מבנה: שלשלאות ופעולות
- שרשרת: היא קיבוץ של כללים המבוססים על אותם קריטריונים. ישנן שלוש רשתות ברירת מחדל המבוססות על קריטריונים מוגדרים מראש.
- קלט: התנועה שעוברת לנתב
- קדימה: התנועה שעוברת דרך הנתב
- פלט: תנועה מגיעה מהנתב
- לדוגמה, אתה יכול ליישם שרשרת שהועברה ב:
- מבוסס על קריטריונים: כל תעבורת icmp.
- בהתבסס על תעבורה שמגיעה מיציאות Ethernet, לדוגמה: Ether2 לכיוון רשת LAN מרוחקת או רשת גשר.
- המשתמשים מגדירים את השרשראות, ואלו נוצרות בהתאם לפרמטרים שניתן להשוות, ואם ירצו יוכלו לבצע "קפיצה" כך שלאחר אישור ההתאמה, תתבצע קפיצה לכלל אחר בחומת האש, זה מוגדר ב"מטרת קפיצה"
- פעולה מכתיבה מה המסנן או הכלל יעשו כאשר מנות עומדות בכל התנאים לסינון.
- מנות נבדקות ברצף מול כללים קיימים בשרשרת חומת האש הנוכחית עד שמתרחשת התאמה. (כשיש לך את ה-# זה אומר שהוא יכבד פקודה: הראשונה אם היא תואמת, הפעולה מופעלת, ומשם היא תעבור לשנייה אם האפשרות הזו מופעלת, אחרת הניתוח יסתיים שם)
סינון חומת אש בפעולה
אתה יכול לנצל את האבטחה של חומת אש בדרכים שונות כגון:
- סמוך על האבטחה של ה-LAN שלנו, מכיוון שמה שמגיע מה-WAN אינו מאובטח.
- אנחנו חוסמים את כולם ומאפשרים רק את מה שאנחנו מסכימים עליו.
- נאפשר הכל ונחסום רק את מה שגורם לבעיות.
טיפים וטריקים בסיסיים
- לפני ביצוע שינויים בחומת האש, בוא ניכנס ל"מצב בטוח"
- לאחר ביצוע הגדרות ושינויים בכללי חומת האש, מומלץ לבדוק חולשות: כלי מומלץ: ShieldsUP
- לפני שמתחילים, מומלץ לכתוב בטקסט רגיל או על נייר תיאור פשוט של הפוליסות שברצונכם ליישם.
- ברגע שאתה מבין אותם ומסכים איתם, אתה ממשיך להתחבר לנתב.
- הוסף את הכללים הבאים בהדרגה, ברגע שאתה מרוצה מהכללים הבסיסיים שהוזנו.
- אם אתם חדשים בתחום האבטחה, רצוי לא להיכנס לכללים שמצביעים לכל הכיוונים, מספיק לעשות את הבסיס אבל צריך לעשות את זה טוב.
- זה רעיון טוב לסיים את השרשראות שלך עם חוקים תופסים ולראות מה אולי פספסת.
- תזדקק לשני כללים מציינים, יומן אחד וירידה אחת לכל תנועה חסרת תקדים. שניהם צריכים להיות מבוססים על אותם פרמטרים השוואה כדי שזה יהיה שימושי עבורך.
- לאחר שתראה מה נכנס לכללי ה-catch-all, תוכל להוסיף כללים חדשים על סמך ההתנהגות הרצויה על ידי חומת האש.
סינון לפי פרמטרים (פעולות סינון)
לפני שתחליט לנקוט בפעולה על חומת האש, תחילה עליך לזהות אותה. יש לנו הרבה פרמטרים שלפיהם אנחנו יכולים להשוות.
לאחר ביצוע ההתאמה עם כל הפרמטרים של כלל, והם תואמים, תבוצע פעולה. לחומת האש של MikroTik יש את 10 הפעולות הבאות:
- לקבל: קבל את החבילה. החבילה לא תועבר יותר לכלל חומת האש הבא.
- add-dst-to-address-list: כתובת יעד, לאחר התאמה החבילה עוברת לכלל הבא.
- add-src-to-address-list: כתובת המקור. לאחר ההתאמה החבילה עוברת לכלל הבא.
- ירידה: החבילה נמחקת. לאחר ההתאמה החבילה עוברת לכלל הבא.
- לקפוץ: קפיצה מוגדרת על ידי המשתמש ומשמשת לקפיצה לכלל ספציפי, המוגדר על ידי יעד הקפיצה. לאחר ההתאמה החבילה עוברת לכלל הבא שהוגדר ב-jump-target.
- היכנס: מוסיף הודעה ללוגים עם המידע הבא: in-interface, out-interface, src-mac, protocol, src-ip:port->dst-ip:port ואורך החבילה. לאחר ההתאמה החבילה עוברת לכלל הבא.
- תמסורת- אם אפשרות זו מסומנת, היא תאפשר את האפשרות להתעלם מכלל חיסור ולעבור לשלב הבא (שימושי מאוד עבור סטטיסטיקות רשת).
- לדחות- מבטל את מנות ה-icmp ושולח הודעה המוגדרת על ידי משתמש החבילה לא מועברת לכלל הבא.
- לַחֲזוֹר- עובר שוב את השליטה על המסנן, מהיכן שמקורו של המסנן הקודם. לאחר ההתאמה החבילה עוברת לכלל הבא (רק אם הכלל הקודם לא גורם למחיקה של החבילה ולהפסיק את ההתאמה).
- יריעה- לוכד ושומר מנות TCP (עותקים עם SYN/ACK עבור מנות TCP SYN נכנסות). לאחר ההתאמה החבילה עוברת לכלל הבא.
הגנה על הנתב שלך (קלט)
- El שרשרת=קלט מנתח את כל התעבורה הנכנסת לנתב.
- בעת יישום כלל גhain=קלט, כניסת המידע לנתב נשלטת
MikroTik נותן את ההצעות הבאות לקלט
בהנחה שממשק ether1 מחובר ל-WAN לא מאובטח.
- קבל תעבורה מ-icmp-echo-reply (אם ברצונך לקבל עותק פינג דרך האינטרנט, זה שימושי כאשר אנו מנהלים שרתים)
- הסר את כל תעבורת icmp-echo-request (כאשר איננו רוצים שמכשיר אחר יפנה אלינו. בכך אנו נמנעים מלהיות ממוקדים בהתקפות כגון התקפות דרדסים או אחרות)
- קבל את כל התנועה הנכנסת המבוססת והקשורה.
- שחרר את כל התעבורה הלא חוקית.
- רשום את כל התעבורה האחרת
- הסר את כל התנועה האחרת.
הגנה על כל הלקוחות (קדימה)
תנועה קדימה היא התנועה שעוברת דרך הנתב.
MikroTik נותן את ההצעות הבאות עבור ה-Forward
בהנחה שממשק ether1 מחובר ל-WAN לא מאובטח.
- קבל את כל התנועה הקדמית המבוססת והקשורה.
- שחרר את כל התעבורה הלא חוקית.
- רישום כל תנועה אחרת (כדי לוודא אם מנות חשובות כלשהן נחסמו)
- הסר את כל התנועה האחרת.