De “onbewerkte” firewall-optie in MikroTik RouterOS is een krachtig hulpmiddel om aanvallen te beperken, inclusief aanvallen gebaseerd op ICMP (Internet Control Message Protocol).

De onbewerkte firewall werkt in een zeer vroeg stadium van de pakketverwerking, waardoor deze ongewenste pakketten effectief kan afhandelen voordat deze systeembronnen verbruiken die verder gaan dan de basisverwerking.

Om ICMP-aanvallen, zoals ping flood (een type DDoS-aanval waarbij de aanvaller het slachtoffer overspoelt met ICMP-pakketten om zijn bronnen uit te putten), te beperken, kunt u regels in de onbewerkte tabel gebruiken om dit verkeer te negeren of te beperken.

Dit komt omdat de regels in deze tabel worden verwerkt vóór die in de filter- en nat-tabellen, waardoor vroegtijdige interventie mogelijk is en de impact op de routerprestaties wordt geminimaliseerd.

Regels configureren in de Raw Firewall om ICMP-aanvallen te beperken

Hier is een voorbeeld van hoe u een regel in de onbewerkte firewall configureert om ICMP-pakketten te beperken:

1. Toegang tot uw MikroTik-router via Winbox, WebFig of SSH.
2. Ga naar het gedeelte 'onbewerkte' Firewall:
   • In Winbox of WebFig: Ga naar IP > Firewall en vervolgens naar het tabblad Raw.
   • Op de opdrachtregel: Gebruik de opdracht /ip firewall raw.
3. Voeg een regel toe om ICMP-verkeer te beperken:
   • Voor Winbox of WebFig: Klik + om een ​​nieuwe regel toe te voegen. Op het tabblad General, Select icmp veld Protocol. Op het tabblad Actionkiezen drop o limit als actie en configureer de parameters volgens uw behoeften.
   • Op de opdrachtregel: Gebruik een opdracht vergelijkbaar met /ip firewall raw add action=drop chain=prerouting protocol=icmp icmp-options=8:0 limit=10,20:packet.

Dit voorbeeld zegt feitelijk: “Gooi ICMP-type 8 (echoverzoek)-pakketten weg die de limiet van 10 pakketten per seconde overschrijden met een burst van 20 pakketten.” Pas de limiet en burst aan op basis van het verwachte normale verkeer en uw netwerkcapaciteit.

overwegingen

• precisie: Zorg ervoor dat u de regels nauwkeurig configureert om te voorkomen dat legitiem ICMP-verkeer wordt geblokkeerd, wat handig is voor netwerkdiagnostiek en stroomcontrole.
• Monitoring: Het is raadzaam om het ICMP-verkeer regelmatig te monitoren om de regels aan te passen op basis van waargenomen gedrag en valse positieven te voorkomen.
• complementariteit: Hoewel de onbewerkte firewall effectief is in het beperken van aanvallen, kunt u overwegen deze te gebruiken in combinatie met andere beveiligingsmaatregelen, zoals firewallregels in de filtertabel, voor volledige bescherming.

Het gebruik van een ruwe firewall kan een effectieve maatregel zijn om ICMP-aanvallen te beperken, maar het moet onderdeel zijn van een bredere, strategische benadering van netwerkbeveiliging.