دانلود کتاب آموزشی MTCSE (MikroTik Certified Security Engineer) جلد دوم

بخش 6. امنیت کاربران و مدیریت دسترسی

فصل 1. تعریف سیاست‌های دسترسی کاربران

• اصول طراحی سطح دسترسی کاربران (User Roles)

• تفکیک کاربران داخلی، مهمان و مدیریتی

• تعیین دسترسی‌های حداقلی (Least Privilege)

فصل 2. استفاده از حساب‌های کاربری در MikroTik

• تعریف کاربران با سطح دسترسی متفاوت

• گروه‌های دسترسی (full, read, write)

• جلوگیری از استفاده همزمان از یک کاربر (Session Limit)

• غیرفعال‌سازی کاربر بعد از زمان مشخص

فصل 3. احراز هویت مرکزی با استفاده از RADIUS

• معرفی پروتکل RADIUS و مزایای آن

• پیکربندی RADIUS در MikroTik (اتصال به سرور خارجی مانند FreeRADIUS)

• محدودسازی سرویس‌هایی که از RADIUS استفاده می‌کنند

• ارسال accounting به سرور RADIUS برای لاگ فعالیت کاربران

فصل 4. پیاده‌سازی HotSpot برای کنترل دسترسی کاربران

• معرفی و معماری HotSpot در MikroTik

• اجرای مراحل پیکربندی HotSpot (به‌صورت گرافیکی و CLI)

• استفاده از صفحه لاگین سفارشی (Custom Login Page)

• کنترل session کاربران و اعمال محدودیت MAC/IP/User

فصل 5. استفاده از User Profiles برای مدیریت کاربران

• تعریف پروفایل‌های کاربری با سرعت و زمان محدود

• محدود کردن حجم دانلود/آپلود، سرعت و زمان اتصال

• اتصال پروفایل‌ها به کاربران به‌صورت دستی یا خودکار

• کاربرد پروفایل‌ها در سرویس PPP و HotSpot

فصل 6. تنظیمات امنیتی در ارتباط کاربران

• محدودسازی پورت‌های مدیریتی به IP یا شبکه خاص

• استفاده از رمزنگاری (SSL/HTTPS/SSH) در ارتباط کاربران با MikroTik

• غیرفعال‌سازی سرویس‌های غیرضروری برای کاربران عمومی

فصل 7. کنترل دسترسی کاربران به سرویس‌ها

• ایجاد Address List برای کاربران خاص

• فیلتر کردن ترافیک کاربران در لایه Firewall

• استفاده از Layer 7 Protocols برای فیلتر کردن ترافیک بر اساس محتوای برنامه‌ها (مانند Telegram, YouTube و غیره)

فصل 8. لاگ‌گیری و مانیتورینگ کاربران

• مانیتورینگ کاربران متصل در HotSpot، PPP و Active Users

• ثبت تاریخچه لاگین کاربران

• مشاهده مصرف پهنای باند و Session Time

• ذخیره لاگ‌ها برای بررسی امنیتی (Accounting Logs)

بخش 7. حفاظت از دستگاه‌های MikroTik

فصل 1. محدودسازی دسترسی به رابط‌های مدیریتی

• غیرفعال‌سازی سرویس‌های غیرضروری (Telnet، FTP، API)

• تغییر پورت‌های پیش‌فرض سرویس‌ها (Winbox، SSH، WebFig)

• محدودسازی دسترسی به IP یا Subnet خاص برای مدیریت

فصل 2. استفاده از ارتباطات امن (Encrypted Access)

• فعال‌سازی SSH برای جایگزینی Telnet

• فعال‌سازی HTTPS به‌جای HTTP برای WebFig

• غیرفعال‌سازی سرویس‌های ناامن

فصل 3. تنظیم کاربران و گروه‌های کاربری

• تعریف کاربران با سطح دسترسی مختلف (read، write، full)

• ایجاد گروه‌های سفارشی با سطح دسترسی محدود

• استفاده از احراز هویت محلی یا RADIUS برای ورود کاربران

فصل 4. محافظت در برابر تلاش‌های ورود ناموفق (Brute Force Protection)

• ایجاد Address List برای IPهای مهاجم

• بستن موقت یا دائمی دسترسی کاربران ناموفق

• ثبت و لاگ‌گیری از تلاش‌های ورود مشکوک

فصل 5. مدیریت سطوح دسترسی سرویس‌ها (Service Ports)

• محدودسازی سرویس‌ها بر اساس آدرس IP یا اینترفیس خاص

• بستن کامل سرویس‌هایی که استفاده نمی‌شوند

فصل 6. ایمن‌سازی دسترسی Winbox و WebFig

• تغییر پورت Winbox

• فقط در دسترس بودن Winbox از اینترفیس داخلی (bridge, ether1, VLAN)

• غیرفعال‌سازی WebFig در صورت عدم استفاده

فصل 7. بروزرسانی سیستم عامل (RouterOS و Firmware)

• بررسی نسخه‌های جدید MikroTik RouterOS

• بروزرسانی امن با استفاده از کانال Stable

• بروزرسانی Firmware برای سازگاری سخت‌افزار

فصل 8. تهیه نسخه پشتیبان امن و رمزنگاری‌شده

• گرفتن Backup و Export رمزنگاری‌شده از تنظیمات

• محدودسازی دسترسی به فایل‌های backup

• ذخیره نسخه‌های پشتیبان در مکان امن خارج از دستگاه

فصل 9. بررسی و غیرفعال‌سازی پورت‌های فیزیکی و خدمات اضافی

• غیرفعال کردن پورت‌های بلااستفاده فیزیکی (Ether، SFP)

• بررسی و حذف اسکریپت‌ها، سرویس‌های غیرضروری و NATهای ناخواسته

فصل 10. تنظیم اخطارهای امنیتی (Alerts)

• استفاده از Email Notifications برای لاگ‌های خاص

• مانیتورینگ وضعیت دسترسی‌ها با استفاده از Netwatch یا Scriptها

بخش 8. امنیت در لایه دوم (Layer 2 Security)

فصل 1. مقدمه‌ای بر تهدیدات لایه دوم

• ماهیت حملات لایه ۲

• خطرات موجود در شبکه‌های Switch-based

• تفاوت امنیت لایه دوم و سوم در RouterOS

فصل 2. حملات ARP Spoofing و روش‌های مقابله

• نحوه عملکرد ARP Spoofing

• اثر آن بر ترافیک شبکه و کاربران

• تنظیم Static ARP در MikroTik

• استفاده از فیلترهای ARP در Bridge

فصل 3. جلوگیری از MAC Spoofing

• شناسایی MACهای جعلی

• تعریف لیست MAC مجاز در Bridge

• استفاده از گزینه‌های MAC Access Control و Bridge Filters

فصل 4. استفاده ایمن از Bridge در MikroTik

• فعال‌سازی فایروال بر روی Bridge Interface

• محدودسازی Broadcast و Multicast در Bridge

• جلوگیری از BPDU Flooding

فصل 5. پیاده‌سازی و ایمن‌سازی VLAN

• تفاوت VLAN Tagging و Untagging

• پیکربندی امن VLAN با استفاده از Bridge VLAN Filtering

• جلوگیری از VLAN Hopping

• ایجاد محیط‌های ایزوله‌شده با VLANهای منطقی

فصل 6. جلوگیری از حملات DHCP Snooping

• نحوه عملکرد حملات DHCP Rogue

• روش‌های مقابله با DHCP Spoofing در MikroTik

• محدودسازی دسترسی DHCP Server فقط روی پورت خاص

فصل 7. تنظیم فیلتر ترافیک لایه دوم

• جلوگیری از عبور ترافیک خاص بر اساس MAC Address یا Protocol Type

• مثال عملی برای Drop کردن ترافیک غیرمجاز ARP یا MAC خاص

فصل 8. ایمن‌سازی شبکه وایرلس در لایه دوم

• جلوگیری از Association ناخواسته

• محدود کردن دسترسی به AP با MAC List

• استفاده از Encryption قوی (WPA2/WPA3)

فصل 9. کنترل Broadcast و Multicast در لایه ۲

• کاهش Broadcast Storm

• استفاده از Multicast Helper

• تنظیمات Flood Control در Bridge و VLAN

فصل 10. ابزارها و روش‌های تشخیص حملات لایه دوم

• مانیتورینگ ARP Table

• استفاده از ابزار Torch برای شناسایی رفتار غیرعادی

• گزارش‌گیری از Bridge Monitor و MAC Table

• بررسی تکرار MACها و Dynamic Entryهای مشکوک

بخش 9. روش‌های مقابله با حملات متداول

فصل 1. مقابله با حملات Brute Force روی سرویس‌های مدیریت (Winbox, SSH, Telnet)

• شناسایی تلاش‌های ناموفق ورود با لاگ‌ها

• ساخت Address List برای منابع مشکوک

• مسدودسازی آدرس IPهای مشکوک با Firewall Filter

فصل 2. جلوگیری از حملات Dictionary و Login Scan روی سرویس‌های PPP و HotSpot

• تنظیم محدودیت تلاش‌های ورود

• استفاده از RADIUS با قابلیت Accounting و Lockout

• فعال‌سازی Logging برای PPP Secrets و Login Failures

فصل 3. ایمن‌سازی سرویس‌های مدیریت و APIها

• غیرفعال‌سازی سرویس‌های غیرضروری (Telnet, FTP, API)

• تغییر پورت‌های پیش‌فرض سرویس‌ها (Winbox، SSH)

• محدودسازی دسترسی به سرویس‌ها با Address List و Interface

فصل 4. محافظت در برابر حملات Port Scanning و TCP SYN Flood

• استفاده از Connection Limit و TCP Flags در فایروال

• ایجاد قوانین برای Drop کردن اسکنرهای پرتکرار

• استفاده از Address List برای اسکنرها

فصل 5. مقابله با حملات DoS و DDoS

• تشخیص ترافیک غیرعادی با Connection Tracking

• استفاده از Limit و Connection Rate در فایروال

• شناسایی IPهای مشکوک و افزودن به لیست Drop

فصل 6. جلوگیری از حملات Man-in-the-Middle (MitM)

• استفاده از رمزنگاری کامل در مسیرهای مدیریتی (HTTPS، SSH، VPN)

• جلوگیری از حملات ARP Spoofing با استفاده از Static ARP و Bridge Filters

• ایمن‌سازی DHCP و جلوگیری از DHCP Spoofing

فصل 7. جلوگیری از MAC Flooding در لایه 2

• محدودسازی تعداد MAC در هر پورت با استفاده از Interface Bridge

• تنظیم Bridge Port Horizon برای جلوگیری از Loop و Broadcast Attack

فصل 8. محدودسازی دسترسی به سرویس‌های مهم روتر

• تعریف دقیق Rules برای Input Chain در Firewall

• استفاده از Interface Lists برای تعیین ترافیک مجاز

• استفاده از حالت فقط مدیریت داخلی (local-only access)

فصل 9. استفاده از Tarpit برای مقابله با اسکن‌های خودکار

• استفاده از Action=Tarpit برای به دام انداختن اسکنرها

• جلوگیری از پاسخگویی فعال به IPهای ناشناس

فصل 10. پیاده‌سازی Auto Script برای دفاع پویا (Dynamic Defense)

• اسکریپت‌های خودکار برای بلاک IP پس از X بار تلاش ناموفق

• ترکیب Schedulers با فایروال برای رصد و حذف لیست‌ها

فصل 11. مقابله با حملات DNS Spoofing و Cache Poisoning

• استفاده از DNS Static و محدود کردن دسترسی به DNS Server داخلی

• Forward کردن درخواست DNS فقط به سرورهای معتبر

فصل 12. مقابله با حملات Session Hijacking در شبکه‌های HotSpot و Public

• استفاده از HTTPS Login Page

• فعال‌سازی HTTPS Redirect در HotSpot

• استفاده از Session Timeout و Keepalive Timeout

بخش 10. مانیتورینگ و ثبت گزارشات امنیتی

فصل 1. مفاهیم پایه Logging در MikroTik

• معرفی انواع لاگ‌ها (System، Firewall، Interface، Login، VPN، Script)

• ساختار پیام‌های لاگ و درک Priority/Topics

• مکان‌های ذخیره‌سازی: حافظه، فایل، سرور ریموت

فصل 2. فعال‌سازی Logging برای اجزای مختلف

• لاگ‌گیری از فایروال (Firewall Log Rules)

• لاگ‌گیری از حملات Login و Brute-force

• لاگ‌گیری از دسترسی‌های VPN، Hotspot و SSH

• ثبت تغییرات در تنظیمات سیستم و کاربران

فصل 3. پیکربندی مقصد لاگ‌ها (Logging Actions)

• تعریف خروجی‌ها:

  • حافظه RAM (memory)

  • فایل (file)

  • ترمینال (echo)

  • سرور ریموت Syslog (remote)

• تنظیمات فایل لاگ

فصل 4. ارسال لاگ به Syslog سرور خارجی

• پیکربندی ارسال لاگ به سرور امنیتی مرکزی مثل Graylog یا ELK

فصل 5. مدیریت سطح دسترسی به لاگ‌ها

• محدود کردن مشاهده لاگ‌ها به کاربران خاص

• تعریف گروه‌های کاربری فقط برای مانیتورینگ

فصل 6. تحلیل لاگ‌ها برای شناسایی تهدیدات

• بررسی لاگ‌های SSH برای شناسایی حملات Brute-force

• تشخیص دسترسی‌های غیرمجاز

• بررسی پیغام‌های مربوط به Drop شدن بسته‌ها در فایروال

• تحلیل وقایع مربوط به VPN Failures

فصل 7. لاگ‌گیری رویدادهای Hotspot و RADIUS

• بررسی Login کاربران Hotspot

• ثبت تلاش‌های ناموفق احراز هویت RADIUS

• گزارش‌گیری از Sessionها

فصل 8. لاگ‌گیری از Scriptها و Scheduler

• ثبت اجرای خودکار اسکریپت‌ها

• شناسایی اجرای کدهای مشکوک یا اسکریپت‌های تغییر تنظیمات

فصل 9. تهیه پشتیبان از فایل‌های لاگ

• ذخیره لاگ‌ها در فایل و انتقال دوره‌ای به سرور دیگر

• استفاده از اسکریپت برای ارسال لاگ‌ها به FTP یا Email

فصل 10. یکپارچه‌سازی مانیتورینگ با ابزارهای خارجی

• اتصال MikroTik به Zabbix، PRTG یا Dude برای مانیتورینگ

• بررسی ارتباط رویدادهای امنیتی با SNMP Traps و Alertها

فصل 11. بهینه‌سازی Logging برای جلوگیری از مصرف بالا

• تعیین سطح Logging مناسب (info, warning, error)

• حذف خودکار لاگ‌های قدیمی از فایل

• محدود کردن لاگ‌گیری به فقط ترافیک یا وقایع حیاتی

فصل 12. گزارش‌گیری امنیتی و مستندسازی

• جمع‌آوری گزارش‌های هفتگی از فعالیت‌ها

• تهیه گزارش عملکرد سیستم، قوانین فایروال و تغییرات

• مستندسازی و تحلیل رخدادهای امنیتی برای بازرسی داخلی

پیش‌نیازها

• آشنایی با مفاهیم شبکه (ترجیحاً MTCNA)
• تجربه کار با RouterOS

مخاطبان دوره

• مدیران شبکه و امنیت
• کارشناسان IT
• متخصصانی که مسئولیت محافظت از شبکه‌های سازمانی را بر عهده دارند

این دوره به شرکت‌کنندگان کمک می‌کند تا دانش و مهارت‌های لازم برای پیکربندی و مدیریت امن شبکه‌های مبتنی بر MikroTik را کسب کرده و از تهدیدات امنیتی جلوگیری کنند.