אפשרות חומת האש ה"גולמית" ב-MikroTik RouterOS היא כלי רב עוצמה לצמצום התקפות, כולל אלו המבוססות על ICMP (Internet Control Message Protocol).
חומת האש הגולמית פועלת בשלב מוקדם מאוד של עיבוד מנות, ומאפשרת לה להתמודד ביעילות עם מנות לא רצויות לפני שהן צורכות משאבי מערכת מעבר לעיבוד בסיסי.
כדי למתן את התקפות ICMP, כגון ping flood (סוג של מתקפת DDoS שבה התוקף מציף את הקורבן במנות ICMP כדי למצות את המשאבים שלו), אתה יכול להשתמש בכללים בטבלה הגולמית כדי להשליך או להגביל את התעבורה הזו.
הסיבה לכך היא שהכללים בטבלה זו מעובדים לפני אלה בטבלאות המסנן וה-NAT, מה שמאפשר התערבות מוקדמת וממזער את ההשפעה על ביצועי הנתב.
הגדרת כללים בחומת האש הגולמית כדי לצמצם התקפות ICMP
הנה דוגמה כיצד להגדיר כלל בחומת האש הגולמית כדי להגביל מנות ICMP:
- גש לנתב ה-MikroTik שלך דרך Winbox, WebFig או SSH.
- עבור אל הקטע "גולמי" חומת אש:
- ב-Winbox או WebFig: עבור אל
IP
>Firewall
ואז ללשוניתRaw
. - בשורת הפקודה: השתמש בפקודה
/ip firewall raw
.
- ב-Winbox או WebFig: עבור אל
- הוסף כלל להגבלת תעבורת ICMP:
- עבור Winbox או WebFig: לחץ
+
כדי להוסיף כלל חדש. בכרטיסייהGeneral
, בחרicmp
אל קמפוProtocol
. בכרטיסייהAction
בחרdrop
olimit
כפעולה והגדר את הפרמטרים בהתאם לצרכים שלך. - בשורת הפקודה: השתמש בפקודה דומה ל
/ip firewall raw add action=drop chain=prerouting protocol=icmp icmp-options=8:0 limit=10,20:packet
.
- עבור Winbox או WebFig: לחץ
דוגמה זו בעצם אומרת: "הסר מנות ICMP מסוג 8 (בקשת הד) החורגות ממגבלה של 10 מנות לשנייה עם פרץ של 20 מנות." התאם את המגבלה והפרץ על סמך התעבורה הרגילה הצפויה וקיבולת הרשת שלך.
שיקולים
- דיוק: הקפד להגדיר את הכללים במדויק כדי להימנע מחסימת תעבורת ICMP לגיטימית, דבר שימושי לאבחון רשת ובקרת זרימה.
- מעקב: רצוי לעקוב אחר תעבורת ICMP באופן קבוע כדי להתאים כללים על סמך התנהגות נצפית ולהימנע מתוצאות חיוביות שגויות.
- השלמה: למרות שחומת האש הגולמית יעילה בהפחתת התקפות, שקול להשתמש בה בשילוב עם אמצעי אבטחה אחרים, כגון כללי חומת אש בטבלת המסננים, להגנה מלאה.
השימוש בחומת אש גולמית יכול להיות אמצעי יעיל לצמצום התקפות ICMP, אך הוא חייב להיות חלק מגישה אסטרטגית רחבה יותר לאבטחת רשת.
אין תגיות לפוסט הזה.