Firewall в RouterOS — это подсистема, которая отвечает за обработку и фильтрацию всех пакетов. В статье рассмотрим способы настройки файрвола RouterOS для улучшения безопасности.
Еще по теме: Средства защиты сервера VPS
Настройка файрвола RouterOS в плане безопасности
К настройке файрвола, на мой взгляд, должно быть особое отношение, потому что от нее зависит и производительность устройства, и уровень безопасности.
Мы не будем сегодня подробно рассматривать все возможности файрвола в RouterOS. Их много, и они могут быть крайне полезными и мощными. Но им посвящено множество статей и справочных текстов. На сайте, к примеру, можете почитать статью «Защита MikroTik».
Мы же остановимся только на важных моментах, связанных с защитой от продвинутых атак.
Корректная обработка трафика
В RouterOS маршрутизируется весь трафик: используется концепция «разрешено все, что не запрещено». Трафик обрабатывается сверху вниз по правилам.
Лучшей практикой считается устанавливать в начале настроек файрвола правила в цепочках INPUT/Forward, которые разрешают соединения Established/Related и отбрасывают соединения Invalid.
Кстати говоря, именно благодаря механизму Connection Tracking достигается отслеживание соединений по их состоянию.
1 2 3 4 |
[caster@MikroTikDaymare] /ip/firewall/filter> add chain=input action=accept connection-state=established,related log=no log-prefix="" [caster@MikroTikDaymare] /ip/firewall/filter> add chain=input action=drop connection-state=invalid log=no log-prefix="" [caster@MikroTikDaymare] /ip/firewall/filter> add chain=forward action=accept connection-state=established,related log=no log-prefix="" [caster@MikroTikDaymare] /ip/firewall/filter> add chain=forward action=drop connection-state=invalid log=no log-prefix="" |
Аккуратная работа с ICMP
Также стоит разрешить работу протокола ICMP и при этом с небольшим ограничением на число пакетов в секунду, чтобы избежать потенциального DDoS по протоколу ICMP.
Часто весь трафик ICMP блокируют на внешнем периметре, однако это может повлиять на работу PMTUD, который помогает бороться с избыточной фрагментацией при нестандартных значениях MTU.
1 |
[caster@MikroTikDaymare] /ip/firewall/filter> add chain=input action=accept protocol=icmp in-interface-list= limit=50/5s,2:packet log=no log-prefix="" |
TTL Shift
Если ваше оборудование выступает прокси‑сервером и есть необходимость скрыть его IP-адрес из трассировки, то нужно в таблице Mangle в цепочке PREROUTING смещать TTLс инкрементом +1:
1 |
[caster@MikroTikDaymare] /ip/firewall/mangle> add chain=prerouting action=change-ttl new-ttl=increment:1 passthrough=yes in-interface= log=no log-prefix="" |
Риск DNS-флуда
Следите за тем, чтобы наружу не торчал порт протокола DNS, на который может прилететь потенциальный DDoS. Нередко случается так, что именно по DNS приходит DDoS-атака на MikroTik.
Очень часто бывает, что в настройках DNS на MikroTik стоит галочка Allow Remote Requests, которая позволяет RouterOS быть DNS-сервером. Обычно это встречается для внутренней инфраструктуры, но порт может торчать и на внешнем интерфейсе, смотрящем в сторону интернета.
Drop All Other
В конце списка правил файрвола всегда должен стоять запрет Drop All Other для внешнего интерфейса RouterOS (того, который смотрит именно в сторону интернета; RouterOS не различает внутренние и внешние интерфейсы).
Оно будет запрещать все неразрешенные подключения к маршрутизатору, однако позаботьтесь о том, чтобы сверху были все необходимые правила для ваших протоколов, тогда финальное правило не будет нарушать сетевую связность. Правило Drop All Other должно идти в конце списка правил абсолютно любого файрвола.
1 |
[caster@MikroTikDaymare] /ip/firewall/filter> add chain=input action=drop in-interface= log=no log-prefix="" |
Заключение
Настройка брандмауэра в RouterOS – это важный шаг для обеспечения безопасности вашей сети. Правильно настроенный файрвол, обеспечивает контроль над трафиком и помогает предотвратить несанкционированный доступ. Важно регулярно обновлять и анализировать правила брандмауэра, чтобы обеспечить надежную сетевую безопасность.
ПОЛЕЗНЫЕ ССЫЛКИ: