Οι πιο συνηθισμένες αναζητήσεις
mikrotikfirewallVPNnetinstallσπίτι απ
Κεφάλαιο 3.4 – Φίλτρο τείχους προστασίας
Δομή: αλυσίδες και δράσεις
- Μια αλυσίδα: είναι μια ομαδοποίηση κανόνων που βασίζεται στα ίδια κριτήρια. Υπάρχουν τρεις προεπιλεγμένες αλυσίδες που βασίζονται σε προκαθορισμένα κριτήρια.
- είσοδος: Η κίνηση που πηγαίνει στο δρομολογητή
- προς τα εμπρός: Η κίνηση που διέρχεται από το δρομολογητή
- έξοδος: Η κίνηση προέρχεται από το δρομολογητή
- Για παράδειγμα, μπορείτε να εφαρμόσετε μια αλυσίδα που έχει περάσει σε:
- Βάσει κριτηρίων: όλη η κίνηση icmp.
- Με βάση την κίνηση που προέρχεται από θύρες Ethernet, για παράδειγμα: Ether2 προς ένα απομακρυσμένο LAN ή ένα δίκτυο γέφυρας.
- Οι χρήστες ορίζουν τις αλυσίδες και αυτές δημιουργούνται ανάλογα με τις παραμέτρους που μπορούν να συγκριθούν και, αν θέλουν, μπορούν να εκτελέσουν ένα "άλμα" έτσι ώστε μόλις επιβεβαιωθεί η αντιστοίχιση, να γίνει ένα άλμα σε έναν άλλο κανόνα στο τείχος προστασίας, Αυτό ορίζεται στο "jump target"
- Μια ενέργεια υπαγορεύει τι θα κάνει το φίλτρο ή ο κανόνας όταν τα πακέτα πληρούν όλες τις προϋποθέσεις για φιλτράρισμα.
- Τα πακέτα ελέγχονται διαδοχικά σε σχέση με τους υπάρχοντες κανόνες στην τρέχουσα αλυσίδα τείχους προστασίας μέχρι να συμβεί μια αντιστοίχιση. (Όταν έχετε το # σημαίνει ότι θα σέβεται μια σειρά: το πρώτο εάν ταιριάζουν, εφαρμόζεται η ενέργεια και από εκεί θα πάει στο επόμενο εάν αυτή η επιλογή είναι ενεργοποιημένη, διαφορετικά η ανάλυση θα τελειώσει εκεί)
Φιλτράρισμα τείχους προστασίας σε δράση
Μπορείτε να επωφεληθείτε από την ασφάλεια ενός τείχους προστασίας με διάφορους τρόπους, όπως:
- Εμπιστευτείτε την ασφάλεια του LAN μας, αφού αυτό που προέρχεται από το WAN είναι ανασφαλές.
- Μπλοκάρουμε τους πάντες και επιτρέπουμε μόνο ό,τι συμφωνούμε.
- Θα επιτρέψουμε τα πάντα και θα μπλοκάρουμε μόνο ό,τι προκαλεί προβλήματα.
Βασικές συμβουλές και κόλπα
- Πριν κάνουμε αλλαγές στο τείχος προστασίας, ας μπούμε στην "ασφαλή λειτουργία"
- Αφού κάνετε διαμορφώσεις και αλλαγές στους κανόνες του τείχους προστασίας, συνιστάται να κάνετε δοκιμή για αδυναμίες: ένα προτεινόμενο εργαλείο: ShieldsUP
- Πριν ξεκινήσετε, συνιστάται να γράψετε σε απλό κείμενο ή σε χαρτί μια απλή περιγραφή των πολιτικών που θέλετε να εφαρμόσετε.
- Μόλις τα κατανοήσετε και συμφωνήσετε μαζί τους, προχωράτε στη σύνδεση στο δρομολογητή.
- Προσθέστε τους ακόλουθους κανόνες σταδιακά, αφού είστε ικανοποιημένοι με τους βασικούς κανόνες που έχετε εισαγάγει.
- Εάν είστε νέος στον τομέα της ασφάλειας, καλό είναι να μην εισάγετε κανόνες που δείχνουν προς όλες τις κατευθύνσεις, αρκεί να κάνετε τα βασικά, αλλά πρέπει να το κάνετε καλά.
- Είναι μια καλή ιδέα να τελειώσετε τις αλυσίδες σας με κανόνες που δεν καλύπτουν όλα και να δείτε τι μπορεί να χάσατε.
- Θα χρειαστείτε δύο κανόνες catch-all, ένα αρχείο καταγραφής και ένα drop για όλη την κίνηση χωρίς προηγούμενο. Και τα δύο πρέπει να βασίζονται στις ίδιες συγκριτικές παραμέτρους για να είναι χρήσιμο σε εσάς.
- Μόλις δείτε τι είναι αυτό που κάνει τους κανόνες catch-all, μπορείτε να προσθέσετε νέους κανόνες με βάση τη συμπεριφορά που επιθυμεί το τείχος προστασίας.
Φιλτράρισμα κατά παραμέτρους (Ενέργειες φίλτρου)
Πριν αποφασίσετε να προβείτε σε ενέργειες στο τείχος προστασίας, πρέπει πρώτα να το προσδιορίσετε. Έχουμε πολλές παραμέτρους με τις οποίες μπορούμε να συγκρίνουμε.
Μόλις γίνει η αντιστοίχιση με όλες τις παραμέτρους ενός κανόνα και ταιριάζουν, τότε θα εκτελεστεί μια ενέργεια. Το τείχος προστασίας MikroTik έχει τις ακόλουθες 10 ενέργειες:
- δέχομαι: Αποδεχτείτε το πακέτο. Το πακέτο δεν θα μεταβιβαζόταν πλέον στον επόμενο κανόνα του τείχους προστασίας.
- add-dst-to-address-list: διεύθυνση προορισμού, μετά την αντιστοίχιση του πακέτου πηγαίνει στον επόμενο κανόνα.
- add-src-to-address-list: διεύθυνση πηγής. Μετά την αντιστοίχιση, το πακέτο πηγαίνει στον επόμενο κανόνα.
- πτώση: το πακέτο απορρίπτεται. Μετά την αντιστοίχιση, το πακέτο πηγαίνει στον επόμενο κανόνα.
- άλμα: το άλμα ορίζεται από τον χρήστη και χρησιμοποιείται για μετάβαση σε έναν συγκεκριμένο κανόνα, που ορίζεται από τον στόχο άλματος. Μετά την αντιστοίχιση, το πακέτο πηγαίνει στον επόμενο κανόνα που ορίζεται στο jump-target.
- κούτσουρο: Προσθέτει ένα μήνυμα στα αρχεία καταγραφής με τις ακόλουθες πληροφορίες: in-interface, out-interface, src-mac, protocol, src-ip:port->dst-ip:port και μήκος του πακέτου. Μετά την αντιστοίχιση, το πακέτο πηγαίνει στον επόμενο κανόνα.
- διέλευση- Εάν είναι ενεργοποιημένη αυτή η επιλογή, θα ενεργοποιήσει την επιλογή να αγνοήσετε τον κανόνα αφαίρεσης και να μετακινηθείτε στον επόμενο (πολύ χρήσιμο για στατιστικά στοιχεία δικτύου).
- απορρίπτω- Απορρίπτει τα πακέτα icmp και στέλνει ένα μήνυμα που ορίζεται από το χρήστη ότι το πακέτο δεν μεταβιβάζεται στον επόμενο κανόνα.
- απόδοση- Περνάει πάλι τον έλεγχο του φίλτρου, από όπου προήλθε το προηγούμενο φίλτρο. Μετά την αντιστοίχιση, το πακέτο πηγαίνει στον επόμενο κανόνα (μόνο εάν ο προηγούμενος κανόνας δεν προκαλεί την απόρριψη του πακέτου και τη διακοπή της αντιστοίχισης).
- tarpit- Καταγράφει και διατηρεί πακέτα TCP (αντίγραφα με SYN/ACK για εισερχόμενα πακέτα TCP SYN). Μετά την αντιστοίχιση, το πακέτο πηγαίνει στον επόμενο κανόνα.
Προστασία του δρομολογητή σας (είσοδος)
- El αλυσίδα=εισαγωγή αναλύει όλη την εισερχόμενη κίνηση στο δρομολογητή.
- Κατά την εφαρμογή ενός κανόνα γhain=εισαγωγή, ελέγχεται η εισαγωγή πληροφοριών στο δρομολογητή
Η MikroTik δίνει τις ακόλουθες προτάσεις για την εισαγωγή
Υποθέτοντας ότι η διεπαφή ether1 είναι συνδεδεμένη σε ένα μη ασφαλές WAN.
- Αποδοχή επισκεψιμότητας από το icmp-echo-reply (αν θέλετε να έχετε ένα αντίγραφο ping μέσω του Διαδικτύου, αυτό είναι χρήσιμο όταν διαχειριζόμαστε διακομιστές)
- Απόρριψη όλης της κυκλοφορίας αιτήματος icmp-echo (Όταν δεν θέλουμε άλλη συσκευή να μας κάνει ping. Με αυτό αποφεύγουμε να στοχοποιούμαστε από επιθέσεις όπως επιθέσεις στρουμφ ή άλλες)
- Αποδεχτείτε όλη την καθιερωμένη και σχετική εισερχόμενη κίνηση.
- Απόρριψη όλης της μη έγκυρης κυκλοφορίας.
- Καταγραφή όλης της άλλης κίνησης
- Απορρίψτε όλη την άλλη κίνηση.
Προστασία όλων των πελατών (προώθηση)
Η κίνηση προς τα εμπρός είναι η κίνηση που διέρχεται από το δρομολογητή.
Η MikroTik δίνει τις παρακάτω προτάσεις για το Forward
Υποθέτοντας ότι η διεπαφή ether1 είναι συνδεδεμένη σε ένα μη ασφαλές WAN.
- Αποδεχτείτε όλη την καθιερωμένη και σχετική κίνηση προς τα εμπρός.
- Απόρριψη όλης της μη έγκυρης κυκλοφορίας.
- Καταγραφή όλης της άλλης κίνησης (για να επαληθεύσετε εάν έχουν αποκλειστεί σημαντικά πακέτα)
- Απορρίψτε όλη την άλλη κίνηση.
- Μοιραστείτε αυτό το άρθρο
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
Άλλα έγγραφα αυτής της κατηγορίας
Εκμάθηση διαθέσιμα στα MikroLABs
Δεν βρέθηκαν μαθήματα!
9.99 δολάρια αμερικής
11.99 δολάρια αμερικής
7.99 δολάρια αμερικής
12.99 δολάρια αμερικής
11.99 δολάρια αμερικής
9.99 δολάρια αμερικής
