Tak, przy ustanawianiu tunelu IPsec w MikroTiku zalecane i często konieczne jest skonfigurowanie określonych reguł zapory sieciowej. Reguły te są ważne z kilku powodów, w tym z zabezpieczenia tunelu, umożliwienia ruchu IPsec przez zaporę sieciową i ochrony sieci.

Wyjaśniamy, jakie rodzaje reguł są zwykle konieczne i dlaczego:

1. Zezwalaj na ruch IPsec

Aby ruch IPsec mógł przepływać przez Twoje urządzenie MikroTik i prawidłowo ustanowić tunel, musisz upewnić się, że zapora sieciowa zezwala na protokoły i porty używane przez IPsec. Zwykle obejmuje to:

• ESP (hermetyzujący ładunek zabezpieczający): Zezwalaj na ruch protokołu IP 50, używany przez ESP w celu zapewnienia poufności, uwierzytelniania i integralności.
• AH (nagłówek uwierzytelniania): Zezwalaj na ruch protokołu IP 51, jeśli w konfiguracji IPsec używana jest funkcja AH w celu zapewnienia uwierzytelniania i integralności bez poufności.
• IKE (Internetowa wymiana kluczy): Zezwalaj na ruch UDP na porcie 500 (i ewentualnie porcie 4500 dla NAT-T) dla IKE, który jest używany do wymiany kluczy i negocjacji powiązań zabezpieczeń.

2. Zabezpiecz tunel

Oprócz prostego zezwalania na ruch IPsec, możesz utworzyć reguły ograniczające ruch przez tunel do określonych typów ruchu lub do określonych adresów IP, aby zwiększyć bezpieczeństwo. Może to obejmować zasady dotyczące:

• Zezwalaj na ruch przez tunel tylko określonym rodzajom ruchu.
• Ogranicz dostęp przez tunel tylko do określonych adresów IP lub podsieci.

3. Ochrona przed atakiem

Ważne jest, aby wziąć pod uwagę zasady ochrony urządzenia i sieci przed atakami, które można przeprowadzić za pośrednictwem tunelu IPsec. Może to obejmować:

• Ogranicz próby połączenia z VPN, aby zapobiec atakom typu brute-force.
• Blokuj nietypowy lub niechciany ruch, który nie powinien występować w tunelu.

Przykładowa reguła zapory sieciowej zezwalająca na IKE i ESP:

tekst zwykłyKopiuj kod/ip firewall filter
add chain=input protocol=udp dst-port=500 action=accept comment="Allow IKE for IPsec"
add chain=input protocol=ipsec-esp action=accept comment="Allow ESP for IPsec"

Uwagi końcowe:

• Porządek Regulaminu: Kolejność umieszczania reguł na zaporze jest ważna. Reguły są przetwarzane od góry do dołu, dlatego należy umieścić szczegółowe reguły przed bardziej ogólnymi, aby uniknąć konfliktów lub niechcianego blokowania.
• Monitorowanie i konserwacja: Po skonfigurowaniu tunelu IPsec i odpowiednich reguł zapory sieciowej dobrą praktyką jest monitorowanie ruchu i wydajności tunelu, a także okresowe przeglądanie reguł zapory sieciowej w celu ich dostosowania w razie potrzeby.

Prawidłowa konfiguracja reguł zapory sieciowej na urządzeniu MikroTik ma kluczowe znaczenie dla powodzenia i bezpieczeństwa tunelu IPsec.