Opcja „surowej” zapory ogniowej w MikroTik RouterOS to potężne narzędzie do ograniczania ataków, w tym opartych na protokole ICMP (Internet Control Message Protocol).
Surowa zapora sieciowa działa na bardzo wczesnym etapie przetwarzania pakietów, umożliwiając skuteczne radzenie sobie z niechcianymi pakietami, zanim pochłoną one zasoby systemowe wykraczające poza podstawowe przetwarzanie.
Aby złagodzić ataki ICMP, takie jak ping Flood (rodzaj ataku DDoS, w którym atakujący zalewa ofiarę pakietami ICMP w celu wyczerpania jej zasobów), możesz użyć reguł w nieprzetworzonej tabeli, aby odrzucić lub ograniczyć ten ruch.
Dzieje się tak, ponieważ reguły z tej tabeli są przetwarzane przed regułami z tabel filter i nat, co pozwala na wczesną interwencję i minimalizuje wpływ na wydajność routera.
Konfigurowanie reguł w surowej zaporze sieciowej w celu ograniczenia ataków ICMP
Oto przykład konfiguracji reguły w surowej zaporze ogniowej w celu ograniczenia pakietów ICMP:
- Uzyskaj dostęp do routera MikroTik poprzez Winbox, WebFig lub SSH.
- Przejdź do sekcji „surowej” Zapory sieciowej:
- W Winbox lub WebFig: Przejdź do
IP
>Firewall
a następnie do zakładkiRaw
. - W wierszu poleceń: Użyj polecenia
/ip firewall raw
.
- W Winbox lub WebFig: Przejdź do
- Dodaj regułę ograniczającą ruch ICMP:
- W przypadku Winbox lub WebFig: Kliknij
+
aby dodać nową regułę. W zakładceGeneral
, Wybierzicmp
w dziedzinieProtocol
. Na zakładceAction
wybierzdrop
olimit
jako akcję i skonfiguruj parametry według swoich potrzeb. - W wierszu poleceń: Użyj polecenia podobnego do
/ip firewall raw add action=drop chain=prerouting protocol=icmp icmp-options=8:0 limit=10,20:packet
.
- W przypadku Winbox lub WebFig: Kliknij
Ten przykład zasadniczo mówi: „Odrzuć pakiety ICMP typu 8 (żądanie echa), które przekraczają limit 10 pakietów na sekundę, w serii 20 pakietów”. Dostosuj limit i serię w oparciu o oczekiwany normalny ruch i przepustowość sieci.
Rozważania
- Precyzja: Upewnij się, że reguły zostały skonfigurowane precyzyjnie, aby uniknąć blokowania prawidłowego ruchu ICMP, co jest przydatne w diagnostyce sieci i kontroli przepływu.
- monitorowanie: Zaleca się regularne monitorowanie ruchu ICMP w celu dostosowania reguł w oparciu o zaobserwowane zachowanie i uniknięcia fałszywych alarmów.
- komplementarność: Chociaż surowa zapora sieciowa skutecznie ogranicza ataki, rozważ użycie jej w połączeniu z innymi środkami bezpieczeństwa, takimi jak reguły zapory sieciowej w tabeli filtrów, aby zapewnić pełną ochronę.
Użycie surowej zapory sieciowej może być skutecznym środkiem łagodzenia ataków ICMP, ale musi stanowić część szerszego, strategicznego podejścia do bezpieczeństwa sieci.
Brak tagów dla tego wpisu.