Die korrekte Konfiguration der Firewall auf einem MikroTik-Router ist wichtig, um Ihr Netzwerk vor unbefugtem Zugriff und anderen Arten von Sicherheitsbedrohungen zu schützen. Obwohl spezifische Regeln je nach den Anforderungen und der Konfiguration jedes Netzwerks variieren können, gibt es bestimmte allgemeine Regeln und Prinzipien, die für die meisten Umgebungen empfohlen werden.

Nachfolgend finden Sie einige Regeln und Best Practices für den Firewall-Filter, NAT und andere relevante Konfigurationsabschnitte in MikroTik RouterOS.

FirewallFilter

Der Zweck des Firewall-Filters besteht darin, den Datenverkehr zu kontrollieren, der den Router passiert, sodass Sie Datenverkehr basierend auf bestimmten Kriterien blockieren oder zulassen können.

1. Blockieren Sie unbefugten Zugriff auf den Router:

Achten Sie darauf, den Zugriff auf den Router von außerhalb Ihres lokalen Netzwerks einzuschränken. Dies geschieht normalerweise durch Blockieren von Verwaltungsports wie 22 (SSH), 23 (Telnet), 80 (HTTP), 443 (HTTPS) und 8291 (Winbox).

/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"

2. Schützen Sie sich vor häufigen Angriffen:

Implementieren Sie Regeln, um Ihr Netzwerk vor häufigen Angriffen wie SYN-Flood, ICMP-Flood und Port-Scanning zu schützen.

SYN-Flutangriff

/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"

ICMP-Hochwasserangriff

/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"

3. Erforderlichen Datenverkehr zulassen:

Konfigurieren Sie Regeln, um den für Ihr Netzwerk erforderlichen legitimen Datenverkehr zuzulassen. Dazu gehören interner Datenverkehr und Datenverkehr zum und vom Internet, basierend auf Ihren spezifischen Anforderungen.

Angenommen, Sie möchten den SSH-Zugriff nur von Ihrem lokalen Netzwerk aus zulassen:

/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"

4. Lassen Sie alles andere fallen:

Aus Sicherheitsgründen sollte jeglicher Datenverkehr, der zuvor nicht ausdrücklich zugelassen wurde, blockiert werden. Dies geschieht normalerweise am Ende Ihrer Firewall-Filterregeln mit einer Regel, die den gesamten anderen Datenverkehr ablehnt oder verwirft.

Diese Regel sollte am Ende Ihrer Filterregeln platziert werden, um als Standard-Verweigerungsrichtlinie zu fungieren.

/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"

NAT (Netzwerkadressübersetzung)

NAT wird häufig verwendet, um private IP-Adressen in Ihrem lokalen Netzwerk in eine öffentliche IP-Adresse für den Internetzugang zu übersetzen.

1. Masquerade:
   • Nutzen Sie die Aktion masquerade in der Kette srcnat um mehreren Geräten in Ihrem lokalen Netzwerk die gemeinsame Nutzung einer öffentlichen IP-Adresse für den Internetzugang zu ermöglichen. Dies ist wichtig für Netzwerke, die über eine Breitbandverbindung mit einer einzigen öffentlichen IP auf das Internet zugreifen.
2. DNAT für interne Dienste:
   • Wenn Sie von außerhalb Ihres Netzwerks auf interne Dienste zugreifen müssen, können Sie mithilfe von Destination NAT (DNAT) eingehenden Datenverkehr an die entsprechenden privaten IPs umleiten. Stellen Sie sicher, dass Sie dies nur für notwendige Dienste tun und berücksichtigen Sie die Auswirkungen auf die Sicherheit.

Weitere Sicherheitsaspekte

1. Software-Updates:
   • Halten Sie Ihren MikroTik-Router mit der neuesten Version von RouterOS und Firmware auf dem neuesten Stand, um ihn vor bekannten Schwachstellen zu schützen.
2. Layer-7-Sicherheit:
   • Für anwendungsspezifischen Datenverkehr können Sie Layer-7-Regeln konfigurieren, um Datenverkehr basierend auf Mustern in Datenpaketen zu blockieren oder zuzulassen.
3. Einschränkung des IP-Adressbereichs:
   • Beschränkt den Zugriff auf bestimmte Router-Dienste nur auf bestimmte IP-Adressbereiche und verringert so das Risiko eines unbefugten Zugriffs.

Denken Sie daran, dass dies nur allgemeine Richtlinien sind. Ihre spezifische Firewall-Konfiguration sollte auf einer detaillierten Bewertung Ihrer Sicherheitsanforderungen, Netzwerkrichtlinien und Leistungsüberlegungen basieren. Darüber hinaus ist es ratsam, regelmäßig Netzwerksicherheitstests durchzuführen, um potenzielle Schwachstellen zu identifizieren und zu mindern.