De “onbewerkte” firewall-optie in MikroTik RouterOS is een krachtig hulpmiddel om aanvallen te beperken, inclusief aanvallen gebaseerd op ICMP (Internet Control Message Protocol).
De onbewerkte firewall werkt in een zeer vroeg stadium van de pakketverwerking, waardoor deze ongewenste pakketten effectief kan afhandelen voordat deze systeembronnen verbruiken die verder gaan dan de basisverwerking.
Om ICMP-aanvallen, zoals ping flood (een type DDoS-aanval waarbij de aanvaller het slachtoffer overspoelt met ICMP-pakketten om zijn bronnen uit te putten), te beperken, kunt u regels in de onbewerkte tabel gebruiken om dit verkeer te negeren of te beperken.
Dit komt omdat de regels in deze tabel worden verwerkt vóór die in de filter- en nat-tabellen, waardoor vroegtijdige interventie mogelijk is en de impact op de routerprestaties wordt geminimaliseerd.
Regels configureren in de Raw Firewall om ICMP-aanvallen te beperken
Hier is een voorbeeld van hoe u een regel in de onbewerkte firewall configureert om ICMP-pakketten te beperken:
- Toegang tot uw MikroTik-router via Winbox, WebFig of SSH.
- Ga naar het gedeelte 'onbewerkte' Firewall:
- In Winbox of WebFig: Ga naar
IP
>Firewall
en vervolgens naar het tabbladRaw
. - Op de opdrachtregel: Gebruik de opdracht
/ip firewall raw
.
- In Winbox of WebFig: Ga naar
- Voeg een regel toe om ICMP-verkeer te beperken:
- Voor Winbox of WebFig: Klik
+
om een nieuwe regel toe te voegen. Op het tabbladGeneral
, Selecticmp
veldProtocol
. Op het tabbladAction
kiezendrop
olimit
als actie en configureer de parameters volgens uw behoeften. - Op de opdrachtregel: Gebruik een opdracht vergelijkbaar met
/ip firewall raw add action=drop chain=prerouting protocol=icmp icmp-options=8:0 limit=10,20:packet
.
- Voor Winbox of WebFig: Klik
Dit voorbeeld zegt feitelijk: “Gooi ICMP-type 8 (echoverzoek)-pakketten weg die de limiet van 10 pakketten per seconde overschrijden met een burst van 20 pakketten.” Pas de limiet en burst aan op basis van het verwachte normale verkeer en uw netwerkcapaciteit.
overwegingen
- precisie: Zorg ervoor dat u de regels nauwkeurig configureert om te voorkomen dat legitiem ICMP-verkeer wordt geblokkeerd, wat handig is voor netwerkdiagnostiek en stroomcontrole.
- Monitoring: Het is raadzaam om het ICMP-verkeer regelmatig te monitoren om de regels aan te passen op basis van waargenomen gedrag en valse positieven te voorkomen.
- complementariteit: Hoewel de onbewerkte firewall effectief is in het beperken van aanvallen, kunt u overwegen deze te gebruiken in combinatie met andere beveiligingsmaatregelen, zoals firewallregels in de filtertabel, voor volledige bescherming.
Het gebruik van een ruwe firewall kan een effectieve maatregel zijn om ICMP-aanvallen te beperken, maar het moet onderdeel zijn van een bredere, strategische benadering van netwerkbeveiliging.
Er zijn geen tags voor dit bericht.