cyberdeal
Geavanceerd verkeerscontroleboek, RouterOS v7
Studiemateriaal voor de MTCTCE-certificeringscursus, bijgewerkt naar RouterOS v7
$19,97
Naar Winkelwagen
Tussen stateful en stateless: de MikroTik-firewall beheersen
- Kevin Moran
- Geen reacties
- Deel dit artikel
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
MikroTik biedt firewallfunctionaliteit die zowel Stateful-regels als Stateless-regels omvat. De firewall implementeert stateful (via het volgen van verbindingen) en stateless pakketfiltering en biedt daarom beveiligingsfuncties die worden gebruikt om de gegevensstroom van, naar en via de router te beheren.
Samen met Network Address Translation (NAT) dient het als een hulpmiddel om ongeautoriseerde toegang tot direct verbonden netwerken en tot de router zelf te voorkomen, evenals als een filter voor uitgaand verkeer.
Stateful firewall
Deze regels volgen de status van verbindingen, wat betekent dat de firewall de status van elke verbinding bijhoudt en verkeer toestaat op basis van de verbindingsstatus. Dit is handig om antwoordverkeer mogelijk te maken op verbindingen die vanuit het netwerk zijn geïnitieerd.
Hierdoor kunnen ze beter geïnformeerde beslissingen nemen over welke pakketten ze moeten toestaan of blokkeren, afhankelijk van de context van de verbinding. Een stateful firewall zou bijvoorbeeld toestaan dat een antwoordpakket een eerder toegestaan verzoekpakket passeert, zelfs als het verzoekpakket zelf niet expliciet is opgenomen in de firewallregels.
Stateful biedt verbeterde beveiligingsvoordelen omdat het ongeautoriseerde toegangspogingen effectief kan voorkomen en bescherming kan bieden tegen phishing-aanvallen.
Ze bieden ook betere filtermogelijkheden op applicatieniveau, waardoor u kunt bepalen welke applicaties en protocollen via de firewall kunnen communiceren.
Staatloze firewall
Deze regels volgen niet de status van verbindingen en worden onafhankelijk op elk pakket toegepast. Elk pakket wordt gefilterd volgens de criteria die door de regel zijn vastgelegd, ongeacht eerdere verbindingen.
Stateless houdt daarentegen geen statustabel bij en inspecteert alleen individuele pakketten op basis van hun bron- en bestemmingsadressen, poorten en protocolheaders.
Ze werken als pakketfilters en nemen beslissingen uitsluitend op basis van de informatie in elk pakket.
Verschil tussen stateful en staatloze firewall
característica | stateful firewall | Staatloze firewall |
Verbinding volgen
| Si | Nee |
Veiligheid
| Verbeterde | Básico |
Filteren op applicatieniveau
| Korrelig | beperkt |
Prestatie
| Lager | Hoger |
Het verbruik van hulpbronnen
| Hoger | Lager |
Geschiktheid
| Bedrijfsnetwerken, gevoelige applicaties | Thuisnetwerken, omgevingen met hoge bandbreedte |
Voorbeelden van staatloze regels
In MikroTik RouterOS worden staatloze firewallregels gemaakt zonder rekening te houden met de status van de verbindingen, dat wil zeggen dat ze worden toegepast ongeacht eerdere verbindingen. Hier volgen enkele voorbeelden van staatloze regels die in bepaalde scenario's nuttig kunnen zijn:
1. Verkeer van een specifiek IP-adres toestaan:
/ip firewallfilter add chain=forward src-address=192.168.1.100 action=accepteren
Deze regel staat verkeer toe dat afkomstig is van het IP-adres 192.168.1.100 in de doorstuurketen.
2. Verkeer van een specifiek subnet toestaan:
/ip firewallfilter add chain=forward src-address=192.168.2.0/24 action=accept
Deze regel staat verkeer van het 192.168.2.0/24-subnet toe in de doorstuurketen.
3. Blokkeer verkeer naar een specifiek IP-adres:
/ip firewallfilter add chain=forward dst-address=203.0.113.10 action=drop
Deze regel blokkeert al het verkeer dat naar het IP-adres 203.0.113.10 gaat in de doorstuurketen.
Dit zijn slechts voorbeelden en u moet de regels aanpassen op basis van uw specifieke behoeften en uw netwerktopologie. Houd er ook rekening mee dat deze regels staatloos zijn en dus geen rekening houden met de status van eerdere verbindingen.
Voorbeelden van Stateful-regels
In MikroTik RouterOS richten stateful firewallregels zich op de status van verbindingen, wat betekent dat ze verkeer toestaan of blokkeren op basis van de verbindingsstatus. Hier volgen enkele voorbeelden van stateful regels:
1. Sta al het uitgaande verkeer en gerelateerde reacties toe:
/ip firewallfilter add chain=forward verbindingsstatus=gevestigd,gerelateerde actie=accepteren
Deze regel staat verkeer toe dat deel uitmaakt van een bestaande of gerelateerde verbinding in de doorstuurketen.
2. Specifiek verkeer van buitenaf toestaan:
/ip firewallfilter add chain=forward in-interface=ether1 verbindingsstatus=nieuw protocol=tcp dst-poort=80 actie=accepteren
Deze regel staat TCP-verkeer bestemd voor poort 80 van buitenaf toe via de ether1-interface in de doorstuurketen.
3. Blokkeer ongevraagd inkomend verkeer:
/ip firewallfilter add chain=input verbindingsstatus=nieuwe actie=drop
Deze regel blokkeert al het binnenkomende verkeer dat geen deel uitmaakt van een bestaande verbinding in de inkomende keten.
4. Sta binnenkomend ICMP-verkeer toe voor ping-verzoeken:
/ip firewallfilter add chain=input verbindingsstatus=nieuw protocol=icmp actie=accepteren
Deze regel staat binnenkomend ICMP-verkeer toe voor ping-aanvragen in de inkomende keten.
5. Blokkeer verkeer naar een specifieke poort van buitenaf:
/ip firewallfilter add chain=input in-interface=ether1 verbindingsstatus=nieuwe dst-poort=22 actie=drop
Deze regel blokkeert inkomend verkeer naar poort 22 (SSH) van buitenaf via de ether1-interface in de ingangsketen.
Dit zijn slechts voorbeelden en u moet de regels aanpassen op basis van uw specifieke vereisten en netwerkconfiguratie. Stateful regels zijn essentieel om het noodzakelijke verkeer mogelijk te maken en de veiligheid te handhaven door ongewenst verkeer te blokkeren.
Korte kennisquiz
Wat vind je van dit artikel?
Durf jij je geleerde kennis te evalueren?
Aanbevolen boek voor dit artikel
Gerelateerde artikelen
Gerelateerde artikelen
Microlabs
(ML-001) Hoe u meerdere openbare of privé-IP's op de edge-router correct beheert
$8,99
(ML-002) Manieren om openbare IP-adressen toe te wijzen aan clients met MikroTik
$9,99
(ML-003) Gids voor het configureren van internetuitgangsroutes met twee of meer providers (failover en recursie in PCC-balancering)
$8,99
(ML-004) Filterimplementatiestrategieën om de toegang tot webpagina's te beperken met MikroTik
$7,99
Andere onderwerpen die u mogelijk interesseren
Manieren om IPv6-adressering toe te wijzen (deel 2)
Maart 25, 2024
Manieren om IPv6-adressering toe te wijzen (deel 1)
Maart 11, 2024
Wil je een onderwerp voorstellen?
Elke week plaatsen wij nieuwe inhoud. Wil je dat we over iets specifieks praten?
Aankomende online cursussen
MTCINE Online
$187,00
MTCNA Online
$187,00
MTCRE Online
$187,00
Pak 4 MikroTik RouterOS-boeken in
$68,47
