Güvenlik duvarını MikroTik yönlendiricide doğru şekilde yapılandırmak, ağınızı yetkisiz erişimden ve diğer güvenlik tehditlerinden korumak için çok önemlidir. Her ağın ihtiyaçlarına ve yapılandırmasına bağlı olarak belirli kurallar değişiklik gösterse de çoğu ortam için önerilen belirli genel kurallar ve ilkeler vardır.
Aşağıda, MikroTik RouterOS'taki güvenlik duvarı filtresi, NAT ve diğer ilgili yapılandırma bölümleri için bazı kurallar ve en iyi uygulamalar bulunmaktadır.
Güvenlik Duvarı Filtresi
Güvenlik duvarı filtresinin amacı, yönlendiriciden geçen trafiği kontrol ederek belirli kriterlere göre trafiği engellemenize veya trafiğe izin vermenize olanak sağlamaktır.
- Yönlendiriciye yetkisiz erişimi engelleyin:
Yerel ağınızın dışından yönlendiriciye erişimi kısıtladığınızdan emin olun. Bu genellikle 22 (SSH), 23 (Telnet), 80 (HTTP), 443 (HTTPS) ve 8291 (Winbox) gibi yönetim bağlantı noktalarının engellenmesiyle yapılır.
/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"
2. Yaygın saldırılara karşı koruyun:
Ağınızı SYN seli, ICMP seli ve bağlantı noktası taraması gibi yaygın saldırılardan korumak için kurallar uygulayın.
SYN Taşkın Saldırısı
/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"
ICMP Taşkın Saldırısı
/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"
3. Gerekli trafiğe izin ver:
Ağınız için gerekli meşru trafiğe izin vermek için kuralları yapılandırın. Buna, özel ihtiyaçlarınıza göre dahili trafik ve İnternet'e giden ve İnternet'ten gelen trafik de dahildir.
Yalnızca yerel ağınızdan SSH erişimine izin vermek istediğinizi varsayalım:
/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"
4. Geriye kalan her şeyi bırakın:
Bir güvenlik uygulaması olarak, daha önce açıkça izin verilmeyen her türlü trafiğin engellenmesi gerekir. Bu genellikle güvenlik duvarı filtre kurallarınızın sonunda, diğer tüm trafiği reddeden veya bırakan bir kuralla yapılır.
Bu kuralın, varsayılan bir reddetme politikası olarak işlev görmesi için filtre kurallarınızın sonuna yerleştirilmesi gerekir.
/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"
NAT (Ağ Adresi Çevirisi)
NAT, yerel ağınızdaki özel IP adreslerini İnternet erişimi için genel bir IP adresine çevirmek için yaygın olarak kullanılır.
- Maskeli balo:
- Eylemi kullanın
masquerade
zincirdesrcnat
Yerel ağınızdaki birden fazla cihazın İnternet erişimi için genel bir IP adresini paylaşmasına izin vermek için. Bu, İnternet'e tek bir genel IP ile geniş bant bağlantısı üzerinden erişen ağlar için gereklidir.
- Eylemi kullanın
- Dahili hizmetler için DNAT:
- Dahili hizmetlere ağınızın dışından erişmeniz gerekiyorsa, gelen trafiği ilgili özel IP'lere yönlendirmek için Hedef NAT'ı (DNAT) kullanabilirsiniz. Bunu yalnızca gerekli hizmetler için yaptığınızdan emin olun ve güvenlik sonuçlarını göz önünde bulundurun.
Diğer Güvenlik Hususları
- Yazılım güncellemeleri:
- Bilinen güvenlik açıklarına karşı koruma sağlamak için MikroTik yönlendiricinizi RouterOS'un en son sürümü ve ürün yazılımı ile güncel tutun.
- Katman 7 Güvenliği:
- Uygulamaya özel trafik için, Katman 7 kurallarını, veri paketlerindeki kalıplara dayalı olarak trafiği engelleyecek veya trafiğe izin verecek şekilde yapılandırabilirsiniz.
- IP Adresi Aralığı Sınırlaması:
- Belirli yönlendirici hizmetlerine erişimi yalnızca belirli IP adresi aralıklarıyla kısıtlayarak yetkisiz erişim riskini azaltır.
Bunların yalnızca genel kurallar olduğunu unutmayın. Özel güvenlik duvarı yapılandırmanız, güvenlik ihtiyaçlarınızın, ağ ilkelerinizin ve performans değerlendirmelerinizin ayrıntılı bir değerlendirmesine dayanmalıdır. Ayrıca, potansiyel güvenlik açıklarını belirlemek ve azaltmak için düzenli olarak ağ güvenliği testlerinin yapılması tavsiye edilir.
Bu yazı için etiket yok.
"Güvenlik duvarı filtresi, nat vb. konularda her MikroTik yönlendiricinin sahip olması gereken kurallar nelerdir?" üzerine 2 yorum
Bu bölümdeki bilgiler çok zayıf, çok detaylı bilgi alacağımı düşündüm ama internette aramaya devam edecek neredeyse hiçbir şey yok
José, yorumun çok doğru, bu yüzden belgeleri genişletmeye ve güncellemeye devam ettim.
Geri bildiriminizi çok takdir ediyorum ve umarım artık şüphelerinizi giderir.