Die „rohe“ Firewall-Option in MikroTik RouterOS ist ein leistungsstarkes Tool zur Abwehr von Angriffen, einschließlich solcher, die auf ICMP (Internet Control Message Protocol) basieren.

Die Raw-Firewall arbeitet in einem sehr frühen Stadium der Paketverarbeitung und kann so effektiv mit unerwünschten Paketen umgehen, bevor diese über die grundlegende Verarbeitung hinaus Systemressourcen verbrauchen.

Um ICMP-Angriffe wie Ping-Flood (eine Art DDoS-Angriff, bei dem der Angreifer das Opfer mit ICMP-Paketen überflutet, um seine Ressourcen zu erschöpfen) abzuschwächen, können Sie Regeln in der Rohtabelle verwenden, um diesen Datenverkehr zu verwerfen oder zu begrenzen.

Dies liegt daran, dass die Regeln in dieser Tabelle vor denen in den Filter- und NAT-Tabellen verarbeitet werden, was ein frühzeitiges Eingreifen ermöglicht und die Auswirkungen auf die Router-Leistung minimiert.

Konfigurieren von Regeln in der Raw Firewall zur Abwehr von ICMP-Angriffen

Hier ist ein Beispiel dafür, wie Sie eine Regel in der Raw-Firewall konfigurieren, um ICMP-Pakete zu begrenzen:

1. Greifen Sie auf Ihren MikroTik-Router zu über Winbox, WebFig oder SSH.
2. Gehen Sie zum Abschnitt „rohe“ Firewall:
   • In Winbox oder WebFig: Gehen Sie zu IP > Firewall und dann zur Registerkarte Raw.
   • In der Befehlszeile: Verwenden Sie den Befehl /ip firewall raw.
3. Fügen Sie eine Regel hinzu, um den ICMP-Verkehr zu begrenzen:
   • Für Winbox oder WebFig: Klicken Sie + um eine neue Regel hinzuzufügen. In der Registerkarte General, Wählen icmp auf dem Gebiet Protocol. Auf der Registerkarte Actionwähle drop o limit als Aktion und konfigurieren Sie die Parameter entsprechend Ihren Bedürfnissen.
   • In der Befehlszeile: Verwenden Sie einen Befehl ähnlich wie /ip firewall raw add action=drop chain=prerouting protocol=icmp icmp-options=8:0 limit=10,20:packet.

In diesem Beispiel heißt es im Wesentlichen: „Verwerfen Sie ICMP-Pakete vom Typ 8 (Echo-Anfrage), die eine Grenze von 10 Paketen pro Sekunde überschreiten, mit einem Burst von 20 Paketen.“ Passen Sie das Limit und den Burst basierend auf dem erwarteten normalen Datenverkehr und Ihrer Netzwerkkapazität an.

Überlegungen

• Präzision: Stellen Sie sicher, dass Sie die Regeln genau konfigurieren, um die Blockierung legitimen ICMP-Verkehrs zu vermeiden, was für die Netzwerkdiagnose und Flusskontrolle nützlich ist.
• Überwachung: Es ist ratsam, den ICMP-Verkehr regelmäßig zu überwachen, um Regeln basierend auf beobachtetem Verhalten anzupassen und Fehlalarme zu vermeiden.
• Komplementarität: Obwohl die Raw-Firewall Angriffe wirksam abwehrt, sollten Sie sie in Verbindung mit anderen Sicherheitsmaßnahmen, wie z. B. Firewall-Regeln in der Filtertabelle, verwenden, um einen vollständigen Schutz zu gewährleisten.

Der Einsatz einer Raw-Firewall kann eine wirksame Maßnahme zur Abwehr von ICMP-Angriffen sein, muss jedoch Teil eines umfassenderen, strategischen Ansatzes zur Netzwerksicherheit sein.