L'opzione firewall “raw” in MikroTik RouterOS è un potente strumento per mitigare gli attacchi, compresi quelli basati su ICMP (Internet Control Message Protocol).

Il firewall grezzo funziona in una fase molto precoce dell'elaborazione dei pacchetti, consentendogli di gestire in modo efficace i pacchetti indesiderati prima che consumino risorse di sistema oltre l'elaborazione di base.

Per mitigare gli attacchi ICMP, come il ping Flood (un tipo di attacco DDoS in cui l'aggressore inonda la vittima con pacchetti ICMP per esaurirne le risorse), puoi utilizzare le regole nella tabella raw per scartare o limitare questo traffico.

Questo perché le regole in questa tabella vengono elaborate prima di quelle nelle tabelle filter e nat, consentendo un intervento tempestivo e riducendo al minimo l'impatto sulle prestazioni del router.

Configurazione delle regole nel firewall Raw per mitigare gli attacchi ICMP

Ecco un esempio di come configurare una regola nel firewall raw per limitare i pacchetti ICMP:

1. Accedi al tuo router MikroTik tramite Winbox, WebFig o SSH.
2. Vai alla sezione Firewall “grezzo”.:
   • In Winbox o WebFig: vai a IP > Firewall e poi alla scheda Raw.
   • Dalla riga di comando: utilizzare il comando /ip firewall raw.
3. Aggiungi una regola per limitare il traffico ICMP:
   • Per Winbox o WebFig: fare clic su + per aggiungere una nuova regola. Nella scheda General, Scegli icmp nel campo Protocol. Nella scheda Action, scegli drop o limit come azione e configurare i parametri in base alle proprie esigenze.
   • Dalla riga di comando: utilizzare un comando simile a /ip firewall raw add action=drop chain=prerouting protocol=icmp icmp-options=8:0 limit=10,20:packet.

Questo esempio dice sostanzialmente: "Scarta i pacchetti ICMP di tipo 8 (echo request) che superano il limite di 10 pacchetti al secondo con un burst di 20 pacchetti." Regola il limite e il burst in base al traffico normale previsto e alla capacità della tua rete.

Considerazioni

• Precisione: assicurati di configurare le regole in modo preciso per evitare di bloccare il traffico ICMP legittimo, utile per la diagnostica di rete e il controllo del flusso.
• Monitoraggio: Si consiglia di monitorare regolarmente il traffico ICMP per adeguare le regole in base al comportamento osservato ed evitare falsi positivi.
• complementarità: sebbene il firewall grezzo sia efficace nel mitigare gli attacchi, valuta la possibilità di utilizzarlo insieme ad altre misure di sicurezza, come le regole firewall nella tabella dei filtri, per una protezione completa.

L'uso del firewall grezzo può essere una misura efficace per mitigare gli attacchi ICMP, ma deve essere parte di un approccio strategico più ampio alla sicurezza della rete.