تماس با کارشناس
خرید بسته
تماس
پشتیبانی

ایمن‌سازی SSH میکروتیک با Port Knocking: راهنمای گام‌به‌گام از رایانه کمک

ایمن‌سازی SSH میکروتیک با Port Knocking ـ خدمات آنلاین شبکه رایانه کمک

سلام به همه شما دوستان عزیز و همراهان همیشگی رایانه کمک! 👋 امروز می‌خوایم بریم سراغ یه مبحث خیلی جذاب و کاربردی برای همه اونایی که با روترهای میکروتیک سروکار دارن و امنیت براشون حرف اول رو می‌زنه و امنیت شبکه برایشان از اهمیت بالایی برخوردار است، امروز به سراغ ایمن‌سازی SSH با استفاده از Port Knocking می‌رویم.اما نگران نباشید! مثل همیشه، قراره قدم به قدم و با زبون ساده همه چیز رو براتون توضیح بدم تا خودتون یه پا استاد بشید. 💪 پس با خدمات کامپیوتری رایانه کمک همراه باشید!

 

 آشنایی با Port Knocking

خب، اول از همه بیاید ببینیم این Port Knocking که این همه ازش حرف می‌زنیم اصلاً چی هست و به چه دردی می‌خوره.

 Port Knocking چیست؟

تصور کنید برای ورود به یه جای خیلی امن، به جای یه کلید ساده، باید یه رمز چند مرحله‌ای رو اجرا کنید؛ مثلاً سه بار روی در بزنید، بعد دو بار سوت بزنید و در آخر یه بشکن بزنید!  Port Knocking هم یه چیزی تو همین مایه‌هاست، اما برای دنیای شبکه.

به زبان ساده، Port Knocking یه روش امنیتیه که تو اون، پورت‌های خاصی روی سرور یا روتر (اینجا منظورمون روتر میکروتیک شماست) تا زمانی که یه "ترتیب خاص از تلاش برای اتصال" به پورت‌های از پیش تعیین‌شده دیگه (که معمولاً بسته‌ان) اتفاق نیفته، بسته باقی می‌مونن. انگار دارید یه کد مورس مخفی رو به روترتون ارسال می‌کنید تا در رو براتون باز کنه


 

 

اصلی‌ترین کاری که Port Knocking انجام می‌ده اینه که پورت اصلی سرویس شما (مثلاً SSH) رو از دید مهاجم‌ها و اسکنرهای پورت مخفی می‌کنه. وقتی یک هکر یا یک بات نت مخرب  شبکه شما را برای پیدا کردن پورت‌های باز اسکن می‌کند، پورت SSH شما را پیدا نمی‌کند. چون اون پورت تا زمانی که "ناک" (همون ضربه‌های رمزی) صحیح رو دریافت نکرده، اصلاً باز نیست!

این یعنی چی؟ یعنی اینکه تعداد زیادی از حملات خودکار و تلاش‌های Brute-Force (حدس زدن پسورد با سعی و خطا) که دنبال پورت‌های استاندارد مثل پورت 22 برای SSH می‌گردن، اصلاً به مرحله امتحان کردن پسورد هم نمی‌رسن چون دری برای ورود پیدا نمی‌کنن. 🎯 اینجوری یه لایه امنیتی خیلی خوب به سیستم‌تون اضافه می‌کنید. خیلی از کاربرها گزارش دادن که بعد از پیاده‌سازی Port Knocking، لاگ‌های تلاش برای ورود غیرمجاز به SSH به شدت کاهش پیدا کرده.


 

مزایا و معایب Port Knocking

هر تکنولوژی‌ای، خوبی‌ها و بدی‌های خودشو داره. Port Knocking هم از این قاعده مستثنی نیست. بیاید تو یه جدول جمع و جور این‌ها رو بررسی کنیم:

مزایا

معایب

افزایش امنیت قابل توجه: پورت SSH مخفی می‌شه.

پیچیدگی در پیاده‌سازی: نیاز به تنظیمات دقیق فایروال داره.

کاهش حملات خودکار: اسکنرها پورت رو پیدا نمی‌کنن.

احتمال فراموشی ترتیب ناک‌ها: اگه یادتون بره، خودتون هم نمی‌تونید وصل شید! 😅

سبک و کم‌هزینه: نیاز به نرم‌افزار یا سخت‌افزار خاصی نداره (روی خود میکروتیک پیاده می‌شه).

وابستگی به کلاینت ناکینگ: برای اتصال، همیشه به یه ابزار یا اسکریپت برای ارسال ناک‌ها نیاز دارید.

عدم نمایش پورت باز: تا قبل از ناک صحیح، پورت کاملاً بسته است.

عدم مصونیت کامل: به تنهایی کافی نیست و باید در کنار سایر روش‌های امنیتی استفاده بشه.

انعطاف‌پذیری: می‌تونید ترتیب‌های پیچیده و سفارشی ایجاد کنید.

احتمال تداخل با سایر سرویس‌ها: اگه پورت‌های ناک رو اشتباه انتخاب کنید، ممکنه با سرویس‌های دیگه تداخل پیدا کنه.

قابلیت ثبت وقایع (Logging): می‌تونید تلاش‌های ناک موفق و ناموفق رو ثبت کنید.

حساسیت به از دست رفتن بسته‌ها (Packet Loss): اگه یکی از ناک‌ها تو شبکه گم بشه، ترتیب کامل نمی‌شه.

 

🚩 یه نکته دوستانه از رایانه کمک: با اینکه Port Knocking بسیار مفید است، اما به یاد داشته باشید که امنیت شبکه یک مفهوم لایه‌ای است Port Knocking را به عنوان یکی از این لایه‌ها در نظر بگیرید و آن را در کنار سایر راهکارهای امنیتی شبکه به کار ببرید.

 

پیش‌نیازها

قبل از اینکه آستین‌ها رو بالا بزنیم و بریم سراغ کانفیگ، مطمئن بشید که این موارد رو دارید:

 

دسترسی به روتر میکروتیک شما

🟢 دسترسی ادمین به روتر میکروتیک: باید با یوزرنیم و پسورد ادمین بتونید به روترتون وصل بشید (از طریق WinBox، WebFig یا SSH).

🟢 آشنایی اولیه با محیط MikroTik RouterOS: حداقل باید بدونید فایروال کجاست و چطور می‌شه رول اضافه کرد. نگران نباشید، ما راهنمایی‌تون می‌کنیم.

🟢 نرم‌افزار WinBox : کار با WinBox معمولاً راحت‌تر از WebFig هست، مخصوصاً برای تنظیمات فایروال.

🟢 آشنایی اولیه با مفهوم SSH: بدونید SSH چی هست و چطور باهاش به سرورها یا روترها وصل می‌شید.

اگه این موارد رو دارید، پس آماده‌اید که بریم سراغ بخش هیجان‌انگیز ماجرا! 🤩

 

 

ایمن‌سازی دسترسی به روتر یکی از جنبه‌های مهم در  ایجاد ارتباط امن بین شبکه‌های کامپیوتری  است.

 

 

پیکربندی گام‌به‌گام Port Knocking در میکروتیک

خب، رسیدیم به اصل مطلب! اینجا قراره قدم به قدم بهتون یاد بدم چطور Port Knocking رو روی روتر میکروتیک عزیزتون تنظیم کنید. با دقت مراحل رو دنبال کنید.

 

برنامه‌ریزی توالی Port Knocking شما

این مرحله خیلی مهمه! مثل ساختن یه رمز عبور خوب، باید یه توالی ناکینگ خوب هم طراحی کنید.

1. انتخاب تعداد ناک‌ها: معمولاً ۳ یا ۴ ناک کافیه. بیشتر از این هم می‌شه ولی ممکنه یادتون بره یا وارد کردنش سخت بشه.

2. انتخاب پورت‌ها برای ناک:

از پورت‌های خیلی معروف (مثل ۸۰، ۴۴۳، ۲۵) استفاده نکنید.

از پورت‌هایی استفاده کنید که روی روترتون توسط سرویس دیگه‌ای استفاده نمی‌شن. (می‌تونید با دستور ip service print پورت‌های فعال رو ببینید).

پورت‌ها رو به صورت تصادفی و غیرقابل حدس انتخاب کنید (مثلاً: ۷۸۱۲، ۹۰۳۴، ۶۶۵۵).

نکته مهم: این پورت‌ها قرار نیست واقعاً "باز" باشن و سرویسی روشون ران بشه. ما فقط از "تلاش برای اتصال" به این پورت‌ها به عنوان سیگنال استفاده می‌کنیم.

3.  انتخاب پروتکل برای ناک‌ها : معمولاً از TCP استفاده می‌شه (به خاطر flag SYN)، اما UDP هم ممکنه. ما اینجا از TCP استفاده می‌کنیم.

4. یادداشت کردن توالی: توالی پورت‌ها، پروتکل و ترتیب‌شون رو یه جای امن یادداشت کنید. اگه یادتون بره، دیگه نمی‌تونید به SSH وصل بشید! 😱 (البته راه‌هایی برای ریست کردن هست، ولی بهتره کار به اونجاها نکشه).

مثال برای یه توالی ناک:

🔥 ناک ۱: پورت ۷۰۰۱ (TCP)

🔥 ناک ۲: پورت ۸۰۰۲ (TCP)

🔥 ناک ۳: پورت ۹۰۰۳ (TCP)

ایجاد قوانین فایروال برای Port Knocking 

اینجا قلب تپنده Port Knocking هست. با دقت و حوصله این قوانین رو در بخش IP > Firewall > Filter Rules میکروتیک‌تون اضافه کنید. ما فرض می‌کنیم شما می‌خواید پورت SSH مثلاً ۲۲ یا هر پورت دیگه‌ای که برای SSH تنظیم کردید رو با این روش امن کنید.

مرحله ۱: ایجاد Address List برای مراحل مختلف ناکینگ

ما به چند تا Address List نیاز داریم تا IP آدرس کلاینتی که داره ناک‌های صحیح رو می‌زنه، مرحله به مرحله بهشون اضافه بشه.

  • knock_stage1: برای اونایی که ناک اول رو درست زدن.
  • knock_stage2: برای اونایی که ناک اول و دوم رو درست زدن.
  • ssh_allowed: برای اونایی که همه ناک‌ها رو درست زدن و حالا اجازه دسترسی به SSH رو دارن.

مرحله ۲: ایجاد قوانین برای شناسایی ناک‌ها

ما از بالا به پایین قوانین رو می‌نویسیم. ترتیب قوانین در فایروال میکروتیک خیلی مهمه!

1. قانون اول: شناسایی ناک اول

  •  Chain: input
  • Protocol: tcp
  •  Dst. Port: 7001 پورت ناک اول شما
  •  Action: add src to address list
  • Address List: knock_stage1
  • Timeout مثلاً 00:00:10 ۱۰ ثانیه. یعنی اگه کاربر تا ۱۰ ثانیه ناک بعدی رو نزد، از این لیست حذف می‌شه.
  • Comment: Port Knocking - Stage 1

2. قانون دوم: شناسایی ناک دوم

  • Chain: input
  •  Protocol: tcp
  • Dst. Port: 8002پورت ناک دوم شما
  • Src. Address List: knock_stage1 فقط اگه IP قبلاً ناک اول رو زده باشه
  •  Action: add src to address list
  •   Address List: knock_stage2
  • Timeout: مثلاً 00:00:10
  •  Comment: Port Knocking - Stage 2

3. قانون سوم: شناسایی ناک سوم

  • Chain: input
  • Protocol: tcp
  • Dst. Port: 9003 پورت ناک سوم شما
  • Src. Address List: knock_stage2 فقط اگه IP قبلاً ناک اول و دوم رو زده باشه
  •  Action: add src to address list
  •  Address List: ssh_allowed

Timeout: مثلاً 00:01:00 ۱ دقیقه. یعنی بعد از ۱ دقیقه که به SSH وصل شدید و کاری نکردید یا اتصال رو بستید، IP از لیست حذف می‌شه و باید دوباره ناک بزنید. می‌تونید این زمان رو بیشتر هم بکنید

 Comment: Port Knocking - Stage 3 - Allow SSH

📌  نکته از رایانه کمک: اون بخش Timeout خیلی مهمه. اگه Timeout نذارید، IP طرف برای همیشه تو لیست می‌مونه که خوب نیست. زمان Timeout رو با توجه به نیازتون تنظیم کنید. بعضی از کاربرها می‌پرسن "اگه وسط کار با SSH ارتباطم قطع شد چی؟" خب، اگه Timeout لیست ssh_allowed تموم شده باشه، باید دوباره ناک بزنید.


 

تنظیم توالی ناکینگ

این بخش در واقع با همون ایجاد قوانین فایروال انجام شد. مهم اینه که Src. Address List رو در هر قانون به درستی تنظیم کنید تا ترتیب رعایت بشه. یعنی قانون دوم فقط وقتی عمل می‌کنه که IP در لیست آدرس قانون اول باشه و به همین ترتیب برای مراحل بعدی.

پذیرش اتصالات پس از یک ناک  موفق  

حالا که IP کاربر بعد از زدن ناک‌های صحیح به لیست ssh_allowed اضافه شده، باید یه قانون بنویسیم که بهش اجازه اتصال به پورت SSH رو بده.

1. قانون چهارم: اجازه دسترسی به SSH برای IP های مجاز

  • Chain: input
  • Protocol: tcp
  • Dst. Port: 22یا هر پورتی که برای SSH استفاده می‌کنید
  • Src. Address List: ssh_allowed خیلی مهم! فقط به IP هایی که تو این لیست هستن اجازه بده
  •  Action: accept
  • Comment: Allow SSH for Knocked IPs

🚩  مهم: این قانون باید قبل از قانونی قرار بگیره که تمام اتصالات SSH ورودی دیگه رو مسدود می‌کنه.

جلوگیری از مثبت‌های کاذب و تلاش‌های اسکن  

برای اینکه مطمئن بشیم فقط ناک‌های واقعی و هدفمند باعث باز شدن پورت می‌شن و اسکنرهای اتفاقی مزاحمتی ایجاد نمی‌کنن، چند تا کار دیگه هم می‌تونیم انجام بدیم.

1. قانون پنجم : Drop کردن سایر تلاش‌ها به پورت‌های ناک
برای اینکه کسی نتونه همینجوری به پورت‌های ناک شما ترافیک بفرسته و لاگ‌هاتون رو شلوغ کنه، می‌تونید بعد از قوانین شناسایی ناک، یه قانون Drop برای اون پورت‌ها بذارید که البته برای حالتی که IP در لیست مرحله قبل نیست اعمال بشه. اما روش ساده‌تر اینه که در انتهای قوانین فایروال، یک قانون کلی drop برای ترافیک ورودی ناخواسته داشته باشید.

2. قانون ششم: Drop کردن تمام اتصالات SSH که از فیلتر Port Knocking رد نشدن
این قانون خیلی مهمه و باید بعد از قانون accept برای ssh_allowed و در انتهای قوانین مربوط به SSH قرار بگیره.

  • Chain: input
  • Protocol: tcp
  • Dst. Port: 22 یا پورت SSH شما
  • Action: drop
  • Comment: Drop all other SSH attempts

✅  ترتیب نهایی قوانین مربوط به Port Knocking و SSH :

1. قانون شناسایی ناک ۱ (اضافه کردن به knock_stage1)

2. قانون شناسایی ناک ۲ (اگر در knock_stage1 بود، اضافه کردن به knock_stage2)

3. قانون شناسایی ناک ۳ (اگر در knock_stage2 بود، اضافه کردن به ssh_allowed)

4. قانون اجازه اتصال SSH  🟢

5. قانون مسدود کردن تمام اتصالات SSH دیگر  🔴

اگه با تنظیم این قوانین مشکل داشتید یا احساس کردید یکم پیچیده‌ست، اصلاً نگران نباشید! بچه‌های متخصص ما تو رایانه کمک آماده‌ان تا تلفنی یا حتی حضوری کمکتون کنن. کافیه یه تماس با ما بگیرید با شماره  0217129 با تلفن همراه یا شماره 9099071540 با تلفن ثابت  تا سریع مشکلتون رو حل کنیم. 📞

اگر در انتخاب VPN مناسب تردید دارید، می‌توانید مقاله ما در مورد مقایسه انواع پروتکل های VPN  را مطالعه کنید.

 

 

تغییر پورت پیش‌فرض SSH 

یکی از ساده‌ترین و در عین حال مؤثرترین کارها برای افزایش امنیت SSH، تغییر پورت پیش‌فرض اونه.

چرا پورت پیش‌فرض SSH را تغییر دهیم؟

پورت استاندارد SSH، پورت ۲۲ هست. تقریباً همه هکرها و بات‌های مخرب به صورت خودکار این پورت رو اسکن می‌کنن تا سرورها و روترهای آسیب‌پذیر رو پیدا کنن. با تغییر این پورت به یه پورت دیگه (مثلاً ۲۲۲۲ یا هر پورت دیگه‌ای که استفاده نمی‌شه)، شما از دید حجم عظیمی از این حملات خودکار مخفی می‌شید. 🥸

خیلی از کاربرها تو فروم‌ها و گروه‌های تخصصی نوشتن که فقط با همین تغییر ساده، تعداد تلاش‌های ناموفق برای ورود به SSH شون به طرز چشمگیری کم شده. این کار مثل اینه که درِ اصلی خونه‌تون رو از دید عموم مخفی کنید!

تغییر پورت SSH در میکروتیک

تغییر پورت SSH در میکروتیک خیلی ساده‌ست:

1. وارد میکروتیک بشید با WinBox 

2. از منوی سمت چپ، روی IP کلیک کنید و بعد Services رو انتخاب کنید.

3. در لیست سرویس‌ها، سرویس ssh رو پیدا کنید.

4. روش دابل کلیک کنید تا پنجره تنظیماتش باز بشه.

5. در قسمت Port، به جای 22، پورت جدید مورد نظرتون رو وارد کنید مثلاً 2222). یادتون باشه پورتی رو انتخاب کنید که توسط سرویس دیگه‌ای استفاده نمی‌شه). 💡

6. روی OK کلیک کنید.

به همین راحتی! فقط یادتون نره که از این به بعد برای اتصال به SSH روترتون، باید پورت جدید رو مشخص کنید. و مهم‌تر اینکه، تمام قوانین فایروالی که برای پورت ۲۲ نوشته بودید  رو باید برای پورت جدید آپدیت کنید! وگرنه دیگه نمی‌تونید وصل بشید.


 

برای آشنایی جامع با خدمات امنیت شبکه و راهکارهای امنیتی سازمانی ، مقاله دیگر ما را مطالعه فرمایید.

 

 

تست تنظیمات Port Knocking شما

خب، حالا که همه چیز رو تنظیم کردیم، وقتشه که ببینیم درست کار می‌کنه یا نه.

استفاده از یک کلاینت Port Knocking

برای ارسال توالی ناک‌ها به روتر، به یه ابزار یا کلاینت Port Knocking نیاز دارید. چند تا گزینه رایج هست:

  • ابزار knock یا knockd : این یه ابزار خط فرمان خیلی معروفه. مثلاً برای توالی ناک ما (7001, 8002, 9003 روی TCP) و اتصال به IP روتر 192.168.88.1، دستورش می‌شه:
    knock 192.168.88.1 7001:tcp 8002:tcp 9003:tcp
    و بعد از چند ثانیه می‌تونید با SSH به پورت ۲۲ (یا پورت جدیدتون) وصل بشید.
  • نرم‌افزارهای گرافیکی: برای ویندوز و مک هم نرم‌افزارهایی با رابط گرافیکی برای Port Knocking وجود داره. یه جستجوی ساده تو گوگل با عبارت "Port Knocking client Windows" یا "Port Knocking client macOS" کلی گزینه بهتون می‌ده.
  • اسکریپت‌های ساده: می‌تونید با زبان‌های برنامه‌نویسی مثل پایتون هم یه اسکریپت کوچیک بنویسید که این ناک‌ها رو براتون ارسال کنه. تو کامنت‌های یه ویدیوی آموزشی دیدم که خیلی‌ها با اسکریپت‌های پایتون ساده مشکلشون رو برای ارسال ناک‌ها حل کرده بودن.

تأیید دسترسی SSH پس از ناکینگ

1.  تست اول : سعی کنید مستقیماً با SSH به روترتون وصل بشید (بدون اینکه ناک‌ها رو بفرستید). اتصال باید ناموفق باشه (Connection timed out یا Connection refused). این نشون می‌ده که فایروال‌تون داره درست کار می‌کنه و پورت SSH بسته است

2. تست دوم : حالا با استفاده از کلاینت Port Knocking، توالی ناک‌ها رو به IP روترتون بفرستید.

3. بلافاصله بعد از ناک: سعی کنید با SSH به روترتون وصل بشید. این بار اتصال باید موفقیت‌آمیز باشه

اگه هر دو تست طبق انتظار پیش رفت، تبریک می‌گم! شما با موفقیت Port Knocking رو پیاده‌سازی کردید

عیب‌یابی مشکلات رایج troubleshooting

اگه یه جای کار لنگید و نتونستید وصل بشید، این موارد رو چک کنید:

  • ترتیب قوانین فایروال: این شایع‌ترین مشکله. مطمئن بشید ترتیب قوانینی که بالاتر گفتیم دقیقاً رعایت شده باشه. قانون accept برای ssh_allowed باید قبل از قانون drop کلی SSH باشه.
  • صحت پورت‌ها و پروتکل ناکینگ: مطمئن بشید پورت‌ها و پروتکلی که تو قوانین فایروال تنظیم کردید با چیزی که کلاینت ناکینگ ارسال می‌کنه یکی باشه. یه غلط املایی کوچیک می‌تونه همه چیز رو خراب کنه.
  • نام Address List ها: چک کنید که نام Address List ها رو تو قوانین فایروال درست نوشته باشید (knock_stage1, knock_stage2, ssh_allowed).
  • زمان Timeout ها: اگه زمان Timeout ها خیلی کوتاه باشه (مخصوصاً برای ssh_allowed)، ممکنه تا بیاید SSH بزنید، IP شما از لیست حذف شده باشه.
  • اینترفیس ورودی : اگه روترتون چند تا اینترفیس WAN داره یا سناریوی پیچیده‌ای دارید، ممکنه لازم باشه تو قوانین فایروال، In. Interface رو هم مشخص کنید. اما برای شروع، خالی بذاریدش تا روی همه اینترفیس‌ها اعمال بشه.
  • لاگ‌های فایروال: می‌تونید برای قوانین فایروال‌تون (مخصوصاً قوانین Drop) گزینه Log رو فعال کنید تا ببینید بسته‌ها دقیقاً به کدوم قانون می‌خورن و چرا Drop می‌شن. این خیلی تو عیب‌یابی کمک می‌کنه. (تیک Log رو بزنید و یه Log Prefix هم براش بذارید تا تو لاگ‌ها راحت پیداش کنید.

یه تجربه از بچه‌های رایانه کمک: خیلی وقت‌ها مشکل از یه اشتباه تایپی ساده یا جابجا بودن دو تا قانونه. با دقت و حوصله بررسی کنید. اگه باز هم مشکل داشتید، "رایانه کمک" همیشه در خدمت شماست. یه تماس با شماره 0217129 با تلفن همراه   یا شماره9099071540  بگیرید، کارشناس‌های ما منتظرن تا کمکتون کنن


سوالات متداول 

اینجا به چند تا از سوالات پرتکراری که ممکنه براتون پیش بیاد جواب می‌دیم:

1. Port knocking چیست و چگونه کار می‌کند؟
Port Knocking یه تکنیک امنیتیه که در اون، دسترسی به یه پورت خاص (مثلاً SSH) فقط بعد از ارسال یه سری "تلاش برای اتصال" (ناک) به ترتیب و روی پورت‌های از پیش تعیین شده دیگه، باز می‌شه. انگار یه رمز مخفی برای باز شدن در دارید.

2. Port knocking چه مزایایی نسبت به سایر روش‌های امنیتی دارد؟
اصلی‌ترین مزیتش مخفی کردن پورت از دید اسکنرها و کاهش شدید حملات خودکاره. همچنین یه لایه امنیتی اضافه و رایگان (بدون نیاز به نرم‌افزار یا سخت‌افزار خاص) فراهم می‌کنه.

3.Port knocking چه معایبی دارد؟
پیچیدگی در تنظیمات اولیه، احتمال فراموشی توالی ناک‌ها، وابستگی به کلاینت ناکینگ و اینکه به تنهایی یه راه حل کامل امنیتی نیست، از معایبشه.

4. چگونه می‌توانم یک ترتیب  پورت مناسب برای port knocking انتخاب کنم؟
از پورت‌های غیرمعروف، تصادفی و استفاده نشده روی روترتون استفاده کنید. ۳ تا ۴ ناک معمولاً کافیه. ترتیب و پورت‌ها رو یه جای امن یادداشت کنید.

5. چگونه می‌توانم از مثبت‌های کاذب  جلوگیری کنم؟
با انتخاب توالی ناک پیچیده‌تر (ولی نه خیلی سخت!)، استفاده از Timeout های مناسب برای Address List ها و Drop کردن تلاش‌های نامعتبر به پورت‌های ناک.

6.  آیا تغییر پورت SSH پیش‌فرض ضروری است؟
ضروری نیست، اما به شدت توصیه می‌شه. این کار به تنهایی حجم زیادی از حملات خودکار رو کاهش می‌ده.

7. چگونه می‌توانم پورت SSH پیش‌فرض را در Mikrotik تغییر دهم؟
از مسیر IP > Services، سرویس ssh رو پیدا کنید و پورتش رو تغییر بدید. یادتون نره قوانین فایروال رو هم آپدیت کنید.

8. چگونه می‌توانم Port knocking را بر روی Mikrotik پیکربندی کنم؟
با ایجاد قوانین فایروال مشخص برای شناسایی توالی ناک‌ها و اضافه کردن IP کاربر به Address List های مرحله‌ای، و در نهایت باز کردن پورت SSH برای IP های مجاز. مراحل دقیقش رو بالاتر توضیح دادیم.

9.  آیا می‌توانم از Port knocking در RouterOS v6 استفاده کنم؟
بله، Port Knocking با استفاده از Address List ها و قوانین فایروال در RouterOS v6 به خوبی قابل پیاده‌سازیه. اکثر نسخه‌های RouterOS این قابلیت رو دارن.

10. چگونه می‌توانم Port knocking را تست کنم؟
اول بدون ارسال ناک سعی کنید به SSH وصل بشید (باید ناموفق باشه). بعد ناک‌ها رو بفرستید و دوباره تلاش کنید (باید موفق باشه).

11. چه ابزارهایی برای تست Port knocking وجود دارد؟
ابزارهای خط فرمان مثل knock (در لینوکس)، نرم‌افزارهای گرافیکی برای ویندوز و مک، یا اسکریپت‌های سفارشی با پایتون و... .

12. چگونه می‌توانم وقفه زمانی  برای ناک‌های  ناموفق یا ناقص ایجاد کنم؟
در تنظیمات Address List ها در قوانین فایروال میکروتیک، می‌تونید برای هر مرحله یه Timeout مشخص کنید. اگه کاربر تو اون زمان ناک بعدی رو نزنه، IP اش از لیست حذف می‌شه.

13. آیا می‌توانم ناک‌های  موفق و ناموفق را لاگ  کنم؟
بله، در قوانین فایروال میکروتیک می‌تونید گزینه Log رو برای هر قانون فعال کنید و یه Log Prefix هم براش بذارید تا تو بخش Log روتر، این اتفاقات رو ببینید.

14. Port knocking را با سایر روش‌های امنیتی چگونه می‌توانم ترکیب  کنم؟
Port Knocking رو می‌تونید در کنار تغییر پورت SSH، استفاده از پسوردهای قوی، غیرفعال کردن لاگین با پسورد و استفاده از کلید SSH، فایروال قوی، محدود کردن دسترسی SSH به IP های خاص (اگه ممکنه) و حتی VPN استفاده کنید. امنیت لایه‌ای بهترین رویکرده!

15.توالی ناک  را چگونه ایمن کنم؟
توالی رو پیچیده (ولی قابل یادآوری) انتخاب کنید، اون رو جایی فاش نکنید و به صورت دوره‌ای (اگه احساس کردید لازمه) تغییرش بدید. از پورت‌های کاملاً تصادفی استفاده کنید.

16. چه گزینه‌های دیگری برای ایمن‌سازی SSH وجود دارد؟
تغییر پورت پیش‌فرض، استفاده از کلیدهای SSH به جای پسورد، احراز هویت دو عاملی (2FA)، محدود کردن IP های مجاز برای دسترسی، استفاده از fail2ban (یا مشابهش در میکروتیک برای بلاک کردن IP های مهاجم)، و VPN.

 

پیشنهاد میکنم برای درک بهتری از ایمن سازی با انواع پرتکل های vpn آشنا شوید. 

 

17.VPN بهتر است یا Port knocking؟
هر کدوم مزایا و کاربردهای خودشون رو دارن. VPN یه تونل امن و رمزنگاری شده ایجاد می‌کنه و برای دسترسی به کل شبکه داخلی مناسبه. Port Knocking فقط یه پورت خاص رو مخفی و محافظت می‌کنه. برای امنیت بیشتر، می‌تونید حتی Port Knocking رو برای دسترسی به VPN سرور استفاده کنید!  اما به طور کلی، VPN برای دسترسی ریموت جامع‌تر و امن‌تره، ولی Port Knocking یه لایه مخفی‌سازی خوب اضافه می‌کنه.

18. آیا استفاده از احراز هویت دو عاملی  برای SSH توصیه می‌شود؟
بله، به شدت! 2FA یه لایه امنیتی خیلی قوی اضافه می‌کنه. حتی اگه پسوردتون لو بره، بدون عامل دوم (مثلاً کد از اپلیکیشن موبایل) کسی نمی‌تونه وارد بشه. ترکیب Port Knocking با 2FA و کلید SSH دیگه تقریباً نفوذ به SSH رو غیرممکن می‌کنه.

19. چگونه port knocking می‌تواند به عنوان یک لایه امنیتی در نظر گرفته شود؟
Port Knocking با مخفی کردن پورت اصلی، جلوی دیده‌شدن اون توسط اسکنرهای خودکار و بخش زیادی از مهاجم‌ها رو می‌گیره. این یعنی قبل از اینکه مهاجم بخواد پسورد یا آسیب‌پذیری رو امتحان کنه، اصلاً نمی‌دونه سرویسی اونجا وجود داره. این یه لایه "امنیت از طریق گمنامی" (Security through obscurity) به لایه‌های دیگه اضافه می‌کنه.

20. بهترین روش‌ها  برای ایمن‌سازی SSH در Mikrotik چیست؟

مجموعه‌ای از این روش‌ها که جزو بهترین شیوه‌های تامین امنیت شبکه نیز محسوب می‌شوند، عبارتند از

  1. تغییر پورت پیش‌فرض SSH.
  2.  استفاده از پسوردهای بسیار قوی و پیچیده (یا بهتر از اون، غیرفعال کردن لاگین با پسورد).
  3.  استفاده از احراز هویت با کلید عمومی/خصوصی (Key-based authentication).
  4. پیاده‌سازی Port Knocking.
  5. محدود کردن دسترسی SSH فقط به IP آدرس‌های مورد اعتماد (اگه امکانش هست).
  6.  آپدیت منظم RouterOS به آخرین نسخه.
  7. فعال کردن لاگ و مانیتور کردن تلاش‌های ورود.
  8. استفاده از احراز هویت دو عاملی (2FA) اگه میکروتیک ازش پشتیبانی کنه یا از طریق راهکارهای جانبی.

امیدوارم این سوالات متداول هم به دردتون خورده باشه. شما هم تجربه مشابهی داشتید یا راه حل بهتری سراغ دارید؟ حتماً تو بخش نظرات با ما و بقیه دوستان به اشتراک بذارید. ما تو رایانه کمک همیشه از شنیدن تجربیات شما استقبال می‌کنیم. ✍️👇

 

 نتیجه‌گیری

خب دوستان، به پایان این آموزش جامع رسیدیم. دیدید که Port Knocking با اینکه شاید در نگاه اول یکم پیچیده به نظر بیاد، اما با کمی دقت و حوصله می‌تونید یه لایه امنیتی خیلی خوب به روتر میکروتیک‌تون اضافه کنید. 🛡️ یادتون باشه که امنیت یه فرآیند مستمره و هیچ‌وقت یه راه‌حل جادویی و صددرصدی وجود نداره. Port Knocking یکی از ابزارهای قدرتمند توی جعبه ابزار امنیتی شماست که اگه درست ازش استفاده کنید، می‌تونه خواب خیلی از مهاجم‌ها رو آشفته کنه

مهم‌ترین نکته اینه که Port Knocking رو به عنوان بخشی از یه استراتژی امنیتی چندلایه ببینید. در کنارش حتماً از پسوردهای قوی، تغییر پورت پیش‌فرض، و در صورت امکان از احراز هویت با کلید SSH  نیز استفاده کنید.

امیدوارم این مقاله براتون مفید بوده باشه. اگه تو هر مرحله‌ای از پیاده‌سازی به مشکل خوردید یا سوالی داشتید، اصلاً نگران نباشید و خودتون رو اذیت نکنید. کارشناس‌های ما تو رایانه کمک فقط یه تماس با شما فاصله دارن. با شماره  9099071540 یا شماره 0217129 با تلفن همراه  تماس بگیرید تا راهنمایی‌تون کنیم و خیالتون از بابت امنیت روترتون راحت بشه

موفق و امن باشید! 🌟

 قابل توجه شما کاربر گرامی: محتوای این صفحه صرفاً برای اطلاع رسانی است در صورتی که تسلط کافی برای انجام موارد فنی مقاله ندارید حتما از کارشناس فنی کمک بگیرید.

تگ ها

شبکه
نظر کاربران

ارسال نظر

ارسال