Logo CNTTShop.vn

Hotline: 0966 658 525

Hà Nội: NTT03, Line 1, Thống Nhất Complex, 82 Nguyễn Tuân, Thanh Xuân, Hà Nội. ● HCM: Số 31B, Đường 1, Phường An Phú, Quận 2 (Thủ Đức), TP HCM. ===> Đơn Vị Hàng Đầu Trong Lĩnh Vực Cung Cấp Thiết Bị Security - Network - Wifi - CCTV - Conference - Máy chủ Server - Lưu trữ Storge.
Thiết bị mạng: 0962 052 874 - 0966 658 525 Máy chủ Server: 0866 176 188 - 0968 498 887 Purchase: 096 350 6565
Danh mục sản phẩm

Những Cấu Hình Khuyến Nghị Khi Cài Đặt Router Mikrotik

 

Trong thực tế, khi cấu hình Mikrotik chúng ta thường chỉ cấu hình các tính năng để cho mạng hoạt động. Tuy nhiên, có khá nhiều cài đặt cơ bản trên router để có thể tối ưu hóa hệ thống mạng hoặc giảm thiểu các cuộc tấn công từ bên trong và ngoài mạng. Do vậy, trong bài viết này mình sẽ hướng dẫn 1 số cấu hình cơ bản, đơn giản mà chúng ta có thể tự thiết lập để Router tự bảo vệ trước các nguy cơ tấn công từ bên ngoài nhé.

Thay đổi mật khẩu và giới hạn truy cập Router

Việc đầu tiên cần làm khi cấu hình Router là chúng ta cần thay đổi mật khẩu cho tài khoản admin. Tuy nhiên thì ngoài việc đổi mật khẩu, các bạn có thể giới hạn thêm những IP nào có thể truy cập vào Router, hoặc tạo thêm các tài khoản và phân quyền dựa trên chức năng của người dùng.

Các bạn vào menu System > Users. Kích đúp vào user admin và thiết lập các thuộc tính:

  • Group: các bạn có thể lựa chọn quyền cho user là full, read hoặc write tùy yêu cầu. Các bạn có thể edit những quyền này trong tab Groups, user ở trong các group tương ứng sẽ có thể thực thi được 1 số chức năng cụ thể.
  • Allowed Address: mặc định thì những máy tính nào có thể ping được đến Router thì đều có thể truy cập được. Tuy nhiên các bạn có thể giới hạn chỉ 1 số IP của quản trị viên mới có thể access. Với 1 IP thì các bạn để subnet /32.
  • Nếu các bạn cần thay đổi password thì nhấn vào Password để thay đổi.

thay đổi mật khẩu và giới hạn truy cập trên mikrotik

Tắt các dịch vụ không sử dụng

Mặc định thì có khá nhiều dịch vụ được bật theo mặc định trên Mikrotik, tuy nhiên không phải dịch vụ nào chúng ta cũng sử dụng. Mỗi dịch vụ các bạn bật trên Router đều tiêu tốn tài nguyên CPU và RAM để xử lý. Mặc khác, mỗi khi các bạn bật 1 dịch vụ lên, các port tương ứng với dịch vụ đó cũng được sử dụng. Các Hacker thường xuyên quét các dịch vụ được mở trên Router và tìm cách tấn công vào các port đó. Tắt các tính năng không sử dụng đi vừa giải phóng tài nguyên trên router, vừa giúp giảm các cuộc tấn công vào Router.

  • apiapi-ssl: cổng để tương tác với router thông qua các ngôn ngữ lập trình, chúng ta thường không sử dụng các dịch vụ này.
  • ftp: đây là giao thức truyền file, để các bạn có thể upload các file vào router. Tuy nhiên chúng ta cũng ít khi sử dụng nên các bạn có thể tắt đi và chỉ bật khi cần.
  • telnetssh: đây là 2 giao thức để các bạn truy cập vào CLI của Router. Tuy nhiên các bạn hoàn toàn có thể truy cập bằng Terminal trên winbox nếu cần. Nên các bạn cũng có thể disable 2 giao thức này.
  • Winbox, wwwwww-ssl: đây là 3 cách để các bạn truy cập vào giao diện đồ họa của Mikrotik, bằng phần mềm winbox, HTTP hoặc HTTPS. Các bạn chỉ nên để 1 trong 3 cách. Mình sử dụng winbox mình sẽ disable HTTP và HTTPS đi.

tắt các service không sử dụng

Ngoài ra, nếu các bạn bật dịch vụ lên để sử dụng, thì các bạn có thể cấu hình thêm Avaiable From, tương tự như Allowed Address như trong tài khoản Admin. Khi đó chỉ các dải mạng đó mới có thể sử dụng port dịch vụ tương ứng.

Tắt truy vấn DNS

Các bạn truy cập vào menu IP > DNS, bỏ tích chọn mục Allow Remote Requests.

bỏ chọn Allow remote requests trong menu DNS

Nếu các bạn sử dụng các máy chủ DNS bên ngoài Internet, ví dụ DNS của google là 8.8.8.8, thì các bạn nên bỏ tích chọn phần Allow Remote Requests. Khi Allow Remote Requests được bật nghĩa là những người dùng ngoài Internet có thể gửi yêu cầu phân giải tên miền đến Router của các bạn để nhờ phân giải hộ, Mikrotik sẽ phân giải tên miền và trả lời lại cho client đó. Đối với các hacker, họ sẽ sử dụng hệ thống Botnet để liên tục gửi hàng nghìn request DNS liên tục đến Router của các bạn, dẫn đến router bị quá tải, hoặc làm chậm tốc độ truy cập. Do vậy trong mọi trường hợp các bạn không nên bật tính năng này.

Cập nhật RouterOS mới nhất

Việc cập nhật firmware mới nhất luôn là điều cần thiết đối với mọi thiết bị trong hệ thống mạng. Mikrotik luôn cập nhật để vá các bug có thể bị hacker lợi dụng để tấn công, hoặc fix các tính năng hoạt động không ổn định, không chính xác hoặc tiêu tốn tài nguyên của router quá mức cần thiết. Tuy nhiên thì Mikrotik đưa ra khá nhiều phiên bản, do vậy các bạn nên lựa chọn các phiên bản long-term, hoặc stable để update, không nên sử dụng các phiên bản beta hoặc testing.

Để Update firmware, các bạn truy cập vào menu System > Packages, nhấn Check For Updates, sau đó chọn loại Router OS mà chúng ta muốn Update. Bản long-term sẽ ít lỗi hơn stable, nhưng version thì sẽ thấp hơn. Nếu có phiên bản mới hơn, thì các thay đổi trong phiên bản mới cũng sẽ hiển thị ở phía dưới.

update lên bản firmware mới nhất

Tắt tính năng kiểm tra băng thông

Btest, hay kiểm tra băng thông là 1 tính năng trên Router Mikrotik để đo đường truyền mạng. Nếu các bạn có nhiều Router Mikrotik thì có thể phát hiện được tình trạng "thắt nút cổ chai" trong mạng. Tuy nhiên tính năng này chúng ta ít sử dụng, và không có ý nghĩa trong thực tế. Kiểm tra băng thông sử dụng rất nhiều tài nguyên. Nếu bạn muốn kiểm tra thông lượng thực của Router, bạn nên chạy kiểm tra băng thông thông qua bộ định tuyến được kiểm tra không từ hoặc đến nó. Để làm điều này, bạn cần ít nhất 3 bộ định tuyến được kết nối theo chuỗi: Máy chủ băng thông, bộ định tuyến đang được kiểm tra và Máy khách băng thông. Do vậy, các bạn nên tắt tính năng này đi để giải phóng tài nguyên cho Router.

Truy cập vào menu Tool > BTest Server, và bỏ dấu tích ở mục Enable đi.

tắt tính năng btest server

Cập nhật thời gian

Cập nhật thời gian là 1 công việc rất cần thiết khi các bạn cấu hình thiết bị. Khi thời gian được cập nhật chính xác, các bạn có thể dễ dàng xem các log trên Router và có thể xác định chính xác được thời gian xảy ra vấn đề. Ngoài ra thì nhiều tính năng trên Router sẽ bị ảnh hưởng bởi thời gian, như tự động backup cấu hình theo lịch, đặc biệt là tính năng VPN. Nếu thời gian không chính xác thì có thể VPN không hoạt động chính xác, dẫn tới tình trạng chập chờn. Do vậy các bạn nên cấu hình thời gian ngay từ đầu cho Router.

Truy cập vào menu System > NTP Client, tích chọn Enabled và nhập NTP Servers vào. Có nhiều NTP Server public mà các bạn có thể sử dụng, hoặc nếu các bạn có NTP Server local thì cũng có thể sử dụng.

cấu hình thời gian cho Router

Ngoài ra thì còn nhiều cách chúng ta có thể tối ưu được router, cũng như giảm rủi ro của các cuộc tấn công mạng, mình sẽ update trong các bài viết tiếp theo. Các bạn theo dõi trên Blog của CNTTShop nhé.

Lê Văn Tuấn

Là chuyên gia trong lĩnh vực Network System, Security, Server.. Có kinh nghiệm nhiều năm tư vấn giải pháp mạng, triển khai các giải pháp CNTT và phân phối thiết bị mạng Switch, Wifi, Router, Máy chủ Server, Lưu trữ Storage, Tường lửa Firewall, Video Conferencing, Module quang, Load Balancing. Hiện tại tôi là Founder và Managing Director công ty TNHH Công Nghệ Việt Thái Dương (CNTTShop.vn).

Bình luận bài viết!

Có 0 bình luận:
Chuyên mục chính
Bài viết cùng danh mục
Sản phẩm liên quan