मिक्रोटिक राउटरओएस में "कच्चा" फ़ायरवॉल विकल्प हमलों को कम करने के लिए एक शक्तिशाली उपकरण है, जिसमें आईसीएमपी (इंटरनेट कंट्रोल मैसेज प्रोटोकॉल) पर आधारित हमले भी शामिल हैं।
कच्चा फ़ायरवॉल पैकेट प्रसंस्करण के बहुत प्रारंभिक चरण में काम करता है, जिससे यह बुनियादी प्रसंस्करण से परे सिस्टम संसाधनों का उपभोग करने से पहले अवांछित पैकेट से प्रभावी ढंग से निपटने की अनुमति देता है।
ICMP हमलों को कम करने के लिए, जैसे कि पिंग फ्लड (एक प्रकार का DDoS हमला जहां हमलावर अपने संसाधनों को समाप्त करने के लिए पीड़ित को ICMP पैकेट से भर देता है), आप इस ट्रैफ़िक को त्यागने या सीमित करने के लिए रॉ टेबल में नियमों का उपयोग कर सकते हैं।
ऐसा इसलिए है क्योंकि इस तालिका के नियमों को फ़िल्टर और नेट तालिकाओं से पहले संसाधित किया जाता है, जिससे शीघ्र हस्तक्षेप की अनुमति मिलती है और राउटर के प्रदर्शन पर प्रभाव कम हो जाता है।
ICMP हमलों को कम करने के लिए रॉ फ़ायरवॉल में नियमों को कॉन्फ़िगर करना
ICMP पैकेट को सीमित करने के लिए कच्चे फ़ायरवॉल में नियम को कैसे कॉन्फ़िगर करें इसका एक उदाहरण यहां दिया गया है:
- अपने मिक्रोटिक राउटर तक पहुंचें विनबॉक्स, वेबफ़िग, या एसएसएच के माध्यम से।
- "कच्चे" फ़ायरवॉल अनुभाग पर जाएँ:
- विनबॉक्स या वेबफ़िग में: पर जाएँ
IP
>Firewall
और फिर टैब परRaw
. - कमांड लाइन पर: कमांड का उपयोग करें
/ip firewall raw
.
- विनबॉक्स या वेबफ़िग में: पर जाएँ
- ICMP ट्रैफ़िक को सीमित करने के लिए एक नियम जोड़ें:
- विनबॉक्स या वेबफ़िग के लिए: क्लिक करें
+
एक नया नियम जोड़ने के लिए. टैब मेंGeneral
, चुनेंicmp
मैदान मेंProtocol
। टैब परAction
चुननाdrop
olimit
एक क्रिया के रूप में और अपनी आवश्यकताओं के अनुसार मापदंडों को कॉन्फ़िगर करें। - कमांड लाइन पर: के समान एक कमांड का उपयोग करें
/ip firewall raw add action=drop chain=prerouting protocol=icmp icmp-options=8:0 limit=10,20:packet
.
- विनबॉक्स या वेबफ़िग के लिए: क्लिक करें
यह उदाहरण मूल रूप से कहता है: "8 पैकेट के विस्फोट के साथ प्रति सेकंड 10 पैकेट की सीमा से अधिक होने वाले ICMP प्रकार 20 (इको अनुरोध) पैकेट को त्यागें।" अपेक्षित सामान्य ट्रैफ़िक और अपनी नेटवर्क क्षमता के आधार पर सीमा और बर्स्ट को समायोजित करें।
संबंधी
- शुद्धता: सुनिश्चित करें कि आपने वैध ICMP ट्रैफ़िक को अवरुद्ध करने से बचने के लिए नियमों को सटीक रूप से कॉन्फ़िगर किया है, जो नेटवर्क डायग्नोस्टिक्स और प्रवाह नियंत्रण के लिए उपयोगी है।
- निगरानी: देखे गए व्यवहार के आधार पर नियमों को समायोजित करने और झूठी सकारात्मकता से बचने के लिए नियमित रूप से ICMP ट्रैफ़िक की निगरानी करने की सलाह दी जाती है।
- संपूरकता: यद्यपि कच्चा फ़ायरवॉल हमलों को कम करने में प्रभावी है, पूर्ण सुरक्षा के लिए इसे अन्य सुरक्षा उपायों, जैसे फ़िल्टर तालिका में फ़ायरवॉल नियमों के साथ संयोजन में उपयोग करने पर विचार करें।
आईसीएमपी हमलों को कम करने के लिए कच्चे फ़ायरवॉल का उपयोग एक प्रभावी उपाय हो सकता है, लेकिन यह नेटवर्क सुरक्षा के लिए व्यापक, रणनीतिक दृष्टिकोण का हिस्सा होना चाहिए।
इस पोस्ट के लिए कोई टैग नहीं हैं.