Tùy chọn tường lửa “thô” trong MikroTik RouterOS là một công cụ mạnh mẽ để giảm thiểu các cuộc tấn công, bao gồm cả các cuộc tấn công dựa trên ICMP (Giao thức tin nhắn điều khiển Internet).

Tường lửa thô hoạt động ở giai đoạn đầu của quá trình xử lý gói, cho phép nó xử lý hiệu quả các gói không mong muốn trước khi chúng tiêu tốn tài nguyên hệ thống ngoài quá trình xử lý cơ bản.

Để giảm thiểu các cuộc tấn công ICMP, chẳng hạn như lũ ping (một loại tấn công DDoS trong đó kẻ tấn công gửi cho nạn nhân các gói ICMP để làm cạn kiệt tài nguyên của nó), bạn có thể sử dụng các quy tắc trong bảng thô để loại bỏ hoặc hạn chế lưu lượng truy cập này.

Điều này là do các quy tắc trong bảng này được xử lý trước các quy tắc trong bảng bộ lọc và bảng nat, cho phép can thiệp sớm và giảm thiểu tác động đến hiệu suất của bộ định tuyến.

Định cấu hình quy tắc trong Tường lửa thô để giảm thiểu các cuộc tấn công ICMP

Dưới đây là ví dụ về cách định cấu hình quy tắc trong tường lửa thô để hạn chế các gói ICMP:

1. Truy cập bộ định tuyến MikroTik của bạn thông qua Winbox, WebFig hoặc SSH.
2. Chuyển đến phần Tường lửa “thô”:
   • Trong Winbox hoặc WebFig: Đi tới IP > Firewall và sau đó đến tab Raw.
   • Trên dòng lệnh: Sử dụng lệnh /ip firewall raw.
3. Thêm quy tắc để hạn chế lưu lượng ICMP:
   • Đối với Winbox hoặc WebFig: Bấm vào + để thêm một quy tắc mới. Trong tab General, Chọn icmp lĩnh vực Protocol. Trên tab Actionchọn drop o limit như một hành động và định cấu hình các tham số theo nhu cầu của bạn.
   • Trên dòng lệnh: Sử dụng lệnh tương tự như /ip firewall raw add action=drop chain=prerouting protocol=icmp icmp-options=8:0 limit=10,20:packet.

Về cơ bản, ví dụ này nói: “Loại bỏ các gói ICMP loại 8 (yêu cầu tiếng vang) vượt quá giới hạn 10 gói mỗi giây với một loạt 20 gói.” Điều chỉnh giới hạn và mức tăng đột biến dựa trên lưu lượng truy cập bình thường dự kiến ​​và dung lượng mạng của bạn.

Cân nhắc

• Độ chính xác: Đảm bảo bạn định cấu hình chính xác các quy tắc để tránh chặn lưu lượng ICMP hợp pháp, điều này rất hữu ích cho việc chẩn đoán mạng và kiểm soát luồng.
• Giám sát: Nên theo dõi lưu lượng truy cập ICMP thường xuyên để điều chỉnh các quy tắc dựa trên hành vi được quan sát và tránh các kết quả dương tính giả.
• bổ sung cho nhau: Mặc dù tường lửa thô có hiệu quả trong việc giảm thiểu các cuộc tấn công, hãy cân nhắc sử dụng nó kết hợp với các biện pháp bảo mật khác, chẳng hạn như các quy tắc tường lửa trong bảng bộ lọc, để bảo vệ hoàn toàn.

Việc sử dụng tường lửa thô có thể là một biện pháp hiệu quả để giảm thiểu các cuộc tấn công ICMP, nhưng nó phải là một phần của cách tiếp cận chiến lược, rộng hơn đối với an ninh mạng.