MikroTik 라우터에서 방화벽을 올바르게 구성하는 것은 무단 액세스 및 기타 유형의 보안 위협으로부터 네트워크를 보호하는 데 필수적입니다. 특정 규칙은 각 네트워크의 요구 사항과 구성에 따라 다를 수 있지만 대부분의 환경에 권장되는 특정 일반 규칙과 원칙이 있습니다.

다음은 MikroTik RouterOS의 방화벽 필터, NAT 및 기타 관련 구성 섹션에 대한 몇 가지 규칙과 모범 사례입니다.

방화벽필터

방화벽 필터의 목적은 라우터를 통과하는 트래픽을 제어하여 특정 기준에 따라 트래픽을 차단하거나 허용하는 것입니다.

1. 라우터에 대한 무단 액세스를 차단합니다.

로컬 네트워크 외부에서 라우터에 대한 액세스를 제한하십시오. 이는 일반적으로 22(SSH), 23(Telnet), 80(HTTP), 443(HTTPS) 및 8291(Winbox)과 같은 관리 포트를 차단하여 수행됩니다.

/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"

2. 일반적인 공격으로부터 보호:

SYN 플러드, ICMP 플러드, 포트 스캐닝 등 일반적인 공격으로부터 네트워크를 보호하는 규칙을 구현하세요.

SYN 홍수 공격

/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"

ICMP 홍수 공격

/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"

3. 필요한 트래픽을 허용합니다.

네트워크에 필요한 합법적인 트래픽을 허용하도록 규칙을 구성합니다. 여기에는 특정 요구 사항에 따른 내부 트래픽과 인터넷 간 트래픽이 포함됩니다.

로컬 네트워크에서만 SSH 액세스를 허용한다고 가정합니다.

/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"

4. 다른 모든 것을 삭제하십시오.

보안 관행에 따라 이전에 명시적으로 허용되지 않은 트래픽은 모두 차단되어야 합니다. 이는 일반적으로 다른 모든 트래픽을 거부하거나 삭제하는 규칙을 사용하여 방화벽 필터 규칙의 끝에서 수행됩니다.

이 규칙은 기본 거부 정책 역할을 하려면 필터 규칙 끝에 배치되어야 합니다.

/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"

NAT(네트워크 주소 변환)

NAT는 일반적으로 로컬 네트워크의 개인 IP 주소를 인터넷 액세스를 위한 공용 IP 주소로 변환하는 데 사용됩니다.

1. 가장 무도회:
   • 작업을 사용하세요 masquerade 체인에서 srcnat 로컬 네트워크의 여러 장치가 인터넷 액세스를 위해 공용 IP 주소를 공유할 수 있도록 허용합니다. 이는 단일 공용 IP를 사용한 광대역 연결을 통해 인터넷에 액세스하는 네트워크에 필수적입니다.
2. 내부 서비스용 DNAT:
   • 네트워크 외부에서 내부 서비스에 액세스해야 하는 경우 DNAT(대상 NAT)를 사용하여 수신 트래픽을 해당 개인 IP로 리디렉션할 수 있습니다. 필요한 서비스에 대해서만 이 작업을 수행하고 보안에 미치는 영향을 고려하십시오.

기타 안전 고려사항

1. 소프트웨어 업데이트:
   • MikroTik 라우터를 최신 버전의 RouterOS 및 펌웨어로 업데이트하여 알려진 취약점으로부터 보호하세요.
2. 레이어 7 보안:
   • 애플리케이션별 트래픽의 경우 데이터 패킷의 패턴을 기반으로 트래픽을 차단하거나 허용하도록 계층 7 규칙을 구성할 수 있습니다.
3. IP 주소 범위 제한:
   • 특정 라우터 서비스에 대한 액세스를 특정 IP 주소 범위로만 제한하여 무단 액세스 위험을 줄입니다.

이는 단지 일반적인 지침일 뿐이라는 점을 기억하세요. 특정 방화벽 구성은 보안 요구 사항, 네트워크 정책 및 성능 고려 사항에 대한 상세한 평가를 기반으로 해야 합니다. 또한 잠재적인 취약점을 식별하고 완화하기 위해 정기적으로 네트워크 보안 테스트를 수행하는 것이 좋습니다.