Thông thường, hãng MikroTik đã thêm các tùy chỉnh mặc định bảo vệ bộ định tuyến Router MikroTik trước khi tới tay khách hàng, giúp bạn có thể thiết lập một bộ định tuyến của riêng mình. Tuy nhiên, chế độ mặc định này sẽ không đảm bảo được độ bảo mật cho người dùng. Lúc này bạn cần biết cách bảo vệ Router tránh bị xâm nhập bởi hacker, nguồn truy cập lạ, xâm nhập từ bên ngoài thế giới Internet.
Trong bài viết này Việt Tuấn sẽ chia sẻ tới bạn, nhất là các bạn quản trị viên mạng 10 bước bảo mật Router MikroTik hiệu quả, an toàn nhất. Cùng theo dõi nhé!
1. Tại sao phải bảo vệ bộ định tuyến Router MikroTik?
- Giúp kiểm soát mạng WiFi tại nhà. Giúp bảo vệ các thiết bị điện tử như điện thoại, laptop, máy tính bảng, PC,… được an toàn, đường truyền mạng ổn định hơn.
- Tránh được tình trạng quá tải do sử dụng mạng quá nhiều, không kiểm soát được.
- Giảm thiểu các nguy cơ bị truy cập trái phép khi chưa có sự đồng ý của người dùng.
- Bảo mật và tránh đánh cấp thông tin, giảm thiểu nguy cơ bị lấy cắp thông tin.
Xem ngay: Hướng dẫn cấu hình VPN Site to site dùng IPsec giữa 2 Router MikroTik
2. 10 bước bảo mật bộ định tuyến Router MikroTik
Bước 1: Đổi mật khẩu đăng nhập vào Router MikroTik
Mặc định khi đăng nhập vào các thiết bị của MikroTik sẽ có user: “admin” và password: để trống.
Để thay đổi mật khẩu chọn thẻ System -> User, chọn User cần thay đổi Password
Bạn hoàn toàn có thể thay đổi tài khoản user để việc bảo mật tốt hơn.
Bước 2 : Tắt các dịch vụ truy cập không cần thiết đến Router MikroTik
Tại bước này chúng ta tắt bỏ các dịch vụ không sử dụng để truy cập vào thiết bị MikroTik, ở bước này chúng tôi tắt hết các dịch vụ và chỉ để Port của dịch vụ Winbox (Port mặc định của Winbox là: 8291, chúng ta hoàn toàn có để thay đổi sang Port khác)
Bước 3 : Tắt dịch vụ khám phá thiết bị xung quanh Router MikroTik
Chúng ta vào thẻ IP -> Neighbor, tại mục Discovery Settings chọn : “none”
Bước 4 : Tắt dịch vụ phân giải tên miền trên Router MikroTik
Thẻ IP -> DNS, bỏ tích mục Allow Remote Request
Xem thêm bài cấu hình: Hướng dẫn cấu hình cơ bản Hotspot trên Router MikroTik
Bước 5: Tắt máy chủ đo băng thông trên Router MikroTik
Chỉ sử dụng tính năng khi cần thiết, để thực hiện chúng ta vào Thẻ Tools -> BTest Server Settings và bỏ tích chọn Enabled
Bước 6: Tắt màn hình LCD và mã PIN trên thiết bị Router MikroTik có màn hình LCD
Một số thiết bị Router MikroTik được hỗ trợ màn hình LCD, mục đích để theo dõi các trạng thái cơ bản của hệ thống và đi kèm khả năng phục hồi cấu hình mặc định trên Router MikroTik, tại các vị trí đặt Router MikroTik không được bảo vệ bằng tủ Rack hay không được giám sát chúng ta nên tắt màn hình LCD, tránh các trường hợp thao tác không đúng trên màn hình LCD.
Để thực hiện điều này chúng ta vào thẻ LCD.
Bước 7: Tắt MAC Ping Server trên Router MikroTik
Thẻ Tools -> MAC Server
Bước 8: Bật tính năng phát hiện DHCP giả mạo DHCP Snooping trên Router MikroTik.
Để thực hiện vào Thẻ Bridge. Tích chọn DHCP Snooping và IGMP Snooping trên mỗi Bridge khởi tạo.
Bước 9: Bảo vệ Router MikroTik bằng các câu lệnh Filter Rules
Để sử dụng lệnh chúng ta vào thẻ New Terminal và dán câu lệnh.
/ip firewall filter
add action=drop chain=input dst-port=8291 protocol=tcp src-address-list=Danh_Sach_Chan
add action=add-src-to-address-list address-list=Danh_Sach_Chan address-list-timeout=1w chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=Lan_3
add action=add-src-to-address-list address-list=Lan_3 address-list-timeout=1m chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=Lan_2
add action=add-src-to-address-list address-list=Lan_2 address-list-timeout=1m chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=Lan_1
add action=add-src-to-address-list address-list=Lan_1 address-list-timeout=1m chain=input connection-state=new dst-port=8291 protocol=tcp
Với cụm lệnh này khi có IP cố tình đăng nhập vào Router MikroTik thông qua Port 8291 (có thể áp dụng với các Port khác) với user/pass sai 3 lần thì sẽ bị liệt vào Address List và bị chặn trong vòng 1 tuần.
Bước 10: Tạo các bản sao lưu cấu hình trên Router MikroTik
Bước này cực kỳ quan trọng, giúp khôi phục hệ thống nếu trong quá trình sử dụng thiết bị Router MikroTik bị lỗi hoặc kỹ thuật cấu hình sai dẫn tới không truy cập được vào thiết bị Router MikroTik nữa.
Để thực hiện việc này chúng vào thẻ Files và tiến hành tạo file backup và dowload về máy tính.
Kết luận
Trên đây là 10 bước cơ bản để bảo vệ thiết bị Router MikroTik của bạn. Chúc các bạn cấu hình thành công. Cảm ơn bạn đã theo dõi bài viết! Đừng quên cập nhật Viettuans.vn thường xuyên để có thêm nhiều thông tin hữu ích về kiến thức mạng, quản trị mạng cũng như các kiến thức hướng dẫn sử dụng thiết bị mạng MikroTik trong chuyên mục MikroTik.
VIỆT TUẤN - NHÀ PHÂN PHỐI THIẾT BỊ MẠNG, WIFI, THIẾT BỊ LƯU TRỮ NAS CHÍNH HÃNG
- Hotline: 0903.209.123
- Email: sales@viettuans.vn
- Văn phòng Hà Nội: Tầng 6, Số 23 Tô Vĩnh Diện, P. Khương Trung, Q. Thanh Xuân
- Fanpage: https://www.facebook.com/viettuans
Bài viết hay, rất hữu ích.