MikroTik bietet Firewall-Funktionalität, die sowohl Stateful-Regeln als auch Stateless-Regeln umfasst. Die Firewall implementiert zustandsbehaftete (durch Verbindungsverfolgung) und zustandslose Paketfilterung und stellt daher Sicherheitsfunktionen bereit, die zur Verwaltung des Datenflusses zum, vom und durch den Router verwendet werden.
Zusammen mit Network Address Translation (NAT) dient es als Werkzeug zur Verhinderung unbefugter Zugriffe auf direkt verbundene Netzwerke und auf den Router selbst sowie als Filter für ausgehenden Datenverkehr.
Am Ende des Artikels finden Sie eine kleine Test das wird dir erlauben beurteilen das in dieser Lektüre erworbene Wissen
Stateful-Firewall
Diese Regeln folgen dem Status der Verbindungen, was bedeutet, dass die Firewall den Status jeder Verbindung verfolgt und Datenverkehr basierend auf dem Verbindungsstatus zulässt. Dies ist nützlich, um Antwortverkehr auf Verbindungen zuzulassen, die innerhalb des Netzwerks initiiert werden.
Dadurch können sie fundiertere Entscheidungen darüber treffen, welche Pakete je nach Verbindungskontext zugelassen oder blockiert werden sollen. Beispielsweise würde eine Stateful-Firewall zulassen, dass ein Antwortpaket ein zuvor zugelassenes Anforderungspaket passiert, selbst wenn das Anforderungspaket selbst nicht explizit in den Firewall-Regeln enthalten ist.
Stateful bietet erhöhte Sicherheitsvorteile, da es unbefugte Zugriffsversuche wirksam verhindern und vor Phishing-Angriffen schützen kann.
Sie bieten außerdem bessere Filterfunktionen auf Anwendungsebene, sodass Sie steuern können, welche Anwendungen und Protokolle über die Firewall kommunizieren können.
Zustandslose Firewall
Diese Regeln folgen nicht dem Verbindungsstatus und werden unabhängig auf jedes Paket angewendet. Jedes Paket wird gemäß den von der Regel festgelegten Kriterien gefiltert, unabhängig von vorherigen Verbindungen.
Stateless hingegen führt keine Statustabelle und prüft nur einzelne Pakete anhand ihrer Quell- und Zieladressen, Ports und Protokollheader.
Sie fungieren als Paketfilter und treffen Entscheidungen ausschließlich auf der Grundlage der in jedem Paket enthaltenen Informationen.
Unterschied zwischen Stateful und Stateless Firewall
característica | Stateful-Firewall | Zustandslose Firewall |
Verbindungsverfolgung
| Si | Nein |
Sicherheit
| Verbesserte | Basic |
Filterung auf Anwendungsebene
| Granularer | Limitado |
Leistung
| Niedriger | Höher |
Verbrauch von Ressourcen
| Höher | Untere |
Eignung
| Unternehmensnetzwerke, sensible Anwendungen | Heimnetzwerke, Umgebungen mit hoher Bandbreite |
Beispiele für staatenlose Regeln
In MikroTik RouterOS werden zustandslose Firewall-Regeln erstellt, ohne den Status der Verbindungen zu berücksichtigen, d. h. sie werden unabhängig von vorherigen Verbindungen angewendet. Hier sind einige Beispiele für zustandslose Regeln, die in bestimmten Szenarien nützlich sein könnten:
1. Erlauben Sie Datenverkehr von einer bestimmten IP-Adresse:
/IP-Firewallfilter add chain=forward src-address=192.168.1.100 action=accept
Diese Regel lässt Datenverkehr zu, der von der IP-Adresse 192.168.1.100 in der Weiterleitungskette kommt.
2. Erlauben Sie Datenverkehr aus einem bestimmten Subnetz:
/IP-Firewallfilter add chain=forward src-address=192.168.2.0/24 action=accept
Diese Regel lässt Datenverkehr vom Subnetz 192.168.2.0/24 in der Weiterleitungskette zu.
3. Blockieren Sie den Datenverkehr zu einer bestimmten IP-Adresse:
/IP-Firewallfilter add chain=forward dst-address=203.0.113.10 action=drop
Diese Regel blockiert den gesamten Datenverkehr, der in der Weiterleitungskette an die IP-Adresse 203.0.113.10 geht.
Dies sind nur Beispiele und Sie sollten die Regeln basierend auf Ihren spezifischen Anforderungen und Ihrer Netzwerktopologie anpassen. Beachten Sie außerdem, dass diese Regeln zustandslos sind und daher den Status früherer Verbindungen nicht berücksichtigen.
Beispiele für Stateful-Regeln
In MikroTik RouterOS konzentrieren sich Stateful-Firewall-Regeln auf den Status von Verbindungen, was bedeutet, dass sie Datenverkehr basierend auf dem Verbindungsstatus zulassen oder blockieren. Hier sind einige Beispiele für zustandsbehaftete Regeln:
1. Lassen Sie den gesamten ausgehenden Datenverkehr und die damit verbundenen Antworten zu:
/IP-Firewallfilter add chain=forward Connection-State=Established,Related Action=Accept
Diese Regel lässt Datenverkehr zu, der Teil einer bestehenden oder verwandten Verbindung in der Weiterleitungskette ist.
2. Bestimmten Datenverkehr von außen zulassen:
/IP-Firewall-Filter hinzufügen Kette=weiterleiten in-interface=ether1 Verbindungsstatus=neues Protokoll=TCP DST-Port=80 Aktion=Akzeptieren
Diese Regel ermöglicht TCP-Datenverkehr, der für Port 80 von außen bestimmt ist, über die Schnittstelle ether1 in der Weiterleitungskette.
3. Blockieren Sie unerwünschten eingehenden Datenverkehr:
/IP-Firewallfilter add chain=input Connection-state=new action=drop
Diese Regel blockiert den gesamten eingehenden Datenverkehr, der nicht Teil einer bestehenden Verbindung in der Eingangskette ist.
4. Eingehenden ICMP-Verkehr für Ping-Anfragen zulassen:
/IP-Firewall-Filter hinzufügen Kette=Eingabe Verbindungsstatus=Neues Protokoll=ICMP-Aktion=Akzeptieren
Diese Regel lässt eingehenden ICMP-Verkehr für Ping-Anfragen in der Eingangskette zu.
5. Blockieren Sie den Datenverkehr von außen zu einem bestimmten Port:
/IP-Firewallfilter add chain=input in-interface=ether1 Connection-state=new dst-port=22 action=drop
Diese Regel blockiert eingehenden Datenverkehr an Port 22 (SSH) von außen über die Schnittstelle ether1 in der Eingangskette.
Dies sind nur Beispiele und Sie sollten die Regeln basierend auf Ihren spezifischen Anforderungen und Netzwerkkonfiguration anpassen. Zustandsbehaftete Regeln sind unerlässlich, um den erforderlichen Datenverkehr zu ermöglichen und die Sicherheit durch Blockieren unerwünschten Datenverkehrs aufrechtzuerhalten.
Kurzes Wissensquiz
Was halten Sie von diesem Artikel?
Trauen Sie sich, Ihr erlerntes Wissen zu bewerten?
Empfohlenes Buch für diesen Artikel
Advanced Traffic Control Book, RouterOS v7
Lernmaterial für den MTCTCE-Zertifizierungskurs, aktualisiert auf RouterOS v7
In Verbindung stehende Artikel
- MikroTik IPSec: Wählen Sie zwischen Tunnelmodus und Transportmodus für VPN
- ICMP-Filter in einer MikroTik-Firewall
- So blockieren Sie HTTPS-Sites effektiv mit MikroTik TLS Host
- Erkundung der ARP-Modi in MikroTik RouterOS
- MikroTik und drahtlose Authentifizierung: Grundlegendes zu „Gemeinsamen Schlüssel zulassen“