MikroTik maršrutētāja ugunsmūra pareiza konfigurēšana ir būtiska, lai aizsargātu tīklu no nesankcionētas piekļuves un cita veida drošības apdraudējumiem. Lai gan īpaši noteikumi var atšķirties atkarībā no katra tīkla vajadzībām un konfigurācijas, ir daži vispārīgi noteikumi un principi, kas ir ieteicami lielākajai daļai vidi.
Tālāk ir sniegti daži noteikumi un paraugprakse par ugunsmūra filtru, NAT un citām saistītām MikroTik RouterOS konfigurācijas sadaļām.
Ugunsmūra filtrs
Ugunsmūra filtra mērķis ir kontrolēt trafiku, kas iet caur maršrutētāju, ļaujot bloķēt vai atļaut trafiku, pamatojoties uz noteiktiem kritērijiem.
- Bloķējiet nesankcionētu piekļuvi maršrutētājam:
Noteikti ierobežojiet piekļuvi maršrutētājam ārpus vietējā tīkla. Tas parasti tiek darīts, bloķējot pārvaldības portus, piemēram, 22 (SSH), 23 (Telnet), 80 (HTTP), 443 (HTTPS) un 8291 (Winbox).
/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"
2. Aizsargājiet pret parastiem uzbrukumiem:
Ieviesiet noteikumus, lai aizsargātu tīklu no izplatītiem uzbrukumiem, piemēram, SYN plūdiem, ICMP plūdiem un portu skenēšanas.
SYN plūdu uzbrukums
/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"
ICMP plūdu uzbrukums
/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"
3. Atļaut nepieciešamo satiksmi:
Konfigurējiet noteikumus, lai atļautu jūsu tīklam nepieciešamo likumīgo trafiku. Tas ietver iekšējo trafiku un datplūsmu uz un no interneta, pamatojoties uz jūsu īpašajām vajadzībām.
Pieņemot, ka vēlaties atļaut SSH piekļuvi tikai no vietējā tīkla:
/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"
4. Atmest visu pārējo:
Drošības nolūkos jebkura satiksme, kas iepriekš nav skaidri atļauta, ir jābloķē. Parasti tas tiek darīts ugunsmūra filtra kārtulu beigās ar kārtulu, kas noraida vai atmet visu pārējo trafiku.
Šī kārtula ir jāievieto filtra kārtulu beigās, lai tā darbotos kā noklusējuma atteikuma politika.
/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"
NAT (tīkla adrešu tulkošana)
NAT parasti izmanto, lai pārveidotu privātās IP adreses jūsu lokālajā tīklā par publisku IP adresi piekļuvei internetam.
- Maskarāde:
- Izmantojiet darbību
masquerade
ķēdēsrcnat
lai ļautu vairākām ierīcēm jūsu lokālajā tīklā koplietot publisku IP adresi interneta piekļuvei. Tas ir būtiski tīkliem, kas piekļūst internetam, izmantojot platjoslas savienojumu ar vienu publisku IP.
- Izmantojiet darbību
- DNAT iekšējiem pakalpojumiem:
- Ja jums ir nepieciešams piekļūt iekšējiem pakalpojumiem ārpus tīkla, varat izmantot galamērķa NAT (DNAT), lai novirzītu ienākošo trafiku uz atbilstošajiem privātajiem IP. Pārliecinieties, ka darāt to tikai nepieciešamajiem pakalpojumiem un ņemiet vērā drošības sekas.
Citi drošības apsvērumi
- Programmatūras atjauninājumi:
- Atjauniniet savu MikroTik maršrutētāju ar jaunāko RouterOS versiju un programmaparatūru, lai aizsargātu pret zināmajām ievainojamībām.
- 7. drošības slānis:
- Lietojumprogrammai specifiskai trafikai varat konfigurēt 7. slāņa kārtulas, lai bloķētu vai atļautu trafiku, pamatojoties uz datu pakešu modeļiem.
- IP adreses diapazona ierobežojums:
- Ierobežo piekļuvi noteiktiem maršrutētāja pakalpojumiem tikai konkrētiem IP adrešu diapazoniem, tādējādi samazinot nesankcionētas piekļuves risku.
Atcerieties, ka šīs ir tikai vispārīgas vadlīnijas. Jūsu īpašajai ugunsmūra konfigurācijai jābūt balstītai uz detalizētu drošības vajadzību, tīkla politiku un veiktspējas apsvērumu novērtējumu. Turklāt ir ieteicams regulāri veikt tīkla drošības testēšanu, lai identificētu un mazinātu iespējamās ievainojamības.
Šai ziņai nav atzīmju.
2 komentāri par “Kādi ir noteikumi, kādiem jābūt katram MikroTik maršrutētājam, ugunsmūra filtrā, nat utt?”
Informācija šajā sadaļā ir ļoti slikta, domāju, ka dabūšu ļoti detalizētu informāciju, bet praktiski nav ko turpināt meklēt internetā
Hosē, jūsu komentārs ir ļoti precīzs, tāpēc esmu paplašinājis un atjauninājis dokumentāciju.
Es ļoti novērtēju jūsu atsauksmes un ceru, ka tās tagad novērsīs jūsu šaubas.