Configurer correctement le pare-feu sur un routeur MikroTik est essentiel pour protéger votre réseau contre les accès non autorisés et d'autres types de menaces de sécurité. Bien que des règles spécifiques puissent varier en fonction des besoins et de la configuration de chaque réseau, certaines règles et principes généraux sont recommandés pour la plupart des environnements.
Vous trouverez ci-dessous quelques règles et bonnes pratiques pour le filtre de pare-feu, le NAT et d'autres sections de configuration pertinentes dans MikroTik RouterOS.
Pare-feuFiltre
Le but du filtre pare-feu est de contrôler le trafic qui passe par le routeur, vous permettant de bloquer ou d'autoriser le trafic en fonction de certains critères.
- Bloquez l'accès non autorisé au routeur :
Assurez-vous de restreindre l'accès au routeur depuis l'extérieur de votre réseau local. Cela se fait généralement en bloquant les ports de gestion, tels que 22 (SSH), 23 (Telnet), 80 (HTTP), 443 (HTTPS) et 8291 (Winbox).
/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"
2. Protégez-vous contre les attaques courantes :
Implémentez des règles pour protéger votre réseau contre les attaques courantes, telles que l'inondation SYN, l'inondation ICMP et l'analyse des ports.
SYN Flood Attack
/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"
Attaque d'inondation ICMP
/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"
3. Autoriser le trafic nécessaire :
Configurez des règles pour autoriser le trafic légitime nécessaire à votre réseau. Cela inclut le trafic interne et le trafic vers et depuis Internet en fonction de vos besoins spécifiques.
En supposant que vous souhaitiez autoriser l'accès SSH uniquement à partir de votre réseau local :
/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"
4. Supprimez tout le reste :
Par mesure de sécurité, tout trafic qui n'a pas été explicitement autorisé auparavant doit être bloqué. Cela se fait généralement à la fin des règles de filtrage de votre pare-feu avec une règle qui rejette ou supprime tout autre trafic.
Cette règle doit être placée à la fin de vos règles de filtrage pour servir de politique de refus par défaut.
/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"
NAT (traduction d'adresse réseau)
NAT est couramment utilisé pour traduire les adresses IP privées de votre réseau local en une adresse IP publique pour l'accès à Internet.
- Mascarade:
- Utilisez l'action
masquerade
dans la chaînesrcnat
pour permettre à plusieurs appareils de votre réseau local de partager une adresse IP publique pour accéder à Internet. Ceci est essentiel pour les réseaux qui accèdent à Internet via une connexion haut débit avec une seule adresse IP publique.
- Utilisez l'action
- DNAT pour les services internes:
- Si vous devez accéder aux services internes depuis l'extérieur de votre réseau, vous pouvez utiliser Destination NAT (DNAT) pour rediriger le trafic entrant vers les IP privées correspondantes. Assurez-vous de ne faire cela que pour les services nécessaires et tenez compte des implications en matière de sécurité.
Autres considérations de sécurité
- Mises à jour de logiciel:
- Gardez votre routeur MikroTik à jour avec la dernière version de RouterOS et du micrologiciel pour vous protéger contre les vulnérabilités connues.
- Sécurité de couche 7:
- Pour le trafic spécifique à une application, vous pouvez configurer des règles de couche 7 pour bloquer ou autoriser le trafic en fonction des modèles présents dans les paquets de données.
- Limitation de la plage d’adresses IP:
- Restreint l'accès à certains services de routeur à des plages d'adresses IP spécifiques uniquement, réduisant ainsi le risque d'accès non autorisé.
N'oubliez pas qu'il ne s'agit que de lignes directrices générales. La configuration spécifique de votre pare-feu doit être basée sur une évaluation détaillée de vos besoins en matière de sécurité, de vos politiques réseau et de vos considérations en matière de performances. De plus, il est conseillé d’effectuer régulièrement des tests de sécurité du réseau pour identifier et atténuer les vulnérabilités potentielles.
Il n'y a aucun tag pour ce message.
2 commentaires sur « Quelles sont les règles que chaque routeur MikroTik devrait avoir, en termes de filtre pare-feu, nat, etc ? »
Les informations dans cette section sont très pauvres, je pensais obtenir des informations très détaillées mais bon, il n'y a pratiquement rien pour continuer à chercher sur Internet.
José, votre commentaire est très précis, j'ai donc procédé à l'élargissement et à la mise à jour de la documentation.
J'apprécie beaucoup vos commentaires et j'espère qu'ils dissipent désormais vos doutes.