Bu sefer farklı bir konuda bilgilendirme amaçlı bir yönerge yazmak istiyorum.
Çevremde gördüğüm kadarıyla Mikrotik Router ile alakalı olarak ilk yapılandırma ve cihaz güvenliği noktalarında bazı şeylerin eksik yapıldığını fark ediyorum.
Default konfigurasyonlar üzerine basit güvenlik önlemlerini almadan kurulum yapılıyor buda bu cihazların istismar edilmesine neden oluyor.
Bu yazı dizimin seneryosu şu şekilde olacak, 1 adet Modemimiz, 1 adet Mikrotik RB941-2nd-TC, ofis içerisinde 5 bilgisayarımız, wifi ağımız ve 1 adet sunucumuz var.
Seneryo dahilinde hem ağ güvenliği hem de cihaz güvenliği alarak bir yapılandırma yapacağız.
Modemimiz, 192.168.1.1 ip bloğundan ip dağıtıyor ve Mikrotiğimiz’de 192.168.5.1 ip bloğundan ip dağıtacak.
İlk yazımda cihazın ilk kurulumu, yapılması gerekenler ve konfigurasyonunu adım adım resimler ve yazılar aracılığı ile anlatacağım.
Şimdi adım adım başlayalım :
1. Adım : Routerımız ilk taktığımız anda default konfigurasyonda geliyor bunu kaldıracağız :
Menümüz üzerinden System -> Reset Configuration Altında açılan pencerede No Default configuration seçeneğini seçip Reset Configuration butonuna basıyoruz.
2. Adım : Kullanacağımız ethernet arayüzlerini isimlendiriyoruz :
3. Adım : Mikrotiğimizi modemimiz üzerinden internete çıkartacağımız için WAN-eth1 arayüzümüze DHCP Client ekliyoruz.
Menümüz üzerinden IP -> DHCP Client pencerisini açıp Interface WAN-eth1 seçtikten sonra Apply butonuna basıyoruz.
4. Adım : Mikrotik Routerımızı internete çıkmasını sağlamak ve LAN arayüzden gelen DNS isteklerini karışlaması aracılığı ile Allow Remote Request özelliğini aktif ediyoruz.
Menümüz üzerinden : IP -> DNS penceresinden Allow Remote Request seçeneğini işaretleyip Apply butonuna basıyoruz.
5. Adım : Mikrotik Routerımızın ve LAN arayüzünde bulunan kullanıcılarımızın internete çıkışını sağlamak için bir nat kuralı ekliyoruz.
Menümüz üzerinden : IP -> Firewall Penceresi üzerinde NAT sekmesine geliyoruz ve + butonuna tıklıyoruz.
Açılan pencere üzerinde Action sekmesine geçip Action açılık kutusu üzerinde masqueradeyi işaretleyip Apply butonuna tıklıyoruz.
6. Adım : Yukarıdaki işlemlerden sonra routerımız artık internete çıkıyor. Şimdi routerımızı güncelleyeceğiz.
Menümüz üzerinden : System -> Packages penceri üzerinde Check For Updates butonuna basıyoruz.
Açılan penecerede Channel açılır kutusu üzerinde varsa upgradeyi seçip yoksa stable yi seçip Check For Updates butonuna basıyoruz.
Ardından Download & Install butonuna basarak routerımızı güncelliyoruz.
7. Adım : Şimdi LAN arayüzümüzü yapılandıracağız bunun için öncelikle ip tanımlaması yapmamız gerekiyor.
IP -> Addresses pencerinden yukarıda bulunan 9 butonuna basıyoruz.
Açılan pencerede Address kısmına 192.168.5.1/24 ip adresimiz ve subnetimizi giriyoruz, ardından aşağıda bulunan interface açılık kutusundan LAN-eth2’yi seçiyoruz ve Apply butonuna basıyoruz.
8. Adım : LAN arayüzü kullanıcılarımıza ip dağıtabilmek için LAN-eth2 arayüzüne bir DHCP Server kuracağız.
Menümüz üzerinden : IP -> DHCP Server açılan pencerede yukarıda bulunan DHCP Setup butonuna tıklıyoruz.
DHCP Server Interface kısmında LAN-eth2 arayüzümüzü seçiyoruz ve Selet DNS Server kısmı gelene kadar Next diyoruz.
DNS Servers kısmına 192.168.5.1 yazıp Next diyerek kurulumumuzu sonlandırıyoruz.
9. Adım : Bu kısma kadar Mikrotik cihazımızı internete çıkardık, Kullanıcılarımız için DHCP Server kurup onları da internete çıkardık.
Şimdi Mikrotik Routerımızın ve Kullanıcılarımızın güvenliği ile ilgili en basit noktada yapılması gerekenleri yapacağız.
Öncelike Mikrotik Routerımızın WinBox yazılımı üzerinde görünmesini engellemek için ;
Menümüz üzerinden : IP -> Neighbors açılan pencere üzerinde Discovery Settings butonuna basıyoruz.
Açılan pencerede Interface açılır kutusundan none seçip Apply butonuna tıklıyoruz.
10. Adım : Mikrotik Routerımızı ve Kullanıcılarımı koruma amaçlı olarak aşağıdaki kuralları ekliyoruz.
Kurallarımızı eklemek için menümüz üzerinden IP -> Firewall kısmına giriyoruz.
1. Kuralımızda, Mikrotik Routerımıza gelen geçersiz veya bozuk istekleri engelleyeceğiz.
a.Penceremiz üzerinde bulunan + butonuna basıyoruz.
b.Açılan pencere üzerinde General sekmesi altında bulunan Chain açılır kutumuz üzerinden input’u seçiyoruz.
c.General sekmesi altında en alt kısımda bulunan Connection State kısmından invalid seçeneğini işaretliyoruz.
d.Ardından Action sekmesine geçiyoruz ve Action açılır kutusundan drop’u seçioruz ve Apply butonuna başıyoruz.
2. Kuralımızda geçerli bağlantılara izin vereceğiz.
a.Penceremiz üzerinde bulunan + butonuna basıyoruz.
b.Açılan pencere üzerinde General sekmesi altında bulunan Chain açılır kutumuz üzerinden input’u seçiyoruz.
c.General sekmesi altında en alt kısımda bulunan Connection State kısmından established, related, untracked seçeneklerini işaretliyoruz.
d.Ardından Action sekmesine geçiyoruz ve Action açılır kutusundan accept’i seçioruz ve Apply butonuna başıyoruz.
3. Kuralımızda icmp protokolüne izin vereceğiz.
a.Penceremiz üzerinde bulunan + butonuna basıyoruz.
b.Açılan pencere üzerinde General sekmesi altında bulunan Chain açılır kutumuz üzerinden input’u seçiyoruz.
c.General sekmesi altında bulunan Protocol açılır kutusundan icmp yi seçiyoruz.
d.Ardından Action sekmesine geçiyoruz ve Action açılır kutusundan accept’i seçioruz ve Apply butonuna başıyoruz.
4. Kuralımızda WinBox Portlarına izin veriyoruz.
a.Penceremiz üzerinde bulunan + butonuna basıyoruz.
b.Açılan pencere üzerinde General sekmesi altında bulunan Chain açılır kutumuz üzerinden input’u seçiyoruz.
c.General sekmesi altında bulunan Protocol açılır kutusundan tcp’yi seçiyoruz.
d.Any Port kısmına 8291,22 portlarını yazıyoruz.
e.Ardından Action sekmesine geçiyoruz ve Action açılır kutusundan accept’i seçioruz ve Apply butonuna başıyoruz.
5. Kuralımızda kaynak adresi kullanıcılarımız için olan bağlantılara izin veriyoruz.
a.Penceremiz üzerinde bulunan + butonuna basıyoruz.
b.Açılan pencere üzerinde General sekmesi altında bulunan Chain açılır kutumuz üzerinden input’u seçiyoruz.
c.Src Addresse kısmına 192.168.5.0/24 yazıyoruz.
d.Ardından Action sekmesine geçiyoruz ve Action açılır kutusundan accept’i seçioruz ve Apply butonuna başıyoruz.
6. Kuralımızda geri kalan her şeyi engelleyiyoruz.
a.Penceremiz üzerinde bulunan + butonuna basıyoruz.
b.Açılan pencere üzerinde General sekmesi altında bulunan Chain açılır kutumuz üzerinden input’u seçiyoruz.
d.Ardından Action sekmesine geçiyoruz ve Action açılır kutusundan drop’u seçioruz ve Apply butonuna başıyoruz.
11. Adım : Kullanmadığımız servisleri kapatıyoruz.
Menümüz üzerinden : IP -> Services açılan pencerede bulunan servislerden api, api-ssl, ftp, telnet ve www servislerini ctrl tuşuna basarak seçiyoruz ve yukarıda bulunan çarpı butonuna basıyoruz.
12. Adım : MAC adresi üzerinden Mikrotik Router’a erişimi engellemek için MAC Server’ı kapatacağız.
Menümüz üzerinden : Tools -> MAC Server açılan pencerede MAC WinBox Server butonuna tıklıyoruz. Allowed Interface List açılır kutusundan none’yi seçip Apply diyoruz.
13. Adım : Bandwith Test Server, Bu özellik Mikrotiğin ağ üzerinde bulunan bir darboğazı algılayıp ona göre bantgenişliğini otomatik olarak ayarlamasını sağlar.
Ufak cihazlar hAP serisi gibi bu özelliği kapatarak daha fazla performans elde debilirsiniz.
Menümüz üzerinden : Tools -> BTest Server açılan pencerede Enabled seçeneğini kaldırıp Apply butonuna tıklayarak kapatabiliriz.
14. Adım : Kendinize yeni bir tam yetkili kullanıcı oluşturarak admin kullanıcısını kaldırıyoruz.
Menümüz üzerinden : System -> Users açılan pencere üzerinden yukarıda bulunan + butonuna basıyoruz.
Açılan pencerede gerekli bilgileri doldurup Group açılır kutusundan full seçeneğini seçiyoruz.
Ardından Apply butonuna tıklıyoruz.
Daha sonra System -> Users penceremizde admin kullanıcısını seçiyoruz ve yukarıda bulunan çarpı butonuna basıyoruz.
Artık en basit güvenlik önlemleri alınmış hali ile bir Mikrotik Router’ımız var. Bu basit önlemlerle bile pek çok saldırıdan korunabilirsiniz.
Bir sonraki yazımda Mikrotik üzerinde DDOS, SYN,DOS ataklarını nasıl engelleriz konularına deyineceğim.
