Mikrotik drop или reject

ShareIT — поделись знаниями!

Полезно

Узнать IP — адрес компьютера в интернете

Онлайн генератор устойчивых паролей

Онлайн калькулятор подсетей

Калькулятор инсталляции IP — АТС Asterisk

Руководство администратора FreePBX на русском языке

Руководство администратора Cisco UCM/CME на русском языке

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Популярное и похожее

Настройка PPTP клиента на Mikrotik

Мониторим MikroTik с помощью Zabbix по SNMP

Умная защита от атак MikroTik

Мониторим MikroTik с помощью Zabbix по SNMP

Про Firewall в Mikrotik

Фаервол на Микротике основан на базе принципов iptables в Linux позволяет фильтровать входящий и исходящий трафик по определенным правилам. В статье мы хотим рассказать про ключевые компоненты Firewall, дизайне и реализации этого инструмента. Погнали!

Общее представление

Основная идея любого фаервола это определение того, что разрешено и запрет всего остального. Так работают все современные инструменты фильтрации. При наличии фаервола, сеть можно разделить на ненадежные, полу — надежные и надежные.

Firewall Chains

Цепочки (последовательности) фаерволов сопоставляют по своим правилам входящий и исходящий с интерфейса трафик. После того, как трафик попал под определенное правило («сматчился»), вы можете совершать определенные манипуляции с ним: разрешить, блокировать, отклонить, внести в лог запись и так далее. В Mikrotik есть следующие флаги: Input, Output и Forward.

Input Chain

Input матчит входящий на интерфейсы маршрутизатора трафик. Условно говоря – это прилетающие на роутера IP — пакеты. Обычная практика – дропать пакеты, прилетающие на WAN, направленные на сканирование портов, попытки взлома и прочие. Помимо этого, многие блокируют входящий трафик изнутри локальной сети (например, допуск к Winbox или SSH должен быть только с определенного VLAN – остальные дропаются).

Всегда используйте VLAN – это базовое разграничение, которое позволит вам обеспечить современные стандарты безопасности.

Output Chain

Как можно догадаться по названию, данный инструмент направлен на фильтрацию исходящего от роутера трафика. Здесь можно блокировать запросы, исходящие непосредственно с роутера: например, DNS или ICMP запрос с роутера.

Forward Chain

Самое интересное – данный инструмент «матчит» трафик проходящий через Mikrotik с одного интерфейса на другой. Пример: пакет, отправленный с хоста внутри LAN через маршрутизатор в сторону провайдера. Пакет прилетает на внутренний интерфейс, а выходит через WAN.

Firewall Actions

Правила на фаерволе могут делать множество вещей, основные из которых: accept (принять), drop (сбросить) и отклонить (reject).

Accept

Данное правило позволяет просто «пропустить» проходящий через фаервол трафик. Никакой модификации или изменения маршрута – пакету будет позволено продолжить свой изначальный путь.

Reject

Фаервол может легко отклонить (сделать reject) пакетов, которые попадут под определенное правило. При этом, источнику такого пакета будет отправлено уведомление о соответствующей блокировке.

В данном методе есть один весомый минус: в случае, если злоумышленник попробует «сканировать» порты или совершить другой вид атаки – отправленные в его сторону REJECT сообщения лишь помогут ему в злодеяниях. Поэтому, в целях безопасности, мы рекомендуем использовать DROP.

Данное правило «дропает» пакет без отправления уведомления об этом источнику. Этот метод наиболее безопасен на этапе защиты своего Mikrotik от сканирования портов и прочих атак.

Firewall Rules

Правила Firewall определяют пакеты, которые будут обработаны на уровне фаервола, а какие будут отброшены. Каждое правило – это комбинация параметров IP – адресации (источник/получатель пакета), цепочек (chains), действий (actions), интерфейсов и прочих опций. Как мы говорили ранее – хорошо настроенный фаервол пропустит только необходимый для бизнеса трафика, дав запрет на пропуск всего остального потока трафика. Указывая набор разрешающих правил, всегда замыкайте их на конце строчкой «DENY ALL» (запретить все).

Chains

Каждое создаваемое правило назначается определенной цепочке (chain). После определения принадлежности к цепочке, пакеты проходят проверку через последовательность правил в порядке убывания (сверху вниз).

Порядок правил в фаерволе играет важную роль! Поэтому, от последовательности проверки зависит эффективность фильтрации.

Actions

Правило отрабатывает по одному из основных действий: принять (accept), отклонить (reject) и отбросить (drop). Выше мы подробнее рассказывали про каждое из указанных действий.

Адресация

Нашему правилу можно сказать, по какому критерию проводить блокировку: это может быть протокол, IP – адрес (это может быть как хост с /32 маской, так и целая подсеть с /24, например). Помимо этого, критерием могут быть физические или логические интерфейсы (eth/GRE).

Комментарии

Создавая правила комментируйте их. Это важно, как и при программировании – код без комментариев очень сложно анализировать и понимать в будущем.

Советы

Хотим так же поделиться парой полезных советов по настройке Firewall:

1. Разрешайте только необходимый для работы трафик — да, это сложно. Но методом проб и ошибок мы рекомендуем добиться той настройки фаервола, в рамках которой все ваши подключения будут ясны и понятны.
2. Подключения только с определенного пула адресов — это может быть удаленный офис, IP – адреса ЦОД или VPN адресация. Тут нужно быть особенно бдительным.
3. В конце правил всегда используйте «deny all» — после того, как вы выполнили первую и вторую рекомендации и весь тип трафика по протоколам, адресации, источникам (в том числе L7, например) четко определен – в конце цепочки добавьте правило запрета всего. Это будет означать, дословно: «Все, что не разрешено — запрещено».
4. Атакуйте свою сеть! — да, да, вы не ослышались. Конечно, без фанатизма 🙂 Мы предлагаем периодически сканировать порты на вашем фаерволе. Например, это можно делать с помощью утилиты исследования сети Nmap.

• Mikrotik Firewall
• Микротик фаервол
• 1604
• 22

Пожалуйста, расскажите почему?

Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.

Как известно, в брандмауэре доступны три действия с пакетами. [short]

ACCEPT – пакет принимается

DROP – пакет «сбрасывается» без уведомления хостинга-источника.

REJECT – пакет «сбрасывается», однако хостинг-отправитель получает сообщение об ошибке «Communication administratively prohibited" (ICMP тип 3, код 13).

Если мы используем DROP, то пакет просто удаляется без уведомления отправителя об этом. В случае с REJECT уведомитель

получает сообщение о том, что передача пакета на сервер была запрещена.

Большинство брандмауэров настроены таким образом, что они используют DROP по отношению к нежелательным пакетам.

Плюсы данного подхода следующие:

* Данный подход помогает скрыть брандмауэр. Суть в том, что если брандмауэр не высылает сообщений, то атакующий не может определить, у кого установлен брандмауэр.

Однако при внимательном рассмотрении становится ясно, что атакующий может догадаться о наличии брандмауэра уже по тому, что на сервер-источник не приходят сообщения об ошибках.

Либо злоумышленник может, к примеру, использовать сканирование TCP ACK в утилите nmap. Это сканирование используется для того, чтобы определить, фильтруется ли порт брандмауэром.

Алгоритм действий атакующего следующий: проверка ACK, далее высылается RST-пакет, если ни один пакет не принят, то это признак того, что порт находится под фильтрацией.

* Второй аргумент в пользу DROP в том, что его использование помогает уменьшить траффик.

Однако и это преимущество оказывается не таким уж значительным. Из-за того, что протокол TCP пытается установить надежное соединение, даже после того, как первый пакет сбрасывается, сервер-источник довольно долго продолжает пытаться установить соединение и высылает значительное количество пакетов, увеличивая траффик.

Поэтому есть смысл в том, чтобы использовать во многих ситуациях опцию REJECT вместо DROP.

Научиться настройке MikroTik можно на онлайн курсе по оборудованию этого производителя. Автор курса является сертифицированным тренером MikroTik. Подробней Вы можете прочитать в конце статьи.

В целом базовая настройка безопасности mikrotik firewall , основанная на брандмауэре Linux iptables, позволяет трафику фильтроваться внутри, вне и через устройства RouterOS. Эта реализация брандмауэра принципиально отличается от некоторых вендоров, таких как Cisco. Однако в том случае, если у вас есть знания об iptables или о брандмауэрах в целом, этого будет достаточно для погружения в тему. Понимание брандмауэра RouterOS имеет решающее значение для обеспечения безопасности ваших устройств и защиты от удаленного проникновения злоумышленников. Которые могут попытаться сканировать или получить доступ к вашей сети.

Мы обсудим дизайн, цепочки, действия, правила и общие рекомендации.

Дизайн mikrotik firewall

Общая идея представлена в mikrotik firewall, и ее описание заключается в том, что трафик, который вам нужен, должен быть разрешен, а весь остальной трафик должен быть удален. В целом базовая настройка firewall mikrotik предполагает, что сеть можно разделить на ненадежные, полунадежные и надежные сетевые анклавы. В сочетании с разделением сети с использованием VLAN это позволит создать надежную, защищенную сеть, которая может оградить область нарушения, если оно произойдет.

Трафик, который разрешен из одной сети в другую, должен иметь деловые или организационные требования и быть документирован для того, чтобы mikrotik firewall настройка была успешной. Наилучший подход заключается в том, чтобы вывести ваш текущий дизайн сети и провести сетевые подключения, которые должны быть разрешены. Разрешенный трафик будет иметь mikrotik правила firewall, позволяющие его передавать, а затем окончательное правило сработает как «уловка» и весь остальной трафик будет отброшен. Иногда это называется правилом “Deny All”, а в случае с Cisco, часто встречается правило “Deny Any-Any”. В целом mikrotik firewall rules можно значительно упростить, если разрешить все то, что вам нужно, а все остальное удалить.

Первой концепцией для понимания являются сети брандмауэров и то, как они используются в правилах брандмауэра, и mikrotik firewall примеры явно это показывают.

Цепочки передачи пакетов Firewall Chains

Итак, mikrotik правильная настройка firewall предполагает, что цепи брандмауэра соответствуют трафику, входящему и выходящему из интерфейсов. После того, как трафик сопоставлен, вы можете действовать по нему, используя правила, которые блокируют действия – разрешают, блокируют, отклоняют, регистрируют и т. д. Существуют три цепочки по умолчанию для соответствия трафику – вход, выход и пересылка. Вы можете создавать свои собственные сети, но это более продвинутая тема, которая будет рассмотрена в другой статье.

Пакеты, адресованные маршрутизатору MikroTik (Input Chain)

Также есть мы mikrotik настраиваем firewall, то Input Chain соответствует трафику, направленному по направлению к самому маршрутизатору, адресованному интерфейсу на устройстве. Это может быть трафик Winbox, сеансы SSH или Telnet или администратор, непосредственно пинговый маршрутизатор. Обычно большинство входных трафиков в WAN отбрасываются, чтобы остановить сканеры портов, попытки взлома входа в систему и т.д. В некоторых организациях также удаляется входной трафик из локальных сетей, поскольку Winbox, SSH и другой административный трафик ограничиваются управлением VLAN.

Не все организации используют выделенную VLAN управления, но она считается лучшей практикой в ​​целом и есть в mikrotik настройка firewall. Это помогает убедиться, что злоумышленник или кто-то, кто получает внутренний доступ, не может напрямую обращаться к устройствам и попытаться обойти меры безопасности организации, и что mikrotik firewall connection безопасна.

Исходящие пакеты (Output Chain)

Output Chain соответствует трафику, исходящему от самого маршрутизатора. Это может быть администратор, отправляющий пинг непосредственно с маршрутизатора на шлюз ISP для проверки возможности подключения. Это также может быть маршрутизатор, отправляющий DNS-запрос от имени внутреннего хоста, или маршрутизатор, обращающийся к mikrotik.com, для проверки обновлений. Многие организации не защищают исходящий трафик, потому что трафик, соответствующий цепочке вывода, должен исходить от самого маршрутизатора. Mikrotik firewall настройка безопасность предполагает, что трафик, вызывающий доверие, которым предполагается, что устройство не было скомпрометировано.

Пакеты, предназначенные внутренним абонентам (Forward Chain)

Forward Chain в mikrotik firewall filter сопоставляет трафик, проходящий через маршрутизатор, от одного интерфейса к другому. Это маршрутизируемый трафик, который устройство передает из одной сети в другую. Для большинства организаций основная часть их межсетевого трафика находится в этой цепочке. В конце концов, мы говорим о маршрутизаторе, чья задача заключается в том, чтобы нажимать пакеты между сетями.

Примером трафика, который соответствует цепочке Forward, будут пакеты, отправленные с хоста LAN через маршрутизатор, исходящий на шлюз поставщика услуг через маршрут по умолчанию. В одном интерфейсе и из другого, направленного таблицей маршрутизации.

Операции с пакетами (Firewall Actions)

Правила брандмауэра mikrotik vpn firewall могут выполнять несколько операций с пакетами, когда они проходят через брандмауэр. Существует три основных действия, которые правила брандмауэра RouterOS могут принимать пакеты – Accept, Drop и Reject. Другие действия существуют и будут охватываться различными статьями по мере их применения, но эти три являются основой брандмауэра.

Пропуск пакетов (Accept)

Это правила, которые «принимают» трафик позволяют сопоставлять пакеты через брандмауэр. Пакеты не изменяются и не перенаправляются, их просто разрешают путешествовать через брандмауэр. Помните, мы должны только разрешить трафик, который нам нужен, и заблокировать все остальное.

Отклонение пакетов (Reject)

“Reject” – это правила, которые отклоняют пакеты блоков трафика в mikrotik firewall script и отправляют ICMP «отклонять» сообщения источнику трафика. Получение отказа ICMP показывает, что пакет действительно прибыл, но был заблокирован. Это действие в mikrotik скрипт firewall будет безопасно блокировать вредоносные пакеты, но сообщения об отказе могут помочь злоумышленнику отпечатать ваши устройства во время сканирования порта. Он также позволяет злоумышленнику узнать, что на этом IP-устройстве работает устройство, и что они должны исследовать дальше. Во время оценки безопасности, в зависимости от аудитора и стандартов, которые вы проверяете против него, может быть, а может и не быть аудит, если ваш брандмауэр отклоняет пакеты. Не рекомендуется в качестве лучшей практики защиты отклонять пакеты, вместо этого вы должны молча «отбрасывать» их.

Сброс пакетов (Drop)

«Drop» – это правила, которые блокируют пакеты трафика в брандмауэре, молча отбрасывая их без сообщения об ошибке для источника трафика. Это предпочтительный метод обработки. Когда правила сброса настроены правильно, сканер ничего не получит назад, как будто на конкретном IP-адресе ничего не происходит. Это желаемый эффект хороших правил брандмауэра.

Правила MikroTik Firewall

Правила брандмауэра определяют, какие пакеты разрешены, и которые будут отброшены. Они представляют собой комбинацию цепей, действий и адресации (источник / место назначения). Хорошие правила брандмауэра позволяют трафику, который требуется пройти для подлинной деловой или организационной цели, и отбрасывает весь другой трафик в конце каждой цепочки. Используя правило «запретить все» в конце каждой цепочки, мы сохраняем множество правил брандмауэра намного короче, потому что для всех других профилей трафика не должно быть кучи правил «запретить».

Цепочки правил межсетевого экрана (Chains)

Каждое правило применяется к определенной цепочке, а присвоение цепочки по каждому правилу необязательно. Пакеты соответствуют определенной цепочке, а затем правила этой сети брандмауэра оцениваются в порядке убывания. Поскольку порядок имеет значение, правила в правильной последовательности могут сделать брандмауэр более эффективным и безопасным. Наличие правил в неправильном порядке может означать, что основная часть ваших пакетов должна быть оценена по многим правилам, прежде чем ударить правило, которое, наконец, позволяет это, тратя время на ценные ресурсы обработки.

Действия при обработке пакетов

Все правила брандмауэра должны иметь действие, даже если это действие предназначено только для регистрации соответствующих пакетов. Три типичных действия, используемые в правилах: Accept, Reject и Drop, как описано выше.

Адресация пакетов

Это сообщает брандмауэру для каждого правила, какой трафик соответствует правилу. Эта часть является необязательной – вы можете просто заблокировать весь протокол без указания его источника или адресата. Существует несколько вариантов адресации трафика, поступающего в маршрутизатор или через него. Вы можете указать IP-адреса источника или назначения, включая отдельные IP-адреса хоста или подсети, используя нотацию CIDR (/24, /30 и т. д.). Интерфейсы также могут использоваться для фильтрации трафика на определенном интерфейсе или из него, который может осуществляться через физический интерфейс, такой как Ethernet-порт или логический интерфейс, например, созданные GRE-туннелями. Это часто делается при блокировании трафика, когда источник или место назначения трафика не всегда известны. Хорошим примером этого является трафик, поступающий на маршрутизатор через поставщика услуг – этот трафик может происходить из Азии, Европы или где-либо еще. Поскольку вы не знаете, что этот трафик является правилом deny, он используется для входящего на интерфейс WAN, чтобы просто его удалить.

Комментарии к правилам межсетевого экрана

Очень важно добавить комментарий к правилам брандмауэра, для вашего собственного здравомыслия и для вашей сетевой команды. При создании правил брандмауэра практически не требуется времени, и это может сэкономить значительное время при устранении неполадок. Это также может избавить вас от ошибок при настройке правил брандмауэра на линию, так как сети меняются и развиваются. Если вы не создали комментарий во время создания правила, просто добавьте комментарий, подобный этому, используя в качестве примера правило №2:

Рекомендации по межсетевому экрану

Ряд передовых методов широко внедряется в сетевой индустрии, и неплохо ознакомиться с тем, что они собой представляют, почему они реализованы, и тем влиянием, которое они оказывают на безопасность вашей организации.

Разрешать только важный трафик

Об этом уже говорилось уже пару раз, но об этом стоит упомянуть еще раз. Разрешайте только трафик, необходимый в сети и вне ее. Это уменьшает поверхность атаки, которая подвергается атакам, и помогает ограничить повреждение нарушения. С учетом сказанного, ограничение сетевого трафика слишком сильно может ограничить функциональность или производительность, поэтому требуется некоторое количество баланса и тестирования.

Разрешить только доверенные внешние адреса

Открытие (или «pinholing») брандмауэра является приемлемой и необходимой практикой, но вы можете разрешать входящие подключения к вашей сети через доверенные адреса. Это могут быть другие офисы или места расположения центров данных или подключения к внутренним ресурсам через VPN-туннели.

Используйте правило «deny all» в конце каждой цепочки

Вместо того чтобы вводить множество правил «отклонения», чтобы отбросить трафик, полагайтесь на окончательное правило «запретить все» в каждой цепочке для обработки нежелательного трафика. Добавление дополнительных правил «запретить» для мониторинга определенных профилей трафика или для помощи в поиске и устранении неисправностей является хорошей практикой, но добавление правил отказа в верхней части окончательного правила раздувает брандмауэр и долгое время использует ресурсы.

Сканирование собственных брандмауэров

Периодически сканирование ваших собственных брандмауэров и других устройств для открытых портов и сервисов является важной частью любой программы сетевой безопасности, так как в mikrotik firewall nat и не только могут происходить изменения. Это совсем не сложно, и вы можете использовать инструменты с открытым исходным кодом. Наличие устройств, подключенных к Интернету, означает, что теперь вы практически гарантированно должны быть отсканированы субъектами угрозы, которые ищут легкие цели и устройства с плохими или отсутствующими конфигурациями. Пример поиска такой уязвимости:

Nmap – это типичный инструмент для сканирования портов и сервисов.

MikroTik: куда нажать, чтобы заработало?
При всех своих достоинствах, есть у продукции компании MikroTik один минус – много разобщенной и далеко не всегда достоверной информации о ее настройке. Рекомендуем проверенный источник на русском языке, где все собрано, логично и структурировано – видеокурс « Настройка оборудования MikroTik ». В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект. Все материалы остаются у вас бессрочно. Начало курса можно посмотреть бесплатно, оставив заявку на странице курса. Автор курса является сертифицированным тренером MikroTik.