Настройка файрвола RouterOS для обеспечения безопасности

RouterOS настройка для безопасности

Firewall в RouterOS — это под­систе­ма, которая отве­чает за обра­бот­ку и филь­тра­цию всех пакетов. В статье рассмотрим способы настройки файрвола RouterOS для улучшения безопасности.

Еще по теме: Средства защиты сервера VPS

Настройка файрвола RouterOS в плане безопасности

К нас­трой­ке фай­рво­ла, на мой взгляд, дол­жно быть осо­бое отно­шение, потому что от нее зависит и про­изво­дитель­ность устрой­ства, и уро­вень безопас­ности.

Мы не будем сегодня под­робно рас­смат­ривать все воз­можнос­ти фай­рво­ла в RouterOS. Их мно­го, и они могут быть край­не полез­ными и мощ­ными. Но им пос­вящено мно­жес­тво ста­тей и спра­воч­ных тек­стов. На сайте, к при­меру, можете почитать статью «Защита MikroTik».

Мы же оста­новим­ся толь­ко на важ­ных момен­тах, свя­зан­ных с защитой от прод­винутых атак.

Корректная обработка трафика

В RouterOS мар­шру­тизи­рует­ся весь тра­фик: исполь­зует­ся кон­цепция «раз­решено все, что не зап­рещено». Тра­фик обра­баты­вает­ся свер­ху вниз по пра­вилам.

Луч­шей прак­тикой счи­тает­ся уста­нав­ливать в начале нас­тро­ек фай­рво­ла пра­вила в цепоч­ках INPUT/Forward, которые раз­реша­ют соеди­нения Established/Related и отбра­сыва­ют соеди­нения Invalid.

Кста­ти говоря, имен­но бла­года­ря механиз­му Connection Tracking дос­тига­ется отсле­жива­ние соеди­нений по их сос­тоянию.

Аккуратная работа с ICMP

Так­же сто­ит раз­решить работу про­токо­ла ICMP и при этом с неболь­шим огра­ниче­нием на чис­ло пакетов в секун­ду, что­бы избе­жать потен­циаль­ного DDoS по про­токо­лу ICMP.

Час­то весь тра­фик ICMP бло­киру­ют на внеш­нем перимет­ре, одна­ко это может пов­лиять на работу PMTUD, который помога­ет бороть­ся с избы­точ­ной фраг­мента­цией при нес­тандар­тных зна­чени­ях MTU.

TTL Shift

Ес­ли ваше обо­рудо­вание выс­тупа­ет прок­си‑сер­вером и есть необ­ходимость скрыть его IP-адрес из трас­сиров­ки, то нуж­но в таб­лице Mangle в цепоч­ке PREROUTING сме­щать TTLс инкре­мен­том +1:

Риск DNS-флуда

Сле­дите за тем, что­бы наружу не тор­чал порт про­токо­ла DNS, на который может при­лететь потен­циаль­ный DDoS. Неред­ко слу­чает­ся так, что имен­но по DNS при­ходит DDoS-ата­ка на MikroTik.

Очень час­то быва­ет, что в нас­трой­ках DNS на MikroTik сто­ит галоч­ка Allow Remote Requests, которая поз­воля­ет RouterOS быть DNS-сер­вером. Обыч­но это встре­чает­ся для внут­ренней инфраструк­туры, но порт может тор­чать и на внеш­нем интерфей­се, смот­рящем в сто­рону интерне­та.

Drop All Other

В кон­це спис­ка пра­вил фай­рво­ла всег­да дол­жен сто­ять зап­рет Drop All Other для внеш­него интерфей­са RouterOS (того, который смот­рит имен­но в сто­рону интерне­та; RouterOS не раз­лича­ет внут­ренние и внеш­ние интерфей­сы).

Оно будет зап­рещать все нераз­решен­ные под­клю­чения к мар­шру­тиза­тору, одна­ко позаботь­тесь о том, что­бы свер­ху были все необ­ходимые пра­вила для ваших про­токо­лов, тог­да финаль­ное пра­вило не будет нарушать сетевую связ­ность. Пра­вило Drop All Other дол­жно идти в кон­це спис­ка пра­вил абсо­лют­но любого фай­рво­ла.

Заключение

Настройка брандмауэра в RouterOS – это важный шаг для обеспечения безопасности вашей сети. Правильно настроенный файрвол, обеспечивает контроль над трафиком и помогает предотвратить несанкционированный доступ. Важно регулярно обновлять и анализировать правила брандмауэра, чтобы обеспечить надежную сетевую безопасность.

ПОЛЕЗНЫЕ ССЫЛКИ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз.

Добавить комментарий