Wat zijn de regels die elke MikroTik-router zou moeten hebben, op het gebied van firewallfilter, nat, enz.?
Het correct configureren van de firewall op een MikroTik-router is essentieel om uw netwerk te beschermen tegen ongeautoriseerde toegang en andere soorten beveiligingsbedreigingen. Hoewel specifieke regels kunnen variëren afhankelijk van de behoeften en configuratie van elk netwerk, zijn er bepaalde algemene regels en principes die voor de meeste omgevingen worden aanbevolen.
Hieronder vindt u enkele regels en best practices voor het firewallfilter, NAT en andere relevante configuratiesecties in MikroTik RouterOS.
FirewallFilter
Het doel van het firewallfilter is om het verkeer dat door de router gaat te controleren, zodat u verkeer kunt blokkeren of toestaan op basis van bepaalde criteria.
- Blokkeer ongeautoriseerde toegang tot de router:
Zorg ervoor dat u de toegang tot de router van buiten uw lokale netwerk beperkt. Dit wordt doorgaans gedaan door beheerpoorten te blokkeren, zoals 22 (SSH), 23 (Telnet), 80 (HTTP), 443 (HTTPS) en 8291 (Winbox).
/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"2. Bescherm tegen veelvoorkomende aanvallen:
Implementeer regels om uw netwerk te beschermen tegen veelvoorkomende aanvallen, zoals SYN flood, ICMP flood en poortscannen.
SYN Overstromingsaanval
/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"ICMP-overstromingsaanval
/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"3. Sta noodzakelijk verkeer toe:
Configureer regels om legitiem verkeer toe te staan dat nodig is voor uw netwerk. Dit omvat intern verkeer en verkeer van en naar internet op basis van uw specifieke behoeften.
Ervan uitgaande dat u SSH-toegang alleen vanaf uw lokale netwerk wilt toestaan:
/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"4. Laat al het andere vallen:
Als veiligheidsmaatregel moet al het verkeer dat niet eerder expliciet is toegestaan, worden geblokkeerd. Dit gebeurt meestal aan het einde van uw firewallfilterregels met een regel die al het andere verkeer weigert of laat vallen.
Deze regel moet aan het einde van uw filterregels worden geplaatst en fungeert als standaard weigeringsbeleid.
/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"NAT (netwerkadresvertaling)
NAT wordt vaak gebruikt om privé-IP-adressen op uw lokale netwerk te vertalen naar een openbaar IP-adres voor internettoegang.
- Maskerade:
- Gebruik de actie
masqueradein de ketensrcnatom meerdere apparaten op uw lokale netwerk toe te staan een openbaar IP-adres te delen voor internettoegang. Dit is essentieel voor netwerken die toegang hebben tot internet via een breedbandverbinding met één openbaar IP-adres.
- Gebruik de actie
- DNAT voor interne diensten:
- Als u toegang nodig heeft tot interne services van buiten uw netwerk, kunt u Destination NAT (DNAT) gebruiken om inkomend verkeer om te leiden naar de overeenkomstige privé-IP's. Zorg ervoor dat u dit alleen doet voor noodzakelijke services en houd rekening met de gevolgen voor de beveiliging.
Andere veiligheidsoverwegingen
- Software updates:
- Houd uw MikroTik-router bijgewerkt met de nieuwste versie van RouterOS en firmware om u te beschermen tegen bekende kwetsbaarheden.
- Laag 7-beveiliging:
- Voor applicatiespecifiek verkeer kunt u Layer 7-regels configureren om verkeer te blokkeren of toe te staan op basis van patronen in datapakketten.
- Beperking van IP-adresbereik:
- Beperkt de toegang tot bepaalde routerservices tot specifieke IP-adresbereiken, waardoor het risico op ongeautoriseerde toegang wordt verminderd.
Houd er rekening mee dat dit slechts algemene richtlijnen zijn. Uw specifieke firewallconfiguratie moet gebaseerd zijn op een gedetailleerde evaluatie van uw beveiligingsbehoeften, netwerkbeleid en prestatieoverwegingen. Bovendien is het raadzaam om regelmatig netwerkbeveiligingstests uit te voeren om potentiële kwetsbaarheden te identificeren en te beperken.
Er zijn geen tags voor dit bericht.- Deel dit artikel
2 reacties op "Wat zijn de regels die elke MikroTik-router zou moeten hebben, in firewallfilter, nat, enz."
De informatie in deze sectie is erg slecht, ik dacht dat ik zeer gedetailleerde informatie zou krijgen, maar goed, er is vrijwel niets om verder te zoeken op internet.
José, je opmerking is zeer accuraat, dus ik ben overgegaan tot het uitbreiden en bijwerken van de documentatie.
Ik stel uw feedback zeer op prijs en ik hoop dat dit nu uw twijfels wegneemt.