Opcja „surowej” zapory ogniowej w MikroTik RouterOS to potężne narzędzie do ograniczania ataków, w tym opartych na protokole ICMP (Internet Control Message Protocol).

Surowa zapora sieciowa działa na bardzo wczesnym etapie przetwarzania pakietów, umożliwiając skuteczne radzenie sobie z niechcianymi pakietami, zanim pochłoną one zasoby systemowe wykraczające poza podstawowe przetwarzanie.

Aby złagodzić ataki ICMP, takie jak ping Flood (rodzaj ataku DDoS, w którym atakujący zalewa ofiarę pakietami ICMP w celu wyczerpania jej zasobów), możesz użyć reguł w nieprzetworzonej tabeli, aby odrzucić lub ograniczyć ten ruch.

Dzieje się tak, ponieważ reguły z tej tabeli są przetwarzane przed regułami z tabel filter i nat, co pozwala na wczesną interwencję i minimalizuje wpływ na wydajność routera.

Konfigurowanie reguł w surowej zaporze sieciowej w celu ograniczenia ataków ICMP

Oto przykład konfiguracji reguły w surowej zaporze ogniowej w celu ograniczenia pakietów ICMP:

1. Uzyskaj dostęp do routera MikroTik poprzez Winbox, WebFig lub SSH.
2. Przejdź do sekcji „surowej” Zapory sieciowej:
   • W Winbox lub WebFig: Przejdź do IP > Firewall a następnie do zakładki Raw.
   • W wierszu poleceń: Użyj polecenia /ip firewall raw.
3. Dodaj regułę ograniczającą ruch ICMP:
   • W przypadku Winbox lub WebFig: Kliknij + aby dodać nową regułę. W zakładce General, Wybierz icmp w dziedzinie Protocol. Na zakładce Actionwybierz drop o limit jako akcję i skonfiguruj parametry według swoich potrzeb.
   • W wierszu poleceń: Użyj polecenia podobnego do /ip firewall raw add action=drop chain=prerouting protocol=icmp icmp-options=8:0 limit=10,20:packet.

Ten przykład zasadniczo mówi: „Odrzuć pakiety ICMP typu 8 (żądanie echa), które przekraczają limit 10 pakietów na sekundę, w serii 20 pakietów”. Dostosuj limit i serię w oparciu o oczekiwany normalny ruch i przepustowość sieci.

Rozważania

• Precyzja: Upewnij się, że reguły zostały skonfigurowane precyzyjnie, aby uniknąć blokowania prawidłowego ruchu ICMP, co jest przydatne w diagnostyce sieci i kontroli przepływu.
• monitorowanie: Zaleca się regularne monitorowanie ruchu ICMP w celu dostosowania reguł w oparciu o zaobserwowane zachowanie i uniknięcia fałszywych alarmów.
• komplementarność: Chociaż surowa zapora sieciowa skutecznie ogranicza ataki, rozważ użycie jej w połączeniu z innymi środkami bezpieczeństwa, takimi jak reguły zapory sieciowej w tabeli filtrów, aby zapewnić pełną ochronę.

Użycie surowej zapory sieciowej może być skutecznym środkiem łagodzenia ataków ICMP, ale musi stanowić część szerszego, strategicznego podejścia do bezpieczeństwa sieci.