ Password (เปลี่ยนทั้งคู่นะครับ) ที่ Menu System --andgt; User ใช้ User เป็นชื่อผู้ใช้ก็ได้ครับ ส่วน Password ให้มีอักขระพิเศษด้วยครับ หลายตัวนิดนึง ไม่ต้องห่วงว่าจะจำไม่ได้ครับ เพราะถ้าจำไม่ได้ Reset ยังได้อยู่ แต่ถ้าโดน Hack เข้ามา มันจัดเต็มครับ

/user set 0 name=sysnetcenter password=sysnet@#$%

3. ค่า Default จะมี IP เป็น 192.168.88.1 ถ้าต้องการเปลี่ยนให้เข้า Menu QuickSet ได้เลยครับ





4. ปิด Port ที่ไม่ได้ใช้ ที่ Menu IP --andgt; Service
สำหรับ Service Winbox ให้ตั้ง Available From ไว้ด้วยนะครับ ตัวอย่างจะเป็นการยอมให้ Login เข้า Winbox ด้วย IP ที่เป็นหมายเลข 192.168.2.1-192.168.2.254 เท่านั้น

/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes

เปลี่ยนเป็นวง IP Subnet ที่ใช้ครับ

/ip service
set winbox address=192.168.2.0/24

5. ปิด Serivce Neighbor List เป็น Service ที่ให้ Winbox เครื่องชาวบ้านเห็นเครื่องเราครับ

/ip neighbor discovery-settings
set discover-interface-list=none

6. ปิด MAC-Telnet, MAC-Winbox และ MAC-Ping

/tool mac-server set allowed-interface-list=none
/tool mac-server mac-winbox set allowed-interface-list=none
/tool mac-server ping set enabled=no

6. เชื่อมต่อ Internet เข้า Mikrotik ถ้าดูใน QuickSet ขา Internet จะได้ IP มาจาก Modem Router ต้นทาง กรณีที่ทำ Modem เป็น Bridge แล้ว ให้ตั้ง Mikrotik เป็น PPPoE




7. Upgrade Firmware ของ RouterBoard ล่าสุด เข้า Menu System --andgt; RouterBoard --andgt; Click [Upgrade] แล้วก็ Reboot





8. ปิด BandwidthTest Server เข้า Menu Tool --andgt; BTest Server

/tool bandwidth-server
set enabled=no

หลังจากนั้นอย่าลืม Backup ค่า Config ไว้แล้วลากไฟล์ออกมาเก็บไว้ที่ Desktop ครับ




ถ้าเลือก Mikrotik ใช้งาน ควรจะมีการ Maintenance ต้องมีการ Update RouterOS ให้บ่อยๆครับ โดยเข้าที่ Menu System Package แล้ว Click Downloadandamp;Install ได้เลย และติดตามข่าวสารจากทาง Mikrotik Forum https://forum.mikrotik.com/