Cấu trúc: chuỗi và hành động
- Chuỗi: là một nhóm các quy tắc dựa trên cùng một tiêu chí. Có ba chuỗi mặc định dựa trên các tiêu chí được xác định trước.
- đầu vào: Lưu lượng truy cập đến bộ định tuyến
- chuyển tiếp: Lưu lượng đi qua bộ định tuyến
- đầu ra: Lưu lượng truy cập đến từ bộ định tuyến
- Ví dụ: bạn có thể triển khai một chuỗi được truyền vào:
- Dựa trên tiêu chí: tất cả lưu lượng truy cập icmp.
- Dựa trên lưu lượng truy cập đến từ các cổng Ethernet, ví dụ: Ether2 hướng tới mạng LAN từ xa hoặc mạng cầu nối.
- Người dùng xác định các chuỗi và chúng được tạo tùy thuộc vào các tham số có thể so sánh và nếu họ muốn, họ có thể thực hiện "nhảy" để sau khi kết quả khớp đã được xác nhận, một bước nhảy sẽ được thực hiện theo quy tắc khác trong tường lửa, Điều này được xác định trong "mục tiêu nhảy"
- Một hành động chỉ ra bộ lọc hoặc quy tắc sẽ làm gì khi các gói đáp ứng tất cả các điều kiện cần lọc.
- Các gói được kiểm tra tuần tự theo các quy tắc hiện có trong chuỗi tường lửa hiện tại cho đến khi xảy ra sự trùng khớp. (Khi bạn có #, điều đó có nghĩa là nó sẽ tôn trọng một thứ tự: thứ tự đầu tiên nếu chúng khớp nhau, hành động sẽ được áp dụng và từ đó nó sẽ chuyển sang thứ tự tiếp theo nếu tùy chọn đó được bật, nếu không thì quá trình phân tích sẽ kết thúc ở đó)
Lọc tường lửa đang hoạt động
Bạn có thể tận dụng tính bảo mật của tường lửa theo nhiều cách khác nhau như:
- Hãy tin tưởng vào tính bảo mật của mạng LAN của chúng ta vì những gì đến từ mạng WAN là không an toàn.
- Chúng tôi chặn tất cả mọi người và chỉ cho phép những gì chúng tôi đồng ý.
- Chúng tôi sẽ cho phép mọi thứ và chỉ chặn những gì gây ra vấn đề.
Mẹo và thủ thuật cơ bản
- Trước khi thực hiện thay đổi tường lửa, hãy vào "chế độ an toàn"
- Sau khi thực hiện cấu hình và thay đổi quy tắc tường lửa, nên kiểm tra điểm yếu: công cụ được đề xuất: ShieldsUP
- Trước khi bắt đầu, bạn nên viết bằng văn bản thuần túy hoặc trên giấy một mô tả đơn giản về các chính sách bạn muốn áp dụng.
- Khi bạn đã hiểu và đồng ý với chúng, bạn tiến hành đăng nhập vào bộ định tuyến.
- Thêm dần dần các quy tắc sau khi bạn đã hài lòng với các quy tắc cơ bản đã nhập.
- Nếu bạn mới làm quen với lĩnh vực an ninh thì không nên nhập nội quy chỉ mọi hướng, làm cơ bản là đủ nhưng phải làm tốt.
- Bạn nên kết thúc chuỗi của mình bằng các quy tắc chung và xem bạn có thể đã bỏ lỡ những gì.
- Bạn sẽ cần hai quy tắc tổng hợp, một quy tắc ghi và một quy tắc lưu cho tất cả lưu lượng truy cập chưa từng có. Cả hai đều phải dựa trên các thông số so sánh giống nhau để nó hữu ích cho bạn.
- Khi bạn thấy điều gì tạo nên quy tắc chung, bạn có thể thêm quy tắc mới dựa trên hành vi mà tường lửa mong muốn.
Lọc theo tham số (Thao tác lọc)
Trước khi quyết định thực hiện hành động trên tường lửa, trước tiên bạn phải xác định được nó. Chúng tôi có nhiều thông số để có thể so sánh.
Khi việc so khớp đã được thực hiện với tất cả các tham số của một quy tắc và chúng khớp nhau thì một hành động sẽ được thực hiện. Tường lửa MikroTik có 10 hành động sau:
- chấp nhận: Chấp nhận gói hàng. Gói sẽ không còn được chuyển sang quy tắc tường lửa tiếp theo nữa.
- thêm-dst-vào-danh sách địa chỉ: địa chỉ đích, sau khi khớp gói sẽ chuyển sang quy tắc tiếp theo.
- thêm-src-vào-danh sách địa chỉ: địa chỉ nguồn. Sau khi khớp gói sẽ chuyển sang quy tắc tiếp theo.
- rơi vãi: gói tin bị loại bỏ. Sau khi khớp gói sẽ chuyển sang quy tắc tiếp theo.
- nhảy: bước nhảy được xác định bởi người dùng và được sử dụng để chuyển đến một quy tắc cụ thể, được xác định bởi mục tiêu nhảy. Sau khi khớp, gói sẽ chuyển sang quy tắc tiếp theo được xác định trong mục tiêu nhảy.
- đăng nhập: Thêm thông báo vào nhật ký với các thông tin sau: giao diện trong, giao diện ngoài, src-mac, giao thức, src-ip:port->dst-ip:port và độ dài của gói. Sau khi khớp gói sẽ chuyển sang quy tắc tiếp theo.
- chuyển qua- Nếu tùy chọn này được chọn, nó sẽ kích hoạt tùy chọn bỏ qua quy tắc trừ và chuyển sang quy tắc tiếp theo (rất hữu ích cho thống kê mạng).
- từ chối- Loại bỏ các gói icmp và gửi một tin nhắn do người dùng xác định rằng gói không được chuyển sang quy tắc tiếp theo.
- trở lại- Vượt qua quyền kiểm soát bộ lọc một lần nữa, nơi bộ lọc trước đó bắt nguồn. Sau khi khớp gói, gói sẽ chuyển sang quy tắc tiếp theo (chỉ khi quy tắc trước đó không khiến gói bị loại bỏ và dừng khớp).
- tấm bạt- Chụp và giữ lại các gói TCP (bản sao bằng SYN/ACK cho các gói TCP SYN đến). Sau khi khớp gói sẽ chuyển sang quy tắc tiếp theo.
Bảo vệ bộ định tuyến của bạn (đầu vào)
- El chuỗi=đầu vào phân tích tất cả lưu lượng truy cập đến bộ định tuyến.
- Khi áp dụng quy tắc chain=đầu vào, việc nhập thông tin vào bộ định tuyến được kiểm soát
MikroTik đưa ra những gợi ý sau cho phần Đầu vào
Giả sử giao diện ether1 được kết nối với mạng WAN không an toàn.
- Chấp nhận lưu lượng truy cập từ icmp-echo-reply (nếu bạn muốn có bản sao ping qua internet, điều này rất hữu ích khi chúng tôi quản lý máy chủ)
- Loại bỏ tất cả lưu lượng truy cập icmp-echo-request (Khi chúng tôi không muốn một thiết bị khác ping chúng tôi. Với điều này, chúng tôi tránh bị nhắm mục tiêu bởi các cuộc tấn công như tấn công smurf hoặc các cuộc tấn công khác)
- Chấp nhận tất cả lưu lượng truy cập đến được thiết lập và có liên quan.
- Loại bỏ tất cả lưu lượng truy cập không hợp lệ.
- Ghi lại tất cả lưu lượng truy cập khác
- Loại bỏ tất cả các lưu lượng truy cập khác.
Bảo vệ tất cả khách hàng (chuyển tiếp)
Lưu lượng chuyển tiếp là lưu lượng đi qua bộ định tuyến.
MikroTik đưa ra những gợi ý sau cho Forward
Giả sử giao diện ether1 được kết nối với mạng WAN không an toàn.
- Chấp nhận tất cả lưu lượng truy cập chuyển tiếp được thiết lập và có liên quan.
- Loại bỏ tất cả lưu lượng truy cập không hợp lệ.
- Ghi lại tất cả lưu lượng truy cập khác (để xác minh xem có gói quan trọng nào bị chặn không)
- Loại bỏ tất cả các lưu lượng truy cập khác.