Bạn nên tắt các dịch vụ này nếu bạn không sử dụng chúng hoặc chỉ định địa chỉ IP, dải IP hoặc quyền truy cập phân đoạn mạng sẽ được phép; điều này có thể được điều chỉnh trong menu /IP/Dịch vụ. Một cách khác là tạo ra các quy tắc /bộ lọc tường lửa để cho phép hoặc từ chối quyền truy cập qua SSH hoặc Telnet.

Để bảo vệ bộ định tuyến MikroTik khỏi các cuộc tấn công SSH (Secure Shell) và Telnet, điều cần thiết là phải thực hiện một loạt biện pháp bảo mật.

Các giao thức này thường được sử dụng để quản lý thiết bị từ xa nhưng có thể dễ bị tấn công nếu không được định cấu hình đúng cách.

Chúng tôi cung cấp cho bạn các đề xuất quan trọng khác để tăng cường bảo mật cho bộ định tuyến MikroTik của bạn trước các cuộc tấn công này:

1. Thay đổi cổng mặc định

• Đối với SSH và Telnet, hãy cân nhắc việc thay đổi cổng mặc định (22 cho SSH và 23 cho Telnet) thành số cổng không chuẩn khác. Điều này có thể làm giảm đáng kể các cuộc tấn công tự động.

2. Tắt Telnet

• Telnet không an toàn vì nó truyền thông tin xác thực và dữ liệu ở dạng văn bản rõ ràng. Bạn nên tắt hoàn toàn Telnet và sử dụng SSH để quản lý từ xa vì SSH mã hóa kết nối.

3. Sử dụng mật khẩu mạnh

• Đảm bảo tất cả các tài khoản đều có mật khẩu mạnh và duy nhất. Hãy cân nhắc việc sử dụng trình quản lý mật khẩu để tạo và lưu trữ các mật khẩu phức tạp.

4. Hạn chế quyền truy cập theo IP

• Sử dụng các quy tắc tường lửa để hạn chế quyền truy cập SSH vào các địa chỉ IP đã biết và đáng tin cậy. Điều này hạn chế đáng kể những người có thể cố gắng kết nối với bộ định tuyến của bạn.

5. Kích hoạt xác thực hai yếu tố (2FA)

• Nếu có thể, hãy bật xác thực hai yếu tố để truy cập SSH. Điều này bổ sung thêm một lớp bảo mật.

6. Thường xuyên cập nhật phần mềm

• Đảm bảo bộ định tuyến MikroTik của bạn luôn được cập nhật với RouterOS và chương trình cơ sở mới nhất, vì các bản cập nhật thường bao gồm các bản vá bảo mật.

7. Vô hiệu hóa quyền truy cập SSH và Telnet từ WAN

• Nếu bạn không cần quản lý bộ định tuyến từ xa, bạn nên tắt quyền truy cập SSH và Telnet từ giao diện WAN. Điều này có thể được thực hiện dễ dàng thông qua các quy tắc tường lửa.

8. Sử dụng Khóa SSH thay vì Mật khẩu

• Để truy cập SSH, hãy chọn xác thực dựa trên khóa thay vì mật khẩu. Xác thực dựa trên khóa an toàn hơn vì nó yêu cầu kẻ tấn công phải có quyền truy cập vào khóa riêng.

9. Giám sát các nỗ lực truy cập

• Định cấu hình bộ định tuyến MikroTik của bạn để ghi nhật ký và cảnh báo về các lần truy cập không thành công. Điều này có thể giúp bạn phát hiện các nỗ lực tấn công và thực hiện các biện pháp chủ động.

10. Cấu hình tường lửa đúng cách

• Đảm bảo tường lửa của bạn được cấu hình đúng cách để chặn các gói không mong muốn và hạn chế số lần thử kết nối không thành công, chẳng hạn như sử dụng tính năng Tốc độ kết nối.

Việc triển khai các biện pháp bảo mật này có thể giúp bảo vệ đáng kể bộ định tuyến MikroTik của bạn khỏi các cuộc tấn công từ bên ngoài thông qua SSH và Telnet, do đó đảm bảo tính toàn vẹn và quyền riêng tư cho mạng của bạn.