Правильная настройка безопасности роутера

Правильная настройка безопасности роутера Хостинг
Содержание
  1. Записки IT специалиста
  2. И сразу к практике
  3. Закрываем порты на микротик
  4. Базовая настройка и проброс портов
  5. Как на микротике отключить файрвол
  6. MikroTik настройка firewall. Защита от брутфорса
  7. MikroTik настройка firewall. Базовая защита роутера
  8. Настройка WAN-интерфейса
  9. Connection Tracker
  10. Настройка безопасности цепочки INPUT
  11. Настройка безопасности цепочки FORWARD
  12. MikroTik настройка firewall. Как защитить роутер от DDoS-атаки
  13. Защита MikroTik от DDoS-атак с помощью Connection Limit
  14. Защита MikroTik от DDoS-атаки с помощью Destination Limit
  15. Схема прохождения трафика MikroTik
  16. Настройка безопасности MikroTik. Защита от сканирования портов
  17. Firewall и базовая настройка безопасности
  18. Базовая настройка брандмауэра в Mikrotik
  19. Общие принципы построения брандмауэра
  20. Конфигурация брандмауэра по умолчанию
  21. Собственная конфигурация брандмауэра
  22. Дополнительные материалы:
  23. Mikrotik
  24. The Dude
  25. Закрываем порты на Mikrotik
  26. Закрываем 53 порт для доступа из вне
  27. Отключаем стандартные порты
  28. Закрываем любой порт
  29. MikroTik настройка firewall. Connection Tracker
  30. Connection State. Состояние соединений
  31. Connection List
  32. Защита L1
  33. Проброс портов
  34. MikroTik настройка firewall. Защита от брутфорса
  35. Защита от атак перебором
  36. MikroTik настройка firewall. Как защитить роутер от DDoS-атаки
  37. Защита MikroTik от DDoS-атак с помощью Connection Limit
  38. Защита MikroTik от DDoS-атаки с помощью Destination Limit

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

  • Главная
  • Базовая настройка брандмауэра в Mikrotik

И сразу к практике

Открываем консольный интерфейс и посмотрим на существующие правила:

[admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic

Пока что правил нет, отображается только «‎легенда»‎ про флаги. Переходим в раздел настройки фильтров:

[admin@MikroTik] > ip firewall filter
[admin@MikroTik] /ip firewall filter>

Полезный чит-код: узнать все варианты команд в любом разделе можно, нажав клавишу со знаком вопроса «?«

Теперь создадим несколько правил и расскажем для чего они нужны:

add action=accept chain=input comment="default configuration" connection-state=established,related

Эту команду можно читать прямо дословно. Разберем прямо по пунктам:

  1. add action=accept — принимать пакеты.
  2. chain=input — правило будет работать в цепочке входящего трафика.
  3. comment=»default configuration» — это просто комментарий-напоминалка, в нашем случае указываем, что это конфигурация по умолчанию, но можно вообще этот параметр не указывать.
  4. connection-state=established,related — указываем какие статусы соединения будем принимать.

Таким образом эта длинная команда всего лишь превращается во вполне логичную фразу «‎Принимать извне все пакеты со статусом соединения Established и Related»‎. Это правило позволяет четко указать маршрутизатору что если из внешней сети прилетают соединения с указанными статусами, то их следует принять.

Теперь переходим к следующему правилу, рекомендуемому Mikrotik:

add action=accept chain=input src-address-list=allowed_to_router

Еще небольшое пояснение. Из-за того, что правила в цепочке обрабатываются одно за другим, то вначале следует прописывать разрешающие правила, а только после этого запрещающие.

add action=accept chain=input protocol=icmp

Тут все просто — эта команда разрешает принимать извне и обрабатывать ICMP-пакеты. И завершающая команда:

add action=drop chain=input

Этим в финале цепочки INPUT мы будем отбрасывать (дропать) все оставшиеся пакеты, не подпадающие под правила выше. Посмотрим как у нас сформировались правила:

[admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic 0 ;;; default configuration chain=input action=accept connection-state=established,related 1 chain=input action=accept src-address-list=allowed_to_router 2 chain=input action=accept protocol=icmp 3 chain=input action=drop

Рассмотрим как же это работает. Представим, что мы пингуем маршрутизатор извне. Это выглядит примерно так:

  1. Прилетел снаружи ICMP-пакет. Машрутизатор смотрит в правило номер 0 — есть ли уже установившееся соединение. Если нас пингуют впервые, то статус соединение будет New, а не Established или Related. Так что правило не срабатывает.
  2. Смотрим дальше — есть ли IP-адрес с которого пришел пакет в списке allowed_to_router. Поскольку мы этот список еще не формировали, то его еще не существует и, следовательно, правило также не срабатывает.
  3. Наконец доходим до правила 2, которое однозначно говорит маршрутизатору, что следует принять (Accept) и обработать по протоколу ICMP данный пакет. Маршрутизатор отвечает на ICMP-пакет соответствующим эхо-ответом. До четвертого правила пакет уже не добирается, т.к. процедура обработки фактически завершена.

Рассмотрим еще один случай. На этот раз к нам на маршрутизатор извне прилетел некий неизвестный UDP-пакет с данными. Как будет действовать маршрутизатор:

  1. Смотрим правило 0. Существующего Established или Related соединения у нас нет, поэтому правило не срабатывает.
  2. Правило 1 — смотрим в список разрешенных адресов allowed_to_router, но там пусто. Еще одно правило не сработало.
  3. Дошли до правила 2 — является ли пришедший пакет ICMP-пакетом. Нет, не является, так что правило не срабатывает.
  4. И вот мы дошли до конца цепочки INPUT, где нас поджидает «‎правило-вышибала”. Поскольку у правила chain=input action=drop нет условий для срабатывания, то оно по умолчанию срабатывает всегда и наш неизвестный UDP-пакет дропается и перестает существовать.

Надеемся, что столь подробный разбор логики немного прояснил как именно работает файервол в Mikrotik RouterOS, поэтому приступим к дальнейшей настройке. Сформируем список разрешенных адресов. Для этого вернемся в главное меню, нажав символ / и подтвердив нажатием клавиши Enter. Теперь перейдем в раздел консольного интерфейса Mikrotik – ip firewall и посмотрим какие адресные списки у нас существуют:

[admin@MikroTik] > ip firewall address-list
[admin@MikroTik] /ip firewall address-list> print
Flags: X - disabled, D - dynamic # LIST ADDRESS CREATION-TIME TIMEOUT

Как видим, список пока пустой. Добавим туда адреса из стандартной локальной подсети 192.168.88.0/24 за исключением 192.168.88.1 (адрес маршрутизатора). Эта подсеть обычно используется по умолчанию на устройствах Mikrotik и именно ее чаще всего используют для раздачи адресов в локальной сети. Выполним добавление:

add address=192.168.88.2-192.168.88.254 list=allowed_to_router

Команда максимально проста для понимания мы говорим, что нам нужно добавить адреса 192.168.88.2-192.168.88.254 в список с именем allowed_to_router. Подразумевается то, что если списка с таким именем не существует, то при выполнении команды он будет создан. Проверим:

[admin@MikroTik] /ip firewall address-list> print Flags: X - disabled, D - dynamic # LIST ADDRESS CREATION-TIME TIMEOUT 0 allowed_to_router 192.168.88.2-192.168.88.254 feb/05/2021 13:01:55

Закрываем порты на микротик

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов рунета Pyatilistnik.org. В прошлый раз мы с вами произвели базовую настройку роутера Mikrotik, тем самым наладив работу малого офиса. Изучая журналы логов на оборудовании вы можете увидеть события «login failure for user via ssh, telnet, web«, означающие, что на роутер идет атака брутфорса, по подбору пароля по определенным портам. Это означает, что нам нужно защитить наше оборудование от таких попыток, чем мы и займемся ниже, самое приятно, что все это делается буквально за минуту.

Базовая настройка и проброс портов

Решением проблемы является так называемый проброс портов (Port Forwarding). Создавая правило проброса портов мы даем маршрутизатору указания какому устройству перенаправить запрос извне. На логическом уровне подобный запрос может выглядеть как «‎Если на порт XXX придет TCP-запрос, то перенаправь его на локальный адрес 192.168.XXX.XXX на порт YYY»‎. Давайте посмотрим 2 способа как нам настроить NAT на Mikrotik.

ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

где ether1 — интерфейс, смотрящий в интернет. Также можно задать не один выходной интерфейс, а сразу несколько, заранее сформировав список out-interface-list.

Теперь еще один вариант организации NAT. Рассмотрим пример:

ip firewall nat add chain=srcnat out-interface=ether1 action=src-nat to-addresses=XXX.XXX.XXX.XXX

Теперь переходим к пробросу портов. Для примера предположим, что у нас в локальной сети 192.168.88.0/24 есть небольшой сервер по адресу 192.168.88.10 с поднятым SSH. Нам нужно подключаться к серверу удаленно, используя номер порта 1122. Для этого выполним проброс портов, созданием правила:

ip firewall nat add chain=dstnat in-interface=ether1 protocol=tcp dst-port=1122 action=dst-nat to-addresses=192.168.88.10 to-ports=22

Почему мы взяли такой странный номер порта 1122? Все просто — чтобы затруднить злоумышленникам нахождение номера порта и последующего перебора реквизитов. Таким образом, мы создали правило, однозначно позволяющее маршрутизатору понять, что все TCP-пакеты, пришедшие на порт 1122 следует переадресовывать на локальный адрес 192.168.88.10 на порт 22.

Как на микротике отключить файрвол

Для того, чтобы полностью отключить Firewall на микротике, достаточно просто отключить или удалить все правила в списке. По-умолчанию, в mikrotik используются разрешающие правила. Все, что не запрещено — разрешено. То есть если у вас нет ни одного активного правила, можно считать, что файрвол отключен, так как он пропускает все соединения без ограничений.

Вот пример отключенного фаервола на микротике 🙂

 mikrotik-firewall-25-9765313

Итоговый список правил, настроенный по этой статье, получился вот такой:

/ip firewall address-list
add address=77.88.0.81 list=rdp_access
add address=77.88.8.8 list=rdp_access
add address=8.8.8.8 list=rdp_access
add address=1.1.1.1 list=winbox_remote
add address=2.2.2.2 list=winbox_remote
/ip firewall filter
add action=accept chain=input comment="local accept" in-interface=bridge
add action=accept chain=input comment="established and related accept" connection-state=established,related
add action=accept chain=input comment=winbox_accept dst-port=8291 in-interface=ether1 protocol=tcp src-address-list=winbox_remote
add action=drop chain=input comment="all input block" in-interface=ether1
add action=fasttrack-connection chain=forward comment=fasttrack connection-state=established,related
add action=accept chain=forward comment="established and related accept" connection-state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop WAN -> LAN" in-interface=ether1 out-interface=bridge
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat dst-port=41221 in-interface=ether1 protocol=tcp src-address-list=rdp_access to-addresses=192.168.88.10 to-ports=3389

MikroTik настройка firewall. Защита от брутфорса

Рассмотрим, как защитить MikroTik от перебора паролей (брутфорс). Покажем это на примере попыток перебора паролей для входа на MikroTik через Winbox.

Аналогичным образом можно защищать сервисы, к которым можно получить доступ брутфорс-атакой.

Но также хочется отметить, что в настоящее время, на практике данные способы защиты показывают себя малоэффективно, альтернативным способом защиты от Brute-force атак можно ознакомиться в статье настройка Port Knocking MikroTik.

Повысим безопасность роутера MikroTik, добавив условие в конфигурацию firewall:

  • Если хост, в течении минуты пробует подключиться с неправильным паролем 4 раза, тогда IP попадает в черный список и блокируется:

Правильная настройка безопасности роутера

Направим все новые подключения адресованные на порт 8291 с внешнего интерфейса в пользовательский набор правил (anti-BruteForce):

Правильная настройка безопасности роутера

Дальше создадим пользовательский набор правил, который будет проверять поведение хостов на предмет перебора паролей и блокировать такие попытки.

Правильная настройка безопасности роутера
Правильная настройка безопасности роутера

Откроем меню “Action”:

Правильная настройка безопасности роутера

Следующим шагом добавляем хост, подходящий под условие в черный список:

Правильная настройка безопасности роутера
Правильная настройка безопасности роутера

Блокируем все соединения из черного списка «BAN-BruteForce» в RAW Filter:

Правильная настройка безопасности роутера

Далее вкладка “Advanced”:

Правильная настройка безопасности роутера

Создадим запрещающее правило:

Правильная настройка безопасности роутера

Расположим ранее созданные правила firewall следующим образом:

Правильная настройка безопасности роутера

С защитой от перебора паролей для RDP-подключений дела обстоят сложнее и требует более детального и гибкого подхода. Например, аналогичное правило при разрыве подключения и попытках восстановления, заблокирует пользователя.

Как защитить RDP соединение от брутфорс-атак мы поговорим в отдельной статье.

На этом настройка защиты Mikrotik от перебора паролей закончена.

MikroTik настройка firewall. Базовая защита роутера

Приступим к настройке firewall на MikroTik. Как говорилось ранее мы будем настраивать нормально закрытый тип брандмауэра.

Во время настройки безопасности маршрутизатора будем придерживаться следующих принципов:

  • Располагать друг за другом правила одной цепочки;
  • Минимизировать количество условий, через которые должен пройти пакет;
  • Не забывать подписывать комментарии.

Настройка WAN-интерфейса

Чтобы избежать ошибок и получить универсальный конфиг, давайте создадим новый interface list и добавим туда WAN интерфейс:

  • Interfaces => Interface List => Lists;
  • “+”
  • Name: ISP;

Правильная настройка безопасности роутера

Создали новый interface List с именем “ISP”, добавим в него WAN-интерфейс:

Правильная настройка безопасности роутера

В нашем примере WAN настроен на порту ether1, если у вас интернет настроен на другом порту или PPPoE-подключение, то подставьте свое значение.

Connection Tracker

Следующим шагом изменим время жизни для установленных подключений, по умолчанию у MikroTik данный параметр равен одному дню. Откроем:

  • IP => Firewall => Connections => Tracking.

Правильная настройка безопасности роутера

Установим параметру TCP Established Timeout значение равное 2-м часам:

Правильная настройка безопасности роутера

Настройка безопасности цепочки INPUT

Откроем вкладку Filter Rules и настроим firewall для входящего трафика на роутер MikroTik (chain: input).

Первым создадим условие, разрешающее established, related и untracked-трафик:

Правильная настройка безопасности роутера

Переходим на меню «Action»:

Правильная настройка безопасности роутера

Следующее условие будет запрещающее, чтобы заблокировать неидентифицированный трафик (invalid):

Правильная настройка безопасности роутера
Правильная настройка безопасности роутера

Правильная настройка безопасности роутера
Правильная настройка безопасности роутера

Открыв порт 8291 мы разрешим к Mikrotik удаленный доступ по Winbox, для оперативной настройки роутера:

Правильная настройка безопасности роутера
Правильная настройка безопасности роутера

Следующим шагом разрешим DNS-запросы со всех интерфейсов, кроме “ISP”:

Правильная настройка безопасности роутера

Обратите внимание, что перед ISP стоит “!”. Это очень важно!

Правильная настройка безопасности роутера

Если вы разрешим запросы извне на 53 порт, то любой внешний хост сможет оправлять запросы нашему DNS-Серверу, тем самым сильно увеличивая нагрузку на роутер и использовать его для проведения атак. Подробнее об этом можно узнать из статьи: MikroTik настройка DNS Server.

Читайте также:  Шаг за шагом: установка голосового чата для беспрепятственного общения

Текущая настройка закрывает 53 порт для внешних интерфейсов.

Последним правилом для цепочки Input, мы заблокируем остальной трафик:

Правильная настройка безопасности роутера
Правильная настройка безопасности роутера

Переходим к настройке цепочки forward.

Настройка безопасности цепочки FORWARD

Напомним, что цепочка forward участвует в обработке пакетов, проходящие через маршрутизатор.

Первым условием разрешим established, related и untracked-соединения:

Правильная настройка безопасности роутера
Правильная настройка безопасности роутера

Заблокируем неидентифицированный трафик (invalid):

Правильная настройка безопасности роутера
Правильная настройка безопасности роутера

Запрещаем все извне, кроме DSTNAT:

Правильная настройка безопасности роутера
Правильная настройка безопасности роутера

На этом базовая настройка firewall MikroTik завершена. Окончательный вариант конфигурации и расположения правил firewall должен быть следующий:

Правильная настройка безопасности роутера

Для доступа компьютеров из локальной сети в интернет необходимо настроить NAT. Как это сделать — подробно написано в статье MikroTik проброс портов и настройка NAT для доступа в интернет.

MikroTik настройка firewall. Как защитить роутер от DDoS-атаки

DoS или DDoS-атака если говорить простыми словами представляет из себя множественную отправку запросов на атакуемый хост, что выводит систему из строя или значительно затрудняет доступ к ней.

Защитить MikroTik от DDoS атак можно с помощью двух методов:

  • Connection Limit;
  • Destination Limit.

Рассмотрим эти способы подробнее.

Защита MikroTik от DDoS-атак с помощью Connection Limit

Обработка большого количества соединений с помощью Connection Limit вызывает большую нагрузку на процессор.

Рекомендуется использовать вместе с connection-state=new или с tcp-flags=syn.

MikroTik настройка Firewall: Правильная настройка безопасности роутера

Откроем пункт меню «Advanced»:

MikroTik настройка Firewall: Правильная настройка безопасности роутера
MikroTik настройка Firewall: Правильная настройка безопасности роутера

Добавляем в черный список:

MikroTik настройка Firewall: Правильная настройка безопасности роутера

Создадим запрещающее правило для адресов из черного списка «BAN_black_list»:

MikroTik настройка Firewall: Правильная настройка безопасности роутера
MikroTik настройка Firewall: Правильная настройка безопасности роутера
MikroTik настройка Firewall: Правильная настройка безопасности роутера

Расположим правила firewall следующим образом:

Mikrotik настройка безопасности от DoS-атак с помощью Connection Limit

Если у вас внутри локальной сети есть сервис “смотрящий” наружу и подверженный DDoS атаке, то необходимо создать аналогичное правило для цепочки «Forward», как показано на рисунке выше.

На этом настройка защиты MikroTik от DDoS-атаки методом Connection Limit закончена.

Защита MikroTik от DDoS-атаки с помощью Destination Limit

Настроим защиту firewall MikroTik от DDoS атак так, что роутер будет передавать все новые попытки подключения на пользовательскую цепочку, которая проверяет условие:

  • Есть 50 разрешенных соединений и если в течение секунды с адреса открывается еще 50 и более соединений, то IP заносится в черный список после чего блокируется.

Перенаправляем новые попытки подключения в пользовательскую цепочку:

MikroTik настройка Firewall: Правильная настройка безопасности роутера
MikroTik настройка Firewall: Правильная настройка безопасности роутера

Перейдем к конфигурированию пользовательской цепочки:

MikroTik настройка Firewall: Правильная настройка безопасности роутера
MikroTik настройка Firewall: Правильная настройка безопасности роутера
MikroTik настройка Firewall: Правильная настройка безопасности роутера

Добавляем хосты, которые подошли под условия в черный список:

MikroTik настройка Firewall: Правильная настройка безопасности роутера
MikroTik настройка Firewall: Правильная настройка безопасности роутера

Создадим запрещающее правило блокирующее данный лист:

MikroTik настройка Firewall: Правильная настройка безопасности роутера
MikroTik настройка Firewall: Правильная настройка безопасности роутера

Расположим правила firewall так:

Настройка файрвола Mikrotik от DDoS-атак с помощью Destination Limit

Не забывайте, если у вас есть сервис внутри локальной сети, “смотрящий” наружу, то необходимо добавить правило в “Forward”.

На этом настройка firewall MikroTik от DDoS-атак закончена.

Схема прохождения трафика MikroTik

Схема прохождения пакетов нужна для понимания того, как движется трафик внутри маршрутизатора, через какие логические блоки он проходит. Написание сложных конфигураций возможно только при понимании данной схемы.

MikroTik настройка Firewall: Правильная настройка безопасности роутера
Схема прохождения пакетов данных MikroTik
  • INPUT INTERFACE – входная точка. С нее пакеты начинают маршрут. Интерфейс может быть физическим или виртуальным;
  • OUTPUT INTERFACE – выходная точка, где пакеты заканчивают маршрут. Интерфейс может быть физическим или виртуальным;
  • Local Process IN – финальная точка пути пакетов, адресованных маршрутизатору;
  • Local Process OUT – начальная точка пакетов, что сгенерировал маршрутизатор;
  • Routing Decision – решение о маршрутизации.

Трафик должен принадлежать определенной цепочке, которые бывают:

  • Input – трафик, направленный к маршрутизатору;
  • Output – трафик, исходящий из маршрутизатора;
  • Forward – трафик, проходящий через маршрутизатор;
  • Prerouting – трафик уже вошел в порт, но еще не принято решение о маршрутизации;
  • Postrouting – последний этап перед достижением выходного порта.

Описание содержимого цепочек:

  • HOTSPOT-IN и HOTSPOT-OUT относятся к возможностям Hotspot.
  • RAW PREROUTING и RAW OUTPUT – это частный случай файрвола, который служит для снижения нагрузки на ЦП во время DOS-атак.
  • CONNECTION TRACKING – отслеживание соединений.
  • MANGLE PREROUTING, MANGLE INPUT, MANGLE FORWARD, MANGLE OUTPUT и MANGLE POSTROUTING служат для маркировки трафика.
  • DST-NAT и SRC-NAT – служат для настройки NAT.
  • FILTER INPUT, FILTER FORWARD и FILTER OUTPUT – брандмауэр.
  • HTB GLOBAL (QUEUE TREE) и SIMPLE QUEUS служат для манипуляций с трафиком: назначения приоритета, ограничений скоростей и др.
  • BRIDGE DECISION – решение об обработке в мостовом соединении.
  • TTL – это TTL.
  • ACCOUNTING – возможности RADIUS-сервера.
  • ROUTING ADJUSTMENT – донастройка маршрутизации.

Пакеты, направленные маршрутизатору (chain: input):

MikroTik настройка Firewall: Правильная настройка безопасности роутера

Пакеты проходящий через роутер (chain: forward):

MikroTik настройка Firewall: Правильная настройка безопасности роутера

Трафик исходящий от MikroTik (chain: output):

MikroTik настройка Firewall: Правильная настройка безопасности роутера

Настройка безопасности MikroTik. Защита от сканирования портов

Давайте немного модифицируем нашу конфигурацию firewall, что позволит защитить MikroTik от сканирования портов. Сканирование портов – это попытки подключиться на разные порты с целью определения их доступности.

Сканирование портов может осуществляться разными способами, каждый из которых имеет свои особенности. Настроим защиту от большинства известных видов сканирования.

Не буду вдаваться в теорию, а просто покажу готовое решение, которое успешно работает многие годы.

Чтобы не запутаться перед каждым новым условием я буду писать заголовок, который, будет служить комментарием к нему.

Port scanners to list:

Защиту от сканирования портов для MikroTik можно настроить с помощью опции Port Scan Detection (PSD):

Правильная настройка безопасности роутера
Правильная настройка безопасности роутера
Правильная настройка безопасности роутера

NMAP FIN Stealth scan:

Правильная настройка безопасности роутера
Правильная настройка безопасности роутера
Правильная настройка безопасности роутера

Правильная настройка безопасности роутера
Правильная настройка безопасности роутера
Правильная настройка безопасности роутера

Правильная настройка безопасности роутера
Правильная настройка безопасности роутера
Правильная настройка безопасности роутера

Правильная настройка безопасности роутера
Правильная настройка безопасности роутера
Правильная настройка безопасности роутера

Правильная настройка безопасности роутера
Правильная настройка безопасности роутера
Правильная настройка безопасности роутера

NMAP NULL scan:

Правильная настройка безопасности роутера
Правильная настройка безопасности роутера
Правильная настройка безопасности роутера

Правильная настройка безопасности роутера

Меню “Advanced” в пункте Src. Address List из выпадающего меню выберем наш адрес лист (BAN_black_list):

Правильная настройка безопасности роутера

Правильная настройка безопасности роутера

Данное условие firewall необходимо добавить в цепочки “Input” и ”Forward”. Правильное расположение всех правил можно посмотреть на рисунке ниже:

Правильная настройка безопасности роутера

А также рекомендуем изучить статьи:

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Firewall и базовая настройка безопасности

Давайте теперь немного порассуждаем, зачем нужен файрвол и какие вопросы он решает. Причем не только в контексте микротика, а вообще. Сейчас каждый доморощенный админ рассказывает, как важно всегда настраивать firewall, иногда даже не понимая, для чего он нужен. Лично я не сторонник создания лишних сущностей, поэтому там где межсетевой экран не нужен, я его не настраиваю.

Сетевой экран позволяет настраивать доступ как к самому шлюзу, так и к ресурсам за ним. Допустим, у вас не запущено никаких сервисов на роутере, и нет никакого доступа извне в локальную сеть. У вас есть какая-то служба на шлюзе, с помощью которой к нему подключаются и управляют (ssh, winbox, http и т.д.), причем ограничение доступа к этой службе настраивать не планируется. Вопрос — зачем вам в таком случае настраивать фаервол? Что он будет ограничивать и какие правила туда писать? В таком случае вам будет достаточно отключить все сервисы на роутере, которые слушают подключения из вне и все.

На самом деле такой кейс очень популярный дома или в мелких организациях, где нет постоянного админа. Просто настроен какой-то роутер, поднят NAT и все. Я понимаю, что не правильно не настраивать ограничения на доступ к управлению, но я рассказываю, как часто бывает. То есть firewall должен решать конкретную задачу по ограничению доступа к ресурсам, а не существовать просто так, чтобы был.

Еще популярны случаи, когда настроена куча правил, а в конце все равно стоит accept для всех подключений. Такие ляпы я сам иногда делал, когда отлаживал где-то работу сервиса и забывал потом вернуть обратно ограничения. Фаервол вроде настроен, но реально его нет. Если отключить — ничего не изменится.

К чему я все это написал? К тому, что прежде чем настраивать firewall, надо определиться с тем, для чего мы это делаем. Какие разрешения или ограничения и для кого мы будем вводить. После этого можно переходить к настройке.

Я рекомендую первым правилом при любой настройке firewall ставить разрешение на подключение к управлению устройством. Этим вы подстрахуете себя, если где-то дальше ошибетесь и заблокируете доступ к устройству в одном из правил.

В своем примере я буду настраивать межсетевой экран на микротике, находясь в локальной сети. Вам всегда советую поступать так же. Есть старая админская примета — удаленная настройка файрвола к дальнему пути.

Идем в раздел IP -> Firewall. Первая вкладка Filter Rules то, что нам надо. Если делаете настройку firewall с нуля, то там должно быть пусто. Добавляем новое правило.

 mikrotik-firewall-01-7949126

По идее, надо еще заглянуть во вкладку action, но в данном случае не обязательно, так как там по-умолчанию и так выставляется нужное нам значение accept.

Дальше разрешаем уже установленные и связанные входящие соединения. Для этого создаем следующее правило.

 mikrotik-firewall-02-6924983

Теперь сделаем запрещающее правило, которое будет блокировать все входящие соединения через WAN интерфейс. В моем случае ether1.

 mikrotik-firewall-03-5510715

 mikrotik-firewall-04-6416223

Данными правилами мы заблокировали все входящие соединения из интернета и оставили доступ из локальной сети. Далее создадим минимальный набор правил для транзитных соединений из цепочки forward.

Первым правилом в фаерволе микротик для транзитного трафика будет правило с использованием фирменной технологии Fasttrack. Подробно о том, что это такое читайте в официальной wiki по ссылке. Если кратко, то данная технология экономит ресурсы процессора, за счет упрощенной обработки пакетов, к которым не надо применять дополнительных правил фаервола, ставить его в очереди и т.д. Это подойдет для большинства пользователей, у которых микротик это просто шлюз в интернет с небольшим набором простых правил в firewall. При этом транзитный трафик никак дополнительно не обрабатывается и не фильтруется.

Возьмем примеры этих правил из дефолтной конфигурации файрвола. Добавляем 2 новых правил для цепочки forward. В первом action выбираем fasttrack connection, во втором accept для established и related подключений.

 mikrotik-firewall-05-9294866
 mikrotik-firewall-06-6620927
 mikrotik-firewall-07-7419925
 mikrotik-firewall-08-8549579

Дальше по примеру дефолтной конфигурации, запретим и все invalid подключения.

 mikrotik-firewall-09-1727730
 mikrotik-firewall-10-3594459

В завершении запретим все подключения из WAN в LAN.

 mikrotik-firewall-11-2465104
 mikrotik-firewall-12-2340833

Подведем краткий итог того, что получилось. Вот самый простой, минимальный набор правил firewall в mikrotik для базового случая:

 mikrotik-firewall-13-6237283

Запрещены все входящие подключения, в том числе ответы на пинги. Включена технология fasttrack для соединений из локальной сети. При этом из локальной сети разрешены абсолютно все подключения, без ограничений. То есть это пример типовой безопасной конфигурации для микротик в роли обычного шлюза в интернет для небольшого офиса или дома.

Но если firewall оставить как есть в таком виде, то раздачи интернета для локальной сети не будет. Для этого надо настроить NAT. Это сделать не сложно, рассказываю как.

Базовая настройка брандмауэра в Mikrotik

Правильная настройка безопасности роутераМежсетевой экран, он же брандмауэр или файрвол — важнейшая служба вашего роутера, отвечающая как за его безопасность, так и за безопасность всей сети. Мы до сих пор не рассматривали базовую настройку брандмауэра в отрыве от общей настройки роутера, но как показала практика, многие администраторы откровенно плавают в этом вопросе и имеют некорректно или не оптимально настроенные системы. Как минимум это выливается в повышенную нагрузку на оборудование, а в самом плохом варианте ставит под угрозу безопасность всей сети. Поэтому давайте отдельно разберемся в этом вопросе.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Общие принципы построения брандмауэра

Существует два основных типа настройки брандмауэра: нормально открытый брандмауэр и нормально закрытый. В первом случае разрешено все, что явно не запрещено, во втором случае — запрещено все, что явно не разрешено.

Возможно, для кого-то будет новостью, но оба этих подхода обычно гармонично сочетаются в рамках одного устройства. Нормально открытый брандмауэр применяется для внутренних сетей и исходящих соединений, а нормально закрытый — для все остальных соединений из внешних сетей. Это позволяет достичь простоты и удобства для собственных пользователей и в тоже время надежно защититься от внешнего мира.

Читайте также:  Купить SSL сертификат HTTPS для сайта | NetAngels

Любое новое соединение первоначально находится в статусе нового (new) и мы должны принять решение: одобрить его или запретить. Для этой задачи и предназначены создаваемые нами правила, в нормально закрытом брандмауэре мы описываем, какие соединения и по каким критериям следует разрешить. Если же пакет не соответствует ни одному правилу, то мы запрещаем такое соединение.

После того, как соединение было установлено — оно переходит в состояние установлено (established), при этом специальный механизм ядра Connection Tracker отслеживает все проходящие пакеты и сопоставляет их соединениям, поэтому мы можем спокойно оперировать именно состоянием соединения, не задумываясь над техническими тонкостями работы.

Нужно ли каждый раз отслеживать пакеты уже установленного соединения вновь и вновь гоняя их по цепочке правил? Конечно же нет, если мы одобрили соединение, то в последующем можем и должны одобрять все его пакеты автоматически, это снижает нагрузку на устройство и позволяет использовать различные приемы, вроде Port Knocking или противодействия перебору паролей.

Очень часто одни соединения, будучи установленными, создают другие, которые называются связанными (related), как пример можно привести хорошо известные FTP или PPTP, которые имеют управляющее соединение и соединение(я) для передачи данных. Они могут использовать динамические порты и поэтому их также следует автоматически разрешать, если мы разрешили основное соединение.

Поэтому в любом корректно настроенном брандмауэре самым первым правилом должно находиться разрешающее установленные и связанные соединения, а только после него мы уже должны анализировать новые подключения.

В роутерах Mikrotik существует еще один тип соединения — неотслеживаемое (untracked), такие соединения не отслеживаются Connection Tracker, что позволяет существенно снизить нагрузку на устройство. Для чего это может быть нужно? Допустим, в фильтруемом вами трафике есть значительная доля принадлежащая доверенным узлам, для которых можно четко прописать критерии, в этом случае можно пометить их неотслеживаемыми и добавить их одобрение в самое первое правило, к уже установленным и связанным.

Таким образом, одним единственным правилом мы будем сразу пропускать подавляющую долю трафика, а к затратным операциям анализа будут доходить только новые пакеты.

Но тут самое время вспомнить еще про одно состояние соединения — недействительное (invalid), это пакеты не являющиеся новыми, но не принадлежащие никакому установленному соединению, такие пакеты могут использоваться для атак и поэтому их следует блокировать в первую очередь, сразу после того, как мы одобрили установленные и связанные соединения и до того, как приступили к анализу новых пакетов.

Ну и завершающим правилом в цепочке должно стоять запрещающее, отсекающее все соединения, которые не попали под разрешающие правила и не являются уже установленными или связанными с ними.

Конфигурация брандмауэра по умолчанию

Прежде всего рассмотрим конфигурацию, предлагаемую производителем по умолчанию. Многие считают ее наиболее оптимальной и безопасной, но это не так, конфигурация по умолчанию направлена на универсальность и совместимость с различными пользовательскими сценариями, не позволяя ему наделать грубых ошибок, которые могут фатально сказаться на безопасности.

Все правила сгруппированы в две цепочки: input — для входящего трафика самого роутера и forward — для транзитного, между интерфейсами роутера. Сразу напомним, что у роутеров Mikrtoik нет жестко заданных «внешних» и «внутренних» интерфейсов, и вообще все эти понятия находятся исключительно у нас в голове, согласно логическому плану сети.

В конфигурации по умолчанию также присутствует два списка интерфейсов: WAN — куда включен порт, настроенный как внешний, обычно ether1 и LAN, в состав которого входит мост, объединяющий оставшиеся порты. и эти списки активно применяются в правилах.

Самих правил немного, всего 11 штук: 5 для input и 6 для forward.

Правильная настройка безопасности роутераРассмотрим их подробнее. Правило с нулевым номером в расчет не берем, это пустышка для вывода счетчиков Fasttrack. Начнем с первых двух, это классическая связка, о которой мы говорили выше: разрешаем established, related и untracked для всех входящих соединений, без привязки к интерфейсам. Затем запрещаем invalid, вполне очевидно, что далее пройдут только пакеты соединений в состоянии new.

Третье правило разрешает входящий ICMP, у многих администраторов с ним напряженные отношения, часто его блокируют полностью, чтобы устройство не пинговалось, но так делать не нужно, протокол ICMP важен для нормальной работы сети. Либо фильтровать нужные его типы выборочно, что выходит за рамки данной статьи.

Следующее правило весьма специфично, оно разрешает входящие на петлевой интерфейс, точнее адрес 127.0.0.1, поскольку интерфейс петли явно в RouterOS не доступен, а также снабжено комментарием, что это для CAPsMAN. Его смысл станет понятен чуть ниже.

И завершает цепочку input блокирующее правило:

Которое блокирует входящие подключения для всех, кроме интерфейса LAN, а так как локальная петля туда не входит, то выше потребовалось отдельное правило.

Как видим конфигурация слегка избыточна, но при этом универсальна. А блокировка входящих по такой широкой маске — все, кроме локальной сети — позволяет сохранить должный уровень безопасности, даже если пользователь подключит другие внешние сети, скажем VPN.

А где же здесь размещать свои собственные правила? А вот здесь:

Теперь о цепочке forward, самыми первыми здесь теперь добавлены два правила, разрешающие транзит соединений, подпадающих под действие политик IPsec. Это связано с тем, что IPsec сегодня применяется все чаще, но правильно настроить правила для него умеют не все пользователи. Поэтому появились эти правила, обеспечивающие гарантированное прохождение любых соединений, использующих IPsec через роутер в любом направлении.

Затем идет правило, включающее Fasttrack для всех установленных и связанных соединений. Подробнее про Fasttrack мы писали в нашей статье:

Если коротко, то Fasttrack значительно снижает нагрузку на оборудование, но фактически пускает трафик в обход брандмауэра. Но так как фильтровать established и related нам не надо, то почему бы и не пустить их коротким путем?

Далее та же самая классика: разрешаем established, related и untracked, запрещаем invalid. Для всех направлений без разбора.

Ну и, наконец, запрещающее правило, оно тоже интересно:

Оно запрещает транзит только новым соединениям, только с внешнего списка интерфейсов, кроме соединений прошедших через DNAT. А так как DNAT обычно используется для проброса портов, то таким образом мы избегаем необходимости создавать для них разрешающие правила.

Да, опять очень и очень общие критерии, но в состоянии абсолютной неопределенности возможных конфигураций это, пожалуй, лучшее решение. Особенно если роутер будет использоваться вместе с UPnP, где сетевые приложения могут самостоятельно пробрасывать произвольные порты.

Поэтому мы еще раз повторимся, что конфигурация по умолчанию не является самой оптимальной или самой безопасной, но она наиболее универсальна, одновременно закрывая самые разные сценарии использования роутера.

Куда добавлять собственные правила? Да вот сюда:

Стоит ли оставлять и использовать конфигурацию по умолчанию? Да, если вы еще не уверены в собственных силах, плохо понимаете работу межсетевого экрана или вам нужно просто быстро настроить роутер для типовых задач.

Собственная конфигурация брандмауэра

В среде опытных пользователей Mikrotik принято сбрасывать устройство и настраивать конфигурацию с нуля. Для этих целей мы используем следующую конфигурацию брандмауэра, она во многом повторяет стандартную, но имеет ряд отличий. В плане именования интерфейсов мы также будем использовать листы WAN и LAN, с таким же набором интерфейсов.

При построении данного набора правил мы исходили из соображений, что администратор представляет как устроена его сеть, каким службам нужен доступ извне, какие сети являются внешними, а какие внутренними. При этом всеми силами старались избегать широких критериев в правилах, так как «проходной двор», даже вроде-бы в довольно безопасных вещах, таких как IPsec или DNAT может иногда сыграть злую шутку. Все мы помним, что если на стене висит ружье, то оно обязательно выстрелит.

Правил в нашем варианте меньше, всего 9, из них 4 для input и 5 для forward.

Правильная настройка безопасности роутераНабор правил для input приведем сразу и целиком, здесь тот же самый классический набор, но за одним исключением: мы знаем, какие сети являются внешними и фильтруем только подключения из них. Это упрощает конфигурацию и снижает нагрузку. При этом в каждом правиле мы четко указываем список входящих интерфейсов.

Мы точно также разрешаем установленные и связанные, запрещаем invalid, разрешаем ICMP. Можно заметить, что у нас нет untracked, это сознательное решение, если мы будем использовать неотслеживаемые соединения — то всегда можем добавить этот параметр, но сделаем это осознанно. Собственные правила мы можем добавлять выше запрещающего весь остальной трафик с внешних интерфейсов.

Также следует отметить несколько иную политику блокировки остального трафика. Стандартная конфигурация подходит достаточно радикально, запрещая все, кроме LAN. Мы же используем более мягкий подход, и блокируем только внешние сети — WAN. Это позволяет сделать конфигурацию проще и не прописывать дополнительные правила для того же CAPsMAN, при этом мы помним, что администратор знает какие сети являются внутренними, а какие нет и контролирует актуальность списков.

Перейдем к forward, в нашей базовой конфигурации правил для IPsec нет, опять-таки осознанно, по причине их ненужной избыточности. Как появится IPsec — так и создадим правила, а просто так нечего им небо коптить.

А вот к Fasttrack у нас подход другой. В стандартной конфигурации он включен для всех established и related, вне зависимости от направления. Это здорово разгружает роутер, но со временем у вас неизбежно появятся туннели, VPN, прочие сети и Fasttrack будет там чаще мешать, чем помогать, порой приводя к неожиданным результатам. Поэтому четко указываем, что применяем коротки путь только для соединений из локальной сети наружу и извне в локальную сеть. Часто можно даже отойти от использования списков и просто указать интерфейсы.

Ну и дальше все тоже самое. Разрешаем established и related, запрещаем invalid и обязательно указываем, что это именно для внешних сетей, ниже запрещаем все остальное, также для внешних интерфейсов.

Что касается DNAT, то мы не сторонники давать доступ в сеть самыми широкими мазками. Если появляется проброс — создаем отдельное правило под проброс. Может это и увеличивает количество работы, но дает более читаемую и безопасную конфигурацию брандмауэра, когда вы явно видите кому и что разрешено без изучения дополнительных разделов.

Но если вы используете роутер дома и самый широкий набор приложений пробрасывает порты при помощи UPnP, то последнее правило действительно будет удобнее заменить на:

Данный набор правил является базовым костяком нормально настроенного брандмауэра и должен присутствовать по умолчанию на любом устройстве. Уже потом он будет обрастать дополнительными правилами, но общий принцип построения защиты должен неукоснительно соблюдаться. Это позволит вам достичь высокого уровня безопасности при небольшой нагрузке на устройство.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Дополнительные материалы:

Mikrotik

The Dude

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Закрываем порты на Mikrotik

Правильная настройка безопасности роутера

Правильная настройка безопасности роутера

  • Закрываем 53 порт
  • Отключаем стандартные порты
  • Закрываем любой порт

Смотрите более полную инструкцию о том, как защитить свой Mikrotik от взлома

Закрываем 53 порт для доступа из вне

Итак, начнем с простого. Поскольку микротик имеет на борту свой собственный DNS сервер, то 53 порт смотрит у него наружу и просит его использовать. Чем грозит открытый 53 порт? Падением скорости вашего интернет-соединения. В моей практике был случай, когда в качестве роутера стоял Mikrotik RB951Ui. Провайдер давал 80 мегабит канал, а фактическая скорость у клиента не превышала 2-3 мегабита. Клиент ругался с провайдером, приезжали монтажники, проверяли линию, но все тщетно. Когда я приехал, то сделал следующее.

Читайте также:  Установка Joomla: Как Установить Joomla На Ваш Хостинг (2 Способа)

Подключаемся к нашему пациенту по Winbox и открываем раздел IP->Firewall->Filter Rules. На скриншоте ниже у меня уже добавлены необходимые правила для обработки трафика на 53 порту.

Правильная настройка безопасности роутера

Что бы сделать так же, добавляем первое правило.

  • Chain – input
  • Protocol – 17(udp)
  • Dst.port – 53
  • In.interface – ваш интерфейс, куда включен шнурок провайдера. В моем случае это pppoe-соединение Ростелекома.
  • Action – add src to address list
  • Address List – DNS_FLOOD (название может быть любым)

Правильная настройка безопасности роутера
Правильная настройка безопасности роутера

И второе правило.

  • Chain – input
  • Protocol – 17(udp)
  • Dst.port – 53
  • In.Interface – ваш интерфейс, куда включен провайдер
  • Action – drop


Правильная настройка безопасности роутера
Правильная настройка безопасности роутера

На этом все. Ваш микротик защищен от DNS флуда и канал теперь свободен. Добавив только эти два правила клиент увидел заявленную от провайдера скорость и был рад по самые помидоры. Но есть и другие сервисы и порты, которые в микротике по-умолчанию включены и принимают подключения.

Отключаем стандартные порты

Обычные пользователи не обращают на них внимания, но я рекомендую всем либо выключить к ним доступ, либо настроить правила фильтрации. Самое простое, как закрыть порты:

Заходим IP-Services и видим список портов. Я всегда закрываю все, кроме Winbox потому что мне нет в них необходимости. Можно просто выключить, а можно изменить номер порта на тот, который вам нравится, но стоит быть внимательными, не советую менять порты 443, 80. Это служебные порты и их изменение может привести к потере доступа в Интернет. У меня выглядит вот так:

Правильная настройка безопасности роутера

Закрываем любой порт

Для того, что бы закрыть любой порт для подключения из внешней сети достаточно одного правила, которое по своей сути очень простое. В нем мы указываем тип трафика – снаружи, номер порта или диапазон портов, на каком интерфейсе слушать и что с этим трафиком делать. Для примера давайте закроем порт 8080.

IP->Firewall->Filter Rules->New Firewall rule (синий плюсик)

  • Chain – input
  • Protocol – tcp
  • Dst.port – 8080
  • In.Interface – ваш интерфейс
  • Action – drop

Все! Вот так просто! Порт закрыт. Но будьте предельно аккуратны, не стоит беспорядочно закрывать все. В mikrotike с завода идет принцип запрещено все, что не разрешено. Поэтому сильно заморачиваться нет необходимости.

В следующий раз напишу, как закрыться от брутфорса и флуда, если нет возможности закрыть порт целиком.

MikroTik настройка firewall. Connection Tracker

Connection Tracker выполняет следующие функции:

  • Содержит информацию обо всех активных соединениях;
  • Отвечает за управление соединениями;
  • Отвечает за дефрагментацию пакетов;
  • Влияет на загрузку процессора.

Место Connection Tracker на схеме Traffic Flow:

MikroTik настройка Firewall: Правильная настройка безопасности роутера

По умолчанию Connection Tracker работает в режиме auto. Это значит, что он будет работать тогда, когда для firewall будет создано хотя бы одно правило. Помимо этого, могут быть установлены следующие режимы:

  • Yes – всегда работает.
  • No – отключен. При этом не будут отслеживаться состояния подключений, NAT и большая часть функционала брандмауэра (не будет работать маркировка соединений, протокол L7 и многое другое).

Connection State. Состояние соединений

С помощью правил мы можем обрабатывать пакеты на основании их состояния. Любое соединение будет находиться в одном из следующих состояний:

  • New – это новое соединение. Например, кто-то обращается к нашему маршрутизатору запросом ping и первый пакет что приходит, получит данное состояние;
  • Established – после того как запрос идет дальше, он переходит в состояние установленное;  
  • Related – связанное. Такое состояние появляется, например, когда клиент посылает запрос серверу, который недоступен и клиент получает ответ от роутера.
  • Invalid – не идентифицированное. Подключение, которое маршрутизатор не может опознать.
  • Notrack – создается для Raw Filter, минуя Connection Tracker. Поэтому пакеты не фрагментируются.

Connection State не совпадает с TCP State.

Connection List

На вкладке “Connections”, можно увидеть информацию о всех подключениях. Выглядит это следующим образом:

MikroTik настройка Firewall: Правильная настройка безопасности роутера

Давайте посмотрим какие данные мы можем получить:

  • Src. Address & Port – исходящий IP-адрес и порт;
  • Dst. Address & Port – IP-адрес и порт назначения;
  • Protocol – протокол;
  • Connection Mark – маркировку подключения;
  • Timeout – время жизни соединения;
  • TCP State – состояние TCP соединения (established, close, time-wait, syn-sent, syn-received).

Все свойства, указанные во вкладке Connection List, предназначены только для чтения.

Защита L1

Писать правила про установку сетевого оборудования в серверных помещениях, в защищённых телекоммуникационных ящиках, сейфах и т.д. мы не будем, это не тема статьи. Для защиты L1 на оборудовании MikroTik будет достаточно программно отключить не используемые сетевые интерфейсы:

/interface ethernet disable ether4_LAN

Сюда же пойдёт организация безопасности беспроводных соединений. В идеале, конечно, следует настроить WPA2-Enterprise (подробно о настройке RADIUS сервера мы напишем во второй части статьи), так как реальных угроз безопасности таких сетей пока не известно:

/interface wireless security-profiles
add authentication-types=wpa2-eap mode=dynamic-keys name=test radius-mac-mode=as-username-and-password supplicant-identity=""

Если такой вариант вам не подходит, тогда используйте WPA2-PSK со словарно неподбираемым паролем, который держите в тайне от третьих лиц, и отключённый PMKID:

/interface wireless security-profiles
add authentication-types=wpa2-psk disable-pmkid=yes eap-methods="" management-protection=allowed mode=dynamic-keys name=RUVDS supplicant-identity="" wpa2-pre-shared-key=verySTRONGpassword!!

Ещё можно запретить подключаться к точке доступа с низким уровнем сигнала, т.е. физически удалённым пользователям, которые, можно предположить, находятся за контролируемым периметром и не легитимны:

/interface wireless access-list
add allow-signal-out-of-range=1d authentication=no comment="Drop signal <= -80" interface=wlan1 signal-range=-120..-80

На этом свои рекомендации по поводу L1 безопасности остановим и перейдём к более интересным вещам.

Проброс портов

Покажу на простом примере, как при настроенном NAT и включенном фаерволе выполнить проброс порта в mikrotik для доступа к службе в локальной сети. Пробросить порт можно в той же вкладке NAT в настройках Firewall.

Для примера выполним проброс порта rdp из интернета через микротик. Извне будет открыт порт 41221, а проброс будет идти на локальный адрес 192.168.88.10 и порт 3389.

 mikrotik-firewall-16-7716202
 mikrotik-firewall-17-1624155

Я настоятельно не рекомендую открывать доступ к rdp порту для всего интернета. Лично имел печальный опыт в такой ситуации. Обязательно настройте ограничение доступа по ip к этому порту, если такое возможно. Если невозможно, то не пробрасывайте порт, а сделайте доступ по vpn. Ограничение по ip делается просто. Добавляем еще один параметр в правило проброса порта.

 mikrotik-firewall-18-9967126

Если используется список ip адресов, который будет меняться, проще сразу в правиле проброса указать на список, а потом править уже сам список. Для этого его надо создать. Создать список ip можно на вкладке Address List. Добавим список:

 mikrotik-firewall-19-3836526

Возвращаемся в правило проброса порта, переходим на вкладку Advanced и добавляем указанный список в Src. Adress List

 mikrotik-firewall-20-8123398

Теперь для изменения списка доступа к проброшенному порту не надо трогать само правило. Достаточно отредактировать список.

MikroTik настройка firewall. Защита от брутфорса

Рассмотрим, как защитить MikroTik от перебора паролей (брутфорс). Покажем это на примере попыток перебора паролей для входа на MikroTik через Winbox.

Аналогичным образом можно защищать сервисы, к которым можно получить доступ брутфорс-атакой.

Но также хочется отметить, что в настоящее время, на практике данные способы защиты показывают себя малоэффективно, альтернативным способом защиты от Brute-force атак можно ознакомиться в статье настройка Port Knocking MikroTik.

Повысим безопасность роутера MikroTik, добавив условие в конфигурацию firewall:

  • Если хост, в течении минуты пробует подключиться с неправильным паролем 4 раза, тогда IP попадает в черный список и блокируется:
MikroTik настройка Firewall: Правильная настройка безопасности роутера

Направим все новые подключения адресованные на порт 8291 с внешнего интерфейса в пользовательский набор правил (anti-BruteForce):

MikroTik настройка Firewall: Правильная настройка безопасности роутера

Дальше создадим пользовательский набор правил, который будет проверять поведение хостов на предмет перебора паролей и блокировать такие попытки.

MikroTik настройка Firewall: Правильная настройка безопасности роутера
MikroTik настройка Firewall: Правильная настройка безопасности роутера

Откроем меню “Action”:

MikroTik настройка Firewall: Правильная настройка безопасности роутера

Следующим шагом добавляем хост, подходящий под условие в черный список:

MikroTik настройка Firewall: Правильная настройка безопасности роутера
MikroTik настройка Firewall: Правильная настройка безопасности роутера

Блокируем все соединения из черного списка «BAN-BruteForce» в RAW Filter:

MikroTik настройка Firewall: Правильная настройка безопасности роутера

Далее вкладка “Advanced”:

MikroTik настройка Firewall: Правильная настройка безопасности роутера

Создадим запрещающее правило:

MikroTik настройка Firewall: Правильная настройка безопасности роутера

Расположим ранее созданные правила firewall следующим образом:

MikroTik настройка firewall. Защита от перебора паролей.

С защитой от перебора паролей для RDP-подключений дела обстоят сложнее и требует более детального и гибкого подхода. Например, аналогичное правило при разрыве подключения и попытках восстановления, заблокирует пользователя.

Как защитить RDP соединение от брутфорс-атак мы поговорим в отдельной статье.

На этом настройка защиты Mikrotik от перебора паролей закончена.

Защита от атак перебором

Брутфорс-атаки давно стали повседневностью. Десятки тысяч ботов регулярно сканируют весь интернет в поисках открытых портов SSH и затем начинают весьма активно «‎стучаться»‎ на внешний интерфейс и перебирать пароли в попытке захватить контроль над подключенным устройством. У тех, кто контролирует эти сети есть весьма обширные словари паролей, использующие как дефолтные реквизиты доступа большинства устройств.

Но даже если вы задали сложный пароль — это еще не гарантирует безопасности. Длительная атака перебором способна сломать этот барьер защиты, поэтому проще всего пресекать попытки злоумышленников сразу, как только замечен процесс перебора. Настройка правил firewall у устройств Mikrotik достаточно тривиальна:

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="Drop SSH brutforce" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="Stage1" disabled=no

Если даже пользователь ошибся, то ничего страшного, однако если он попробует в течение этой минуты еще раз подключиться, то его адрес мы закидываем во второй список ssh_stage2 из первого списка ssh_stage1.

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="Stage2" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no

Третья ошибочная попытка приводит к копированию IP из списка ssh_stage3 в список ssh_blacklist и все входящие соединения с этого IP будут заблокированы сроком на 10 дней.

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" disabled=no

Для разблокировки адреса будет достаточно его удалить из черного списка.

MikroTik настройка firewall. Как защитить роутер от DDoS-атаки

DoS или DDoS-атака если говорить простыми словами представляет из себя множественную отправку запросов на атакуемый хост, что выводит систему из строя или значительно затрудняет доступ к ней.

Защитить MikroTik от DDoS атак можно с помощью двух методов:

  • Connection Limit;
  • Destination Limit.

Рассмотрим эти способы подробнее.

Защита MikroTik от DDoS-атак с помощью Connection Limit

Обработка большого количества соединений с помощью Connection Limit вызывает большую нагрузку на процессор.

Рекомендуется использовать вместе с connection-state=new или с tcp-flags=syn.

Правильная настройка безопасности роутера

Откроем пункт меню «Advanced»:

Правильная настройка безопасности роутера

Правильная настройка безопасности роутера

Добавляем в черный список:

Правильная настройка безопасности роутера

Создадим запрещающее правило для адресов из черного списка «BAN_black_list»:

Правильная настройка безопасности роутера
Правильная настройка безопасности роутера
Правильная настройка безопасности роутера

Расположим правила firewall следующим образом:

Правильная настройка безопасности роутера

Если у вас внутри локальной сети есть сервис “смотрящий” наружу и подверженный DDoS атаке, то необходимо создать аналогичное правило для цепочки «Forward», как показано на рисунке выше.

На этом настройка защиты MikroTik от DDoS-атаки методом Connection Limit закончена.

Защита MikroTik от DDoS-атаки с помощью Destination Limit

Настроим защиту firewall MikroTik от DDoS атак так, что роутер будет передавать все новые попытки подключения на пользовательскую цепочку, которая проверяет условие:

  • Есть 50 разрешенных соединений и если в течение секунды с адреса открывается еще 50 и более соединений, то IP заносится в черный список после чего блокируется.

Перенаправляем новые попытки подключения в пользовательскую цепочку:

Правильная настройка безопасности роутера

Правильная настройка безопасности роутера

Перейдем к конфигурированию пользовательской цепочки:

Правильная настройка безопасности роутера

Правильная настройка безопасности роутера
Правильная настройка безопасности роутера

Добавляем хосты, которые подошли под условия в черный список:

Правильная настройка безопасности роутера
Правильная настройка безопасности роутера

Создадим запрещающее правило блокирующее данный лист:

Правильная настройка безопасности роутера
Правильная настройка безопасности роутера

Расположим правила firewall так:

Правильная настройка безопасности роутера

Не забывайте, если у вас есть сервис внутри локальной сети, “смотрящий” наружу, то необходимо добавить правило в “Forward”.

На этом настройка firewall MikroTik от DDoS-атак закончена.

Оцените статью
Хостинги