Prawidłowa konfiguracja zapory sieciowej na routerze MikroTik jest niezbędna do ochrony sieci przed nieautoryzowanym dostępem i innymi rodzajami zagrożeń bezpieczeństwa. Chociaż szczegółowe reguły mogą się różnić w zależności od potrzeb i konfiguracji każdej sieci, istnieją pewne ogólne reguły i zasady, które są zalecane dla większości środowisk.

Poniżej znajdują się niektóre zasady i najlepsze praktyki dotyczące filtra zapory sieciowej, NAT i innych odpowiednich sekcji konfiguracyjnych w MikroTik RouterOS.

Filtr zapory sieciowej

Celem filtra zapory sieciowej jest kontrolowanie ruchu przechodzącego przez router, co pozwala na blokowanie lub zezwalanie na ruch w oparciu o określone kryteria.

1. Zablokuj nieautoryzowany dostęp do routera:

Pamiętaj, aby ograniczyć dostęp do routera spoza sieci lokalnej. Zwykle odbywa się to poprzez blokowanie portów zarządzania, takich jak 22 (SSH), 23 (Telnet), 80 (HTTP), 443 (HTTPS) i 8291 (Winbox).

/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"

2. Chroń przed typowymi atakami:

Wdrażaj reguły chroniące Twoją sieć przed typowymi atakami, takimi jak powódź SYN, powódź ICMP i skanowanie portów.

Atak powodzi SYN

/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"

Atak ICMP Flood Attack

/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"

3. Zezwól na niezbędny ruch:

Skonfiguruj reguły, aby zezwalać na legalny ruch niezbędny w Twojej sieci. Obejmuje to ruch wewnętrzny oraz ruch do i z Internetu w zależności od konkretnych potrzeb.

Zakładając, że chcesz zezwolić na dostęp SSH tylko z sieci lokalnej:

/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"

4. Porzuć wszystko inne:

Ze względów bezpieczeństwa każdy ruch, który nie został wcześniej wyraźnie dozwolony, powinien być blokowany. Zwykle robi się to na końcu reguł filtrowania zapory sieciowej za pomocą reguły, która odrzuca lub odrzuca cały pozostały ruch.

Regułę tę należy umieścić na końcu reguł filtrowania, aby działała jako domyślna zasada odmowy.

/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"

NAT (tłumaczenie adresów sieciowych)

Translator NAT jest powszechnie używany do tłumaczenia prywatnych adresów IP w sieci lokalnej na publiczny adres IP umożliwiający dostęp do Internetu.

1. Maskarada:
   • Skorzystaj z akcji masquerade w łańcuchu srcnat aby umożliwić wielu urządzeniom w sieci lokalnej współdzielenie publicznego adresu IP w celu uzyskania dostępu do Internetu. Jest to niezbędne w przypadku sieci, które uzyskują dostęp do Internetu za pośrednictwem połączenia szerokopasmowego z jednym publicznym adresem IP.
2. DNAT dla służb wewnętrznych:
   • Jeśli potrzebujesz dostępu do usług wewnętrznych spoza sieci, możesz użyć docelowego NAT (DNAT), aby przekierować ruch przychodzący do odpowiednich prywatnych adresów IP. Upewnij się, że robisz to tylko w przypadku niezbędnych usług i rozważ konsekwencje dla bezpieczeństwa.

Inne względy bezpieczeństwa

1. Aktualizacje oprogramowania:
   • Aktualizuj swój router MikroTik za pomocą najnowszej wersji RouterOS i oprogramowania sprzętowego, aby chronić się przed znanymi lukami w zabezpieczeniach.
2. Bezpieczeństwo warstwy 7:
   • W przypadku ruchu specyficznego dla aplikacji można skonfigurować reguły warstwy 7 w celu blokowania lub zezwalania na ruch w oparciu o wzorce w pakietach danych.
3. Ograniczenie zakresu adresów IP:
   • Ogranicza dostęp do niektórych usług routera tylko do określonych zakresów adresów IP, zmniejszając w ten sposób ryzyko nieautoryzowanego dostępu.

Pamiętaj, że są to jedynie ogólne wytyczne. Konkretna konfiguracja zapory sieciowej powinna opierać się na szczegółowej ocenie potrzeb w zakresie bezpieczeństwa, zasad sieciowych i względów wydajnościowych. Ponadto zaleca się regularne przeprowadzanie testów bezpieczeństwa sieci w celu identyfikacji i ograniczenia potencjalnych luk.