Configurare correttamente il firewall su un router MikroTik è essenziale per proteggere la tua rete da accessi non autorizzati e altri tipi di minacce alla sicurezza. Sebbene le regole specifiche possano variare a seconda delle esigenze e della configurazione di ciascuna rete, esistono alcune regole e principi generali consigliati per la maggior parte degli ambienti.
Di seguito sono riportate alcune regole e best practice per il filtro firewall, NAT e altre sezioni di configurazione rilevanti in MikroTik RouterOS.
Filtro Firewall
Lo scopo del filtro firewall è controllare il traffico che passa attraverso il router, permettendo di bloccare o consentire il traffico in base a determinati criteri.
- Blocca l'accesso non autorizzato al router:
Assicurati di limitare l'accesso al router dall'esterno della rete locale. Questa operazione viene in genere eseguita bloccando le porte di gestione, ad esempio 22 (SSH), 23 (Telnet), 80 (HTTP), 443 (HTTPS) e 8291 (Winbox).
/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"
2. Protezione dagli attacchi comuni:
Implementa regole per proteggere la tua rete da attacchi comuni, come SYN Flood, ICMP Flood e scansione delle porte.
SYN Attacco alluvione
/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"
Attacco alluvione ICMP
/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"
3. Consenti il traffico necessario:
Configura le regole per consentire il traffico legittimo necessario per la tua rete. Ciò include il traffico interno e il traffico da e verso Internet in base alle tue esigenze specifiche.
Supponendo che tu voglia consentire l'accesso SSH solo dalla tua rete locale:
/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"
4. Lascia perdere tutto il resto:
Come pratica di sicurezza, tutto il traffico che non è stato esplicitamente consentito in precedenza dovrebbe essere bloccato. Questa operazione viene in genere eseguita alla fine delle regole di filtro del firewall con una regola che rifiuta o elimina tutto il resto del traffico.
Questa regola dovrebbe essere posizionata alla fine delle regole di filtro per fungere da politica di rifiuto predefinita.
/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"
NAT (traduzione dell'indirizzo di rete)
NAT viene comunemente utilizzato per convertire gli indirizzi IP privati sulla rete locale in un indirizzo IP pubblico per l'accesso a Internet.
- Mascherata:
- Usa l'azione
masquerade
nella catenasrcnat
per consentire a più dispositivi sulla rete locale di condividere un indirizzo IP pubblico per l'accesso a Internet. Ciò è essenziale per le reti che accedono a Internet tramite una connessione a banda larga con un unico IP pubblico.
- Usa l'azione
- DNAT per i servizi interni:
- Se devi accedere ai servizi interni dall'esterno della tua rete, puoi utilizzare Destination NAT (DNAT) per reindirizzare il traffico in entrata agli IP privati corrispondenti. Assicurati di farlo solo per i servizi necessari e considera le implicazioni sulla sicurezza.
Altre considerazioni sulla sicurezza
- Aggiornamenti software:
- Mantieni aggiornato il tuo router MikroTik con l'ultima versione di RouterOS e firmware per proteggerlo dalle vulnerabilità note.
- Sicurezza di livello 7:
- Per il traffico specifico dell'applicazione, puoi configurare le regole di livello 7 per bloccare o consentire il traffico in base ai modelli nei pacchetti di dati.
- Limitazione dell'intervallo di indirizzi IP:
- Limita l'accesso a determinati servizi del router solo a intervalli di indirizzi IP specifici, riducendo così il rischio di accesso non autorizzato.
Ricorda che queste sono solo linee guida generali. La configurazione specifica del firewall dovrebbe essere basata su una valutazione dettagliata delle esigenze di sicurezza, delle policy di rete e di considerazioni sulle prestazioni. Inoltre, è consigliabile eseguire regolarmente test di sicurezza della rete per identificare e mitigare potenziali vulnerabilità.
Non ci sono tag per questo post.
2 commenti su “Quali sono le regole che ogni router MikroTik dovrebbe avere, nel filtro firewall, nat, ecc?”
Le informazioni in questa sezione sono molto scarse, pensavo di ottenere informazioni molto dettagliate ma beh non c'è praticamente nulla per continuare a cercare su Internet
José, il tuo commento è molto accurato, quindi ho provveduto ad espandere e aggiornare la documentazione.
Apprezzo molto il tuo feedback e spero che ora chiarisca i tuoi dubbi.