Yazılar

Mikrotik Hız Sınırlama

Mikrotik DHCP ile Hız Sınırlama

Ne ile alakalı yazsam diye düşünürken aklıma sürekli uyguladığım DHCP ile hız sınırlamanın nasıl yapıldığını yazmak geldi. Zaten Mikrotikle ilgili son yazının üstünden bayağı zaman geçmiş. Hız sorunu yaşadığınız yerlerde rahatlıkla kullanabileceğiniz bir uygulama olduğunu düşünüyorum. 24 Mbit hızı olan bir bağlantıda birinin bilgisayarı aşırı bant genişliğini kullanırsa geriye kalanlar için internet çok işkenceli bir duruma gelecektir.

Bu gibi durumlarda ortamda bulunan Modem, Firewall, Router, Switch, AP vs. üzerinden QOS diye adlandırılan bir servisi varsa gerekli ayarlamalar yapılır. Bu sayede internet kişi başına limitlenir. QOS Türkçe’ye Servis Kalitesi olarak geçer. QOS ile tanımlanan protokoller, uygulamalar, teknoloji, mimari, VOIP gibi kriterler sayesinde bant genişliği ayarlanır. İstediğinilen kritere gerekli hız tanımlamaları yapılabilir. Mesela VOIP trafiğine 5 Mbit, Web Trafiğine 2 Mbit, Torrent Trafiğine 3 Mbit.. gibi değerler atanabilir.

Mikrotik tarafında QOS çok kapsamlı bir konudur. Mikrotik tarafında Hız sınırlamak için farklı yollar tabiki de mevcut. Ama bu yazının konusu Mikrotik üzerinde bulunan DHCP Server ile entegre çalışabilen bir kısıtlama yapabilmektir. İstemci IP talebinde bulunduğunda DHCP server IP verirken yanında hız ile ilgili bir kural eklemektedir. DHCP lease time süresi dolduğunda ya da lease listesinden silindiğinde otomatik olarak hız kısıtlaması silmektedir.

Fakat burada bir konuda dikkatinizi çekmek isterim. Eğer kullanıcı istemcisine elle IP adresi verirse ilgili istemci Hız sınırlamasına tabi tutulmaz. Bu durumla karşılaşmamak için tüm networkü ilgilendiren bir hız kuralı yazmalısınız. (Başka bir yazıda PCQ konusunu yazacağım.)

Eğer herkes DHCP den IP alıyorsa elle verilmesinin önüne geçiliyorsa bu yöntem ile kişi bazlı Hız sabitleme yapılabilir ve Queues Listesinden takip edilebilir.

Bu işlemi yapmak için öncelikle Script Koda ihtiyacımız olacaktır.

Bu örnekte Download değerini 2M, upload Değerini 256kbit ile sınırlandırdık. (limit-at=256k/2M max-limit=256k/2M

Eğer Değiştirmek isterseniz “limit-at=256k/2M max-limit=256k/2M” kısmında bulunan değerleri değiştirebilirsiniz. Her iki değeride değiştirin. “limit-at=Upload/Download max-limit=Upload/Download“. k=Kilobit, M=Megabit.

Winbox ile bağlandığınızda System>Script menüsüne gelin. “+” ile yeni kural ekleyin ve kodu yapıştırın. isimini verin. (Boşluk ve Türkçe Karakter içermesin.)

Mikrotik Hız Sınırlama

Şimdi IP>DHCP Server menüsüne gelin. Listedeki ilgili DHCP Server üstüne çift tıklayın. Açılan pencerede “Lease Script” bölümüne Script Listesinde girdiğiniz ismi girin.  “OK” deyip Kayıt Edin.

Mikrotik Hız Sınırlama

Artık IP alan istemciler için Queues Listesine yeni kural ekleyecektir. Deneme yaptığımda aşağıdaki gibi çalıştığını gördüm. “Comment” olarak istemcinin “Hostname” kısmını alıp yazmaktadır.

Mikrotik Hız Sınırlama

Mikrotik DHCP ile Hız Sınırlama

  bandwidth, Dhcp, dhcp qos, hız, lease, mikrotik, pars, qos, script, tda, tdag,

Mikrotik Hangi durumlarda Hacklenebilir

Mikrotik Hangi durumlarda Hacklenebilir

Mikrotik Hangi durumlarda Hacklenebilir

Son zamanlarda karşıma gelmeye başladı. Sahada çalışan ve gerekli güncelleme yapılmayan cihazlar hackleniyor. Hackleyen kişiler ne amaçla kullanıyor bilmiyoruz ama cihazı ele geçirince istediği amaca hizmet ettirebilirler. Başınız ağrıyabilir.

Bu yazıda Hacklendiniz mi ? Hacklendi iseniz ne yapmalıyız ? sorularına cevap aramayı hedefliyorum.

Sistemizin omurgasını oluşturan Mikrotik cihazlarınızda maalesef bazı güvenlik açıkları var. Bunları kullanmayı bilen kişiler rastgele IP leri taratıp buluyorlar. Hedefte siz yoksunuz. Sizin güvenlik açığı bulunan cihazınız var. Bu yüzden kim nasıl eklemiş gibi soruları kenara bırakıp nasıl önlemler almamız gerektiğine bakalım.

Hangi durumlarda Hacklenebilir ?

Bu sorunun cevabını aşağıdaki gibi maddeler halinde vermek istiyorum. Yanlız vereceklerim bizlerden kaynaklanan güvenlik açıklarıdır. Eğer versiyonun bilinmeyen güvenlik açığı varsa listemizin dışındadır.

  • Kullandığınız cihazın versiyonu 6.40.8 (Bugfix Only) öncesi ise hackelebilirsiniz.
  • Kullandığınız winbox programının versiyonu v3.17 öncesi ise hacklenebilirsiniz.
  • Cihazlarınızın servis portlarının tamamı açıksa hacklenebilirsiniz. (/ip services)
  • Sürekli bağlantı kurduğunuz bilgisayarda virüs olabilir.(Keylocker vs)
  • Kullanıcı adını ve şifresini çok çok basit vermiş olabilirsiniz. (admin – 1234 gibi)
  • Hacklendiğimizi nasıl anlarız ?

    İlk olarak hacklendiğinizde cihaza erişiminiz kesilebilir. Hackleyen kişi kullanıcı adı ve şifrenizi değiştirebilir. Eğer böyle bir durumla karşılaşırsanız cihazı komple resetleyip tekrar yapılandırmanız gerekir. Eğer cihaza erişiminiz varsa aşağıdaki maddeleri kontrol edip hacklendiğinizi anlayabilirsiniz. Bu maddelerin hepsini görebileceğiniz gibi bazılarını görmemeniz mümkündür. İnternet bağlantınız da kayda değer yavaşlama varsa ve arada iletişim kopukları yaşıyorsanız şüphelenmeye başlayabilirsiniz.

  • Cihaza giriş yaptığınızda “identity” bilgisini değiştirip “Hacked” veya benzeri bir ifade yazıyorlar.
  • Mevcut kullanıcılara yeni kullanıcı ekliyorlar. (System/Users) Eğer listede bildiklerinizden farklı bir kullanıcı ismi görürseniz hackleyen kişi kullanıcı açmış demektir.
  • Cihazın “interface” kısmında PPP bağlantısı kurmuş olabiliyorlar. Bir şekilde VPN yapıp üstünüzden data çıkartabiliyorlar.
  • Script kod ekleyip bazı işleri otomatik hale getirebiliyorlar. Eğer siz Script kod yazmadı iseniz kontrol edin. Aynı şekilde Scheduler kısmınıda kontrol edin. buradan Script kodu istediği zaman diliminde tetikleyebiliyorlar. (System-Scripts ve System-Scheduler)
  • DNS’lerinizi değiştiriyorlar. Sizin verdiklerinizi silip farklı DNS adresleri tanımlıyorlar. (IP->DNS) İlave olarak DNS kısmında Static DNS adresleri tanımlıyorlar. DNS trafiğini kendilerine yönlendiriyorlar. (IP->DNS->STATIC)
  • Socks bağlantısı kuruyorlar(IP-Socks) Eğer siz tarafından ayar yapılmadı ise bu özellik devredışıdır.
  • Files kısmına ne olduğu belli olmayan dosyalar atıyorlar. Ne olduklarını bilmiyorum ama bunlar çalıştırılabilir dosyalar olabilirler.
  • Filter Rules ve NAT kısımlarına kendileri için gerekli kuralları yazıyorlar.
  • Cihazınıza VPN Server kurup başka cihazları bağlayabiliyorlar.(PPP kısmından incelenebilir)

Hacklenmişim ne yapmalıyım ?

Kontrol ettiniz ve hacklendiğinize dair kanıtlar buldu iseniz Network yapısına göre farklı işlemler yapabilirsiniz.

  • Eğer cihazı komple resetleyip yapılandırma durumunuz varsa mutlaka yapın.
  • Eğer çok fazla zarar yoksa problemli yerleri düzeltebilirsiniz. Ama kapılar açık olduğu için dikkatli olmalısınız.
  • Destek aldığınız firma/personel/danışman varsa mutlaka konuyu kendilerine iletin. Gerekli tedbirleri almalarını sağlayın.
  • Eğer sorun çok büyük ise ilk işiniz internet bağlantınızı kesin. Eski bir yedeğiniz varsa geri yükleyin. Cihazın versiyonu güncelleyin.(minimum 6.40.8 Bugfix Only)

Hacklenmemek için hangi tedbirleri almalıyım ?

Hacklendiniz ve farkına varıp gerekli ayarları yaptığınızı varsayıyorum. Ya da henüz hacklenmediniz ve önlem almak istiyorsunuz. Her iki durumda da aşağıdaki maddeleri uygulamaktan çekinmeyin.

  • Cihazda bulunan yabancı kullanıcıları silin. Mevcutlarında şifrelerini değiştirin. Fakat şifre verirken Karışık vermeye özen gösterin. Şifreyi oluştururken Büyük Harf, Küçük Harf, Rakam ve Noktalama kullanın.
  • Cihazın versiyonunu Minimum 6.40.8 “Bugfix Only” olarak güncelleyin. Eğer “Bugfix only” olarak yüksek versiyon varsa onu kurun.
  • IP-Services kısmıdan kullanmadığınız tüm portları kapatın. Sadece Winbox kalsın. Mümkünse onunda portunu değiştirin. Saldırılar genelde default portlara gelir. Kullandıklarınız portları da mümkünse standartta bırakmayın. Değiştirin.
  • DNS adreslerinizi özel bir amacınız yoksa güvenli DNS tanımlayın.(Yandex Aile vs..)
  • Yabancı gördüğünüz tüm Script, Scheduler komple temizleyin.
  • Dışarıdan çok fazla DNS ve benzeri port saldırısı gelir. Bunu engellemek için aşağıdaki kodu kendi sisteminize uyarlayın. DSL interface ismi ne ise “in-interface” kısmına onu yazın.
  • Bağlantı kurduğunuz bilgisayardaki winbox 3.17 sürüme yükseltin. Yoksa etkili entüvirüs kullanın. (Kaspersky Free ücretsiz bir alternatif olabilir.)
  • Connectionlarınızın stabil çalışması içinde aşağıdaki kodu ekleyin. Filter Rules kısmında en altta yer alsın.
  • Cihazı kurup kendi haline bırakmayın. Güncellemeleri takip edin. Özellikle “Bugfix only” olanları yükleyin.
  • Düzenli yedek alın. Olurda cihaz komple uçarsa elinizde yedeğiniz bulunsun. Aldığınız yedeği mutlaka cihaz üzerinde bırakmayın dışarıya çıkartın.

Bu konuda profesyonel destek almak isterseniz Safir teknoloji ile iletişime geçebilirsiniz.

bugfix only, hack, hacking, long term, mikrotik, mikrotik hack, pars, routerboard, routerOS, tdag, tekirdağ, trakya, winbox

mikrotikturkiye, wi.com, mikronbilgisayar, mikrotikdestek, merpazar,