Kusanidi kwa usahihi ngome kwenye kipanga njia cha MikroTik ni muhimu ili kulinda mtandao wako dhidi ya ufikiaji usioidhinishwa na aina zingine za vitisho vya usalama. Ingawa sheria mahususi zinaweza kutofautiana kulingana na mahitaji na usanidi wa kila mtandao, kuna sheria na kanuni za jumla ambazo zinapendekezwa kwa mazingira mengi.
Zifuatazo ni baadhi ya sheria na mbinu bora za kichujio cha ngome, NAT, na sehemu zingine muhimu za usanidi katika MikroTik RouterOS.
Kichujio cha Firewall
Madhumuni ya chujio cha firewall ni kudhibiti trafiki inayopita kupitia router, kukuwezesha kuzuia au kuruhusu trafiki kulingana na vigezo fulani.
- Zuia ufikiaji usioidhinishwa wa kipanga njia:
Hakikisha umezuia ufikiaji wa kipanga njia kutoka nje ya mtandao wa ndani. Hii kwa kawaida hufanywa kwa kuzuia milango ya usimamizi, kama vile 22 (SSH), 23 (Telnet), 80 (HTTP), 443 (HTTPS), na 8291 (Winbox).
/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"
2. Kinga dhidi ya mashambulizi ya kawaida:
Tekeleza sheria ili kulinda mtandao wako dhidi ya mashambulizi ya mara kwa mara, kama vile mafuriko ya SYN, mafuriko ya ICMP, na uchunguzi wa mlango.
Mashambulizi ya Mafuriko ya SYN
/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"
Mashambulizi ya Mafuriko ya ICMP
/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"
3. Ruhusu trafiki inayohitajika:
Sanidi sheria ili kuruhusu trafiki halali inayohitajika kwa mtandao wako. Hii inajumuisha trafiki ya ndani na trafiki kwenda na kutoka kwa Mtandao kulingana na mahitaji yako mahususi.
Kwa kudhani unataka kuruhusu ufikiaji wa SSH kutoka kwa mtandao wako wa karibu pekee:
/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"
4. Acha kila kitu kingine:
Kama mazoea ya usalama, trafiki yoyote ambayo haijaruhusiwa wazi hapo awali inapaswa kuzuiwa. Hii kwa kawaida hufanywa mwishoni mwa sheria zako za kichujio cha ngome na sheria inayokataa au kuangusha trafiki nyingine zote.
Sheria hii inapaswa kuwekwa mwishoni mwa sheria zako za kichujio ili kufanya kazi kama sera ya kukataa chaguo-msingi.
/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"
NAT (Tafsiri ya Anwani ya Mtandao)
NAT hutumiwa kwa kawaida kutafsiri anwani za IP za kibinafsi kwenye mtandao wako wa karibu hadi anwani ya IP ya umma kwa ufikiaji wa mtandao.
- Masquerade:
- Tumia kitendo
masquerade
katika mnyororosrcnat
kuruhusu vifaa vingi kwenye mtandao wako wa karibu kushiriki anwani ya IP ya umma kwa ufikiaji wa mtandao. Hii ni muhimu kwa mitandao inayofikia Mtandao kupitia muunganisho wa mtandao mpana na IP moja ya umma.
- Tumia kitendo
- DNAT kwa huduma za ndani:
- Iwapo unahitaji kufikia huduma za ndani kutoka nje ya mtandao wako, unaweza kutumia Destination NAT (DNAT) kuelekeza trafiki inayoingia kwenye IP za faragha zinazolingana. Hakikisha unafanya hivi tu kwa huduma muhimu na uzingatie athari za usalama.
Mazingatio Mengine ya Usalama
- Sasisho za Programu:
- Sasisha kipanga njia chako cha MikroTik ukitumia toleo jipya zaidi la RouterOS na programu dhibiti ili kulinda dhidi ya athari zinazojulikana.
- Safu ya 7 ya Usalama:
- Kwa trafiki maalum ya programu, unaweza kusanidi sheria za Tabaka la 7 ili kuzuia au kuruhusu trafiki kulingana na ruwaza katika pakiti za data.
- Kikomo cha Masafa ya Anwani za IP:
- Huzuia ufikiaji wa huduma fulani za kipanga njia kwa safu maalum za anwani za IP pekee, na hivyo kupunguza hatari ya ufikiaji ambao haujaidhinishwa.
Kumbuka kwamba haya ni miongozo ya jumla tu. Mipangilio yako mahususi ya ngome-mtanda inapaswa kutegemea tathmini ya kina ya mahitaji yako ya usalama, sera za mtandao, na masuala ya utendaji. Zaidi ya hayo, inashauriwa kufanya majaribio ya usalama wa mtandao mara kwa mara ili kutambua na kupunguza uwezekano wa kuathirika.
Hakuna lebo za chapisho hili.
Maoni 2 kuhusu "Ni sheria gani ambazo kila kipanga njia cha MikroTik kinapaswa kuwa nacho, kwenye kichujio cha ngome, nat, nk?"
Habari katika sehemu hii ni mbaya sana, nilidhani ningepata habari za kina lakini hakuna chochote cha kuendelea kutafuta kwenye mtandao.
José, maoni yako ni sahihi sana, kwa hivyo nimeendelea kupanua na kusasisha hati.
Ninathamini sana maoni yako na natumai sasa yataondoa mashaka yako.