Pesquisas mais comuns
Mikrotikfirewallvpnnetinstallaplicativo doméstico
Capítulo 3.4 – Filtro de Firewall
Estrutura: cadeias e ações
- Uma cadeia: é um agrupamento de regras baseado nos mesmos critérios. Existem três cadeias padrão baseadas em critérios predefinidos.
- entrada: O tráfego que vai para o roteador
- forward: O tráfego que passa pelo roteador
- saída: Tráfego vindo do roteador
- Por exemplo, você pode implementar uma cadeia passada:
- Com base em critérios: todo o tráfego icmp.
- Com base no tráfego proveniente de portas Ethernet, por exemplo: Ether2 para uma rede LAN remota ou uma rede bridge.
- Os usuários definem as cadeias, e estas são criadas em função dos parâmetros que podem ser comparados, e se desejarem podem dar um "salto" para que, uma vez confirmada a partida, seja feito um salto para outra regra no firewall, Isso é definido em "alvo de salto"
- Uma ação determina o que o filtro ou regra fará quando os pacotes atenderem a todas as condições a serem filtradas.
- Os pacotes são verificados sequencialmente em relação às regras existentes na cadeia de firewall atual até que ocorra uma correspondência. (Quando você tem o # significa que respeitará uma ordem: o primeiro se corresponderem, a ação é aplicada, e daí irá para o próximo se essa opção estiver habilitada, caso contrário a análise terminará aí)
Filtragem de firewall em ação
Você pode aproveitar a segurança de um firewall de diferentes maneiras, como:
- Confie na segurança da nossa LAN, pois o que vem da WAN é inseguro.
- Bloqueamos todos e permitimos apenas o que concordamos.
- Permitiremos tudo e bloquearemos apenas o que causa problemas.
Dicas e truques básicos
- Antes de fazer alterações no firewall, vamos entrar no "modo de segurança"
- Depois de fazer configurações e alterações nas regras do firewall, é aconselhável testar os pontos fracos: uma ferramenta recomendada: ShieldsUP
- Antes de começar, é recomendável escrever em texto simples ou em papel uma descrição simples das políticas que deseja aplicar.
- Depois de entendê-los e concordar com eles, você fará login no roteador.
- Adicione as seguintes regras progressivamente, quando estiver satisfeito com as regras básicas inseridas.
- Se você é novo na área de segurança, é aconselhável não inserir regras que apontem em todas as direções, basta fazer o básico, mas tem que fazer bem.
- É uma boa ideia encerrar suas cadeias com regras abrangentes e ver o que você pode ter perdido.
- Você precisará de duas regras abrangentes, um log e um drop para todo o tráfego sem precedentes. Ambos devem ser baseados nos mesmos parâmetros comparados para que sejam úteis para você.
- Depois de ver o que faz parte das regras abrangentes, você pode adicionar novas regras com base no comportamento desejado pelo firewall.
Filtrando por Parâmetros (Ações de Filtro)
Antes de decidir agir no firewall, você deve primeiro identificá-lo. Temos muitos parâmetros pelos quais podemos comparar.
Uma vez feita a correspondência com todos os parâmetros de uma regra, e eles corresponderem, uma ação será executada. O firewall MikroTik possui as seguintes 10 ações:
- aceitar: Aceite o pacote. O pacote não seria mais passado para a próxima regra de firewall.
- adicionar-dst-à-lista de endereços: endereço de destino, após corresponder o pacote vai para a próxima regra.
- adicionar-src-à-lista de endereços: Endereço de Origem. Depois de combinar o pacote vai para a próxima regra.
- cair: o pacote é descartado. Depois de combinar o pacote vai para a próxima regra.
- saltar: jump é definido pelo usuário e é usado para pular para uma regra específica, definida pelo jump-target. Após a correspondência, o pacote vai para a próxima regra definida no jump-target.
- log: Adiciona uma mensagem aos logs com as seguintes informações: in-interface, out-interface, src-mac, protocol, src-ip:port->dst-ip:port e comprimento do pacote. Depois de combinar o pacote vai para a próxima regra.
- atravessar- Se esta opção estiver marcada, habilitará a opção de ignorar a regra de subtração e passar para a próxima (muito útil para estatísticas de rede).
- rejeitar- Descarta os pacotes icmp e envia uma mensagem definida pelo usuário informando que o pacote não foi passado para a próxima regra.
- retorno- Passa novamente o controle do filtro, onde o filtro anterior se originou. Após a correspondência, o pacote passa para a próxima regra (somente se a regra anterior não fizer com que o pacote seja descartado e interrompa a correspondência).
- tarpit- Captura e retém pacotes TCP (réplicas com SYN/ACK para pacotes TCP SYN recebidos). Depois de combinar o pacote vai para a próxima regra.
Protegendo seu roteador (entrada)
- El cadeia = entrada analisa todo o tráfego de entrada para o roteador.
- Ao aplicar uma regra chain = entrada, a entrada de informações no roteador é controlada
MikroTik dá as seguintes sugestões para entrada
Supondo que a interface ether1 esteja conectada a uma WAN insegura.
- Aceitar tráfego de icmp-echo-reply (se você deseja ter uma réplica de ping pela internet, isso é útil quando gerenciamos servidores)
- Descartar todo o tráfego icmp-echo-request (Quando não queremos que outro dispositivo nos faça ping. Com isso evitamos ser alvo de ataques como ataques smurf ou outros)
- Aceite todo o tráfego de entrada estabelecido e relacionado.
- Elimine todo o tráfego inválido.
- Registrar todo o outro tráfego
- Descarte todo o outro tráfego.
Protegendo todos os clientes (encaminhar)
O tráfego de encaminhamento é o tráfego que passa pelo roteador.
MikroTik dá as seguintes sugestões para o Forward
Supondo que a interface ether1 esteja conectada a uma WAN insegura.
- Aceite todo o tráfego de encaminhamento estabelecido e relacionado.
- Elimine todo o tráfego inválido.
- Registrar todo o outro tráfego (para verificar se algum pacote importante foi bloqueado)
- Descarte todo o outro tráfego.
- Compartilhe este artigo
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
Outros documentos nesta categoria
Tutoriais disponíveis no MikroLABs
Nenhum curso encontrado!
