En yaygın aramalar
mikrotikgüvenlik duvarıvpnağ kurulumuev ap
Bölüm 3.4 – Güvenlik Duvarı Filtresi
Yapı: zincirler ve eylemler
- Zincir: Aynı kriterlere dayanan kuralların gruplandırılmasıdır. Önceden tanımlanmış kriterlere dayalı üç varsayılan zincir vardır.
- giriş: Yönlendiriciye giden trafik
- ileri: Yönlendiriciden geçen trafik
- çıktı: Yönlendiriciden gelen trafik
- Örneğin, iletilen bir zinciri uygulayabilirsiniz:
- Kriterlere dayalı olarak: tüm icmp trafiği.
- Ethernet bağlantı noktalarından gelen trafiğe dayalıdır; örneğin: Uzak bir LAN'a veya bir köprü ağına doğru Ether2.
- Kullanıcılar karşılaştırılabilecek parametrelere göre oluşturulan zincirleri tanımlar ve dilerlerse "atlama" yapabilirler, böylece eşleşme onaylandıktan sonra güvenlik duvarındaki başka bir kurala geçiş yapılabilir, Bu "atlama hedefi"nde tanımlanır
- Bir eylem, paketler filtrelenecek tüm koşulları karşıladığında filtrenin veya kuralın ne yapacağını belirler.
- Paketler, bir eşleşme oluşana kadar geçerli güvenlik duvarı zincirindeki mevcut kurallara göre sırayla kontrol edilir. (# işaretine sahip olduğunuzda bu, bir sıraya uyacağı anlamına gelir: ilki eşleşirse eylem uygulanır ve eğer bu seçenek etkinse oradan bir sonrakine geçer, aksi takdirde analiz burada biter)
Güvenlik duvarı filtrelemesi iş başında
Bir güvenlik duvarının güvenliğinden aşağıdaki gibi farklı şekillerde yararlanabilirsiniz:
- WAN'dan gelenler güvensiz olduğundan LAN'ımızın güvenliğine güvenin.
- Herkesi engelleriz ve yalnızca üzerinde anlaştığımız şeylere izin veririz.
- Her şeye izin vereceğiz ve yalnızca sorun yaratan şeyleri engelleyeceğiz.
Temel İpuçları ve Püf Noktaları
- Güvenlik duvarında değişiklik yapmadan önce "güvenli moda" girelim
- Güvenlik duvarı kurallarında yapılandırmalar ve değişiklikler yaptıktan sonra, zayıf yönleri test etmeniz önerilir: önerilen bir araç: ShieldsUP
- Başlamadan önce, uygulamak istediğiniz politikaların basit bir açıklamasını düz metin olarak veya kağıt üzerine yazmanız önerilir.
- Bunları anladıktan ve kabul ettikten sonra yönlendiricide oturum açmaya devam edersiniz.
- Girilen temel kurallardan memnun kaldığınızda aşağıdaki kuralları aşamalı olarak ekleyin.
- Güvenlik alanında yeniyseniz her yöne işaret eden kurallara girmemeniz tavsiye edilir, temelleri yapmanız yeterlidir ancak bunu iyi yapmanız gerekir.
- Zincirlerinizi her şeyi kapsayan kurallarla sonlandırmak ve neleri kaçırmış olabileceğinizi görmek iyi bir fikirdir.
- Benzeri görülmemiş trafik için iki hepsini yakalama kuralına, bir günlük ve bir damlaya ihtiyacınız olacak. Sizin için yararlı olabilmesi için her ikisinin de aynı karşılaştırılan parametrelere dayanması gerekir.
- Tümünü yakalama kurallarına nelerin dahil edildiğini gördükten sonra, güvenlik duvarının istediği davranışa göre yeni kurallar ekleyebilirsiniz.
Parametrelere Göre Filtreleme (Filtre Eylemleri)
Güvenlik duvarında işlem yapmaya karar vermeden önce öncelikle onu tanımlamanız gerekir. Karşılaştırma yapabileceğimiz birçok parametremiz var.
Bir kuralın tüm parametreleriyle eşleştirme yapıldıktan ve bunlar eşleştikten sonra bir işlem gerçekleştirilecektir. MikroTik güvenlik duvarı aşağıdaki 10 eyleme sahiptir:
- kabul etmek: Paketi kabul edin. Paket artık bir sonraki güvenlik duvarı kuralına aktarılmayacaktır.
- adres listesine-dst-ekle: Hedef adres, paket eşleştirildikten sonra bir sonraki kurala gider.
- adres listesine kaynak ekleme: kaynak adresi. Paket eşleştirildikten sonra bir sonraki kurala gider.
- düşürmek: paket atılır. Paket eşleştirildikten sonra bir sonraki kurala gider.
- atlama: atlama kullanıcı tarafından tanımlanır ve atlama hedefi tarafından tanımlanan belirli bir kurala atlamak için kullanılır. Paket eşleştirildikten sonra atlama hedefinde tanımlanan bir sonraki kurala gider.
- log: Günlüklere şu bilgileri içeren bir mesaj ekler: arayüz içi, arayüz dışı, src-mac, protokol, src-ip:port->dst-ip:port ve paket uzunluğu. Paket eşleştirildikten sonra bir sonraki kurala gider.
- passthrough- Bu seçenek işaretlenirse, çıkarma kuralını göz ardı etme ve bir sonrakine geçme seçeneğini etkinleştirecektir (ağ istatistikleri için çok faydalıdır).
- reddetmek- icmp paketlerini atar ve paketin bir sonraki kurala aktarılmadığı kullanıcı tanımlı bir mesaj gönderir.
- dönüş- Önceki filtrenin oluşturulduğu yerde, filtrenin kontrolünü tekrar geçer. Paket eşleştirildikten sonra bir sonraki kurala gider (yalnızca önceki kural paketin atılmasına ve eşleşmenin durdurulmasına neden olmuyorsa).
- Katran çukuru- TCP paketlerini yakalar ve saklar (gelen TCP SYN paketleri için SYN/ACK'li kopyalar). Paket eşleştirildikten sonra bir sonraki kurala gider.
Yönlendiricinizi koruma (giriş)
- El zincir=giriş yönlendiriciye gelen tüm trafiği analiz eder.
- Bir c kuralını uygularkenhain=girdi, yönlendiriciye bilgi girişi kontrol edilir
MikroTik Giriş için aşağıdaki önerileri veriyor
Ether1 arayüzünün güvenli olmayan bir WAN'a bağlı olduğunu varsayalım.
- icmp-echo-reply'den gelen trafiği kabul edin (İnternet üzerinden bir ping kopyasına sahip olmak istiyorsanız, sunucuları yönettiğimizde bu kullanışlıdır)
- Tüm icmp-echo-request trafiğini atın (Başka bir cihazın bize ping atmasını istemediğimizde. Böylece smurf saldırıları veya benzeri saldırıların hedefi olmaktan kaçınırız)
- Tüm yerleşik ve ilgili gelen trafiği kabul edin.
- Tüm geçersiz trafiği bırakın.
- Diğer tüm trafiği günlüğe kaydet
- Diğer tüm trafiği atın.
Tüm müşterilerin korunması (ileri)
İleri trafik, yönlendiriciden geçen trafiktir.
MikroTik Forward için şu önerilerde bulunuyor:
Ether1 arayüzünün güvenli olmayan bir WAN'a bağlı olduğunu varsayalım.
- Tüm yerleşik ve ilgili ileri trafiği kabul edin.
- Tüm geçersiz trafiği bırakın.
- Diğer tüm trafiği günlüğe kaydedin (önemli paketlerin engellenip engellenmediğini doğrulamak için)
- Diğer tüm trafiği atın.
- Bu makaleyi paylaş
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
Bu kategorideki diğer belgeler
MikroLAB'larda mevcut eğitimler
Kurs Bulunamadı!
