Η σωστή διαμόρφωση του τείχους προστασίας σε έναν δρομολογητή MikroTik είναι απαραίτητη για την προστασία του δικτύου σας από μη εξουσιοδοτημένη πρόσβαση και άλλους τύπους απειλών ασφαλείας. Αν και οι συγκεκριμένοι κανόνες μπορεί να διαφέρουν ανάλογα με τις ανάγκες και τη διαμόρφωση κάθε δικτύου, υπάρχουν ορισμένοι γενικοί κανόνες και αρχές που συνιστώνται για τα περισσότερα περιβάλλοντα.

Ακολουθούν ορισμένοι από τους κανόνες και τις βέλτιστες πρακτικές για το φίλτρο τείχους προστασίας, το NAT και άλλες σχετικές ενότητες διαμόρφωσης στο MikroTik RouterOS.

FirewallFilter

Ο σκοπός του φίλτρου τείχους προστασίας είναι να ελέγχει την κίνηση που διέρχεται από το δρομολογητή, επιτρέποντάς σας να αποκλείσετε ή να επιτρέψετε την κυκλοφορία με βάση ορισμένα κριτήρια.

1. Αποκλεισμός μη εξουσιοδοτημένης πρόσβασης στο δρομολογητή:

Φροντίστε να περιορίσετε την πρόσβαση στο δρομολογητή εκτός του τοπικού σας δικτύου. Αυτό γίνεται συνήθως αποκλείοντας θύρες διαχείρισης, όπως 22 (SSH), 23 (Telnet), 80 (HTTP), 443 (HTTPS) και 8291 (Winbox).

/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"

2. Προστασία από κοινές επιθέσεις:

Εφαρμόστε κανόνες για την προστασία του δικτύου σας από κοινές επιθέσεις, όπως πλημμύρα SYN, πλημμύρα ICMP και σάρωση θυρών.

SYN Flood Attack

/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"

ICMP Flood Attack

/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"

3. Να επιτρέπεται η απαραίτητη κίνηση:

Διαμορφώστε κανόνες για να επιτρέπεται η νόμιμη κίνηση που είναι απαραίτητη για το δίκτυό σας. Αυτό περιλαμβάνει την εσωτερική κίνηση και κίνηση από και προς το Διαδίκτυο με βάση τις συγκεκριμένες ανάγκες σας.

Υποθέτοντας ότι θέλετε να επιτρέψετε την πρόσβαση SSH μόνο από το τοπικό σας δίκτυο:

/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"

4. Ρίξτε όλα τα άλλα:

Ως πρακτική ασφαλείας, οποιαδήποτε κίνηση που δεν έχει επιτραπεί ρητά στο παρελθόν θα πρέπει να αποκλειστεί. Αυτό γίνεται συνήθως στο τέλος των κανόνων φίλτρου τείχους προστασίας με έναν κανόνα που απορρίπτει ή απορρίπτει όλη την άλλη επισκεψιμότητα.

Αυτός ο κανόνας θα πρέπει να τοποθετηθεί στο τέλος των κανόνων φίλτρου για να λειτουργεί ως προεπιλεγμένη πολιτική άρνησης.

/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"

NAT (Μετάφραση διεύθυνσης δικτύου)

Το NAT χρησιμοποιείται συνήθως για τη μετάφραση ιδιωτικών διευθύνσεων IP στο τοπικό σας δίκτυο σε δημόσια διεύθυνση IP για πρόσβαση στο Διαδίκτυο.

1. μεταμφίεση:
   • Χρησιμοποιήστε τη δράση masquerade στην αλυσίδα srcnat για να επιτρέψετε σε πολλές συσκευές στο τοπικό σας δίκτυο να μοιράζονται μια δημόσια διεύθυνση IP για πρόσβαση στο Διαδίκτυο. Αυτό είναι απαραίτητο για δίκτυα που έχουν πρόσβαση στο Διαδίκτυο μέσω ευρυζωνικής σύνδεσης με μία μόνο δημόσια IP.
2. DNAT για εσωτερικές υπηρεσίες:
   • Εάν χρειάζεται να αποκτήσετε πρόσβαση σε εσωτερικές υπηρεσίες εκτός του δικτύου σας, μπορείτε να χρησιμοποιήσετε το Destination NAT (DNAT) για να ανακατευθύνετε την εισερχόμενη κίνηση στις αντίστοιχες ιδιωτικές IP. Βεβαιωθείτε ότι το κάνετε μόνο για τις απαραίτητες υπηρεσίες και λάβετε υπόψη τις επιπτώσεις στην ασφάλεια.

Άλλα ζητήματα ασφάλειας

1. Ενημερώσεις λογισμικού:
   • Διατηρήστε τον δρομολογητή MikroTik ενημερωμένο με την πιο πρόσφατη έκδοση του RouterOS και το υλικολογισμικό για προστασία από γνωστά τρωτά σημεία.
2. Ασφάλεια επιπέδου 7:
   • Για επισκεψιμότητα για συγκεκριμένη εφαρμογή, μπορείτε να διαμορφώσετε κανόνες επιπέδου 7 ώστε να αποκλείουν ή να επιτρέπουν την κυκλοφορία βάσει μοτίβων σε πακέτα δεδομένων.
3. Περιορισμός εύρους διεύθυνσης IP:
   • Περιορίζει την πρόσβαση σε ορισμένες υπηρεσίες δρομολογητή μόνο σε συγκεκριμένες περιοχές διευθύνσεων IP, μειώνοντας έτσι τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης.

Να θυμάστε ότι αυτές είναι μόνο γενικές οδηγίες. Η συγκεκριμένη διαμόρφωση του τείχους προστασίας σας θα πρέπει να βασίζεται σε μια λεπτομερή αξιολόγηση των αναγκών ασφαλείας, των πολιτικών δικτύου και των εκτιμήσεων απόδοσης. Επιπλέον, συνιστάται να εκτελείτε τακτικά δοκιμές ασφάλειας δικτύου για τον εντοπισμό και τον μετριασμό πιθανών τρωτών σημείων.