Настройка фильтрации трафика на MikroTik. Часть 2

В этой и следующей части статьи используется следующая топология сети:

• WAN – 172.30.10.26/24, Default Gateway 172.30.10.1
• DMZ – 10.10.10.1./24
• LAN – 192.168.88.1/24

Как это настроить — смотрите статью "Разумная настройка RB2011"

Немного повторяя статью по настройке RB 2011, я позволю себе напомнить, что для начала необходимо отключить неиспользуемые на маршрутизаторе сервисы. Фактически для настройки и работы с маршрутизатором нам достаточно сервисов:

• Winbox – порт 8291 TCP;
• Ssh – порт 22 TCP;
• www – порт 80 TCP;

Открываем меню IP / Services и воспользовавшись кнопкой Disable отключаем ненужные нам сервисы.

Если вы используете для работы с MikroTik протокол ssh, хорошей идеей будет изменить его стандартный порт на какой-нибудь другой, например 65522. Для этого дважды щелкаем по строке с ssh и в открывшемся окне меняем порт:

Нажав ОК, подтверждаем выбор.

Также можно поменять порты winbox и www. Однако мы не наблюдали, чтобы порт 8291 (winbox) подвергался атаке по подбору пароля.

А вот в случае атаки порта ssh к маршрутизатору, находящемуся на внешнем IP адресе, производится до нескольких сотен попыток несанкционированного подключения в сутки.

Web-интерфейс, конечно, тоже лучше отключить, но если вы по каким-то причинам не можете использовать для настройки winbox, то будет хорошим решением разрешить доступ к web-интерфейсу маршрутизатора только из локальной сети.

Для этого дважды щелкаем по строке с www и заполняем поле available from :

Нажав кнопку ОК, подтверждаем выбор.

Заходим в меню ip/neighbors, переходим на закладку Discovery Interfaces и отключаем все кроме интерфейса LAN, нажатием на кнопку Disable.

Далее идем в меню Tools/MAC Server и на закладках Telnet Interfaces и WinBox Interfaces добавляем интерфейс LAN, удаляем если есть любые другие интерфейсы и отключаем интерфейс "*all"

Это не даст возможности подключиться к маршрутизатору снаружи, при помощи MAC - Telnet

Если кто-то считает что это излишние меры безопасности, вот что видит на WAN -портах один из установленных в работу маршрутизаторов.

При этом на два из них удалось зайти mac-telnet и получить доступ к управлению.

Теперь надо заменить пользователя по умолчанию и установить ему пароль.

Переходим в меню System/Users.

Создаем нового пользователя с правами администратора.

После чего закрываем программу Winbox, запускаем его заново и заходим под новым пользователем, открываем меню System/Users и отключаем учетную запись администратора.

На этом подготовительные операции можно считать законченными. Переходим к настройке firewall.

В предыдущей части статьи мы с вами узнали, что:

1. Трафик, идущий на маршрутизатор, попадает в цепочку файрвола input;
2. Трафик, создаваемый маршрутизатором, попадает в цепочку файрвола output;
3. Трафик, идущий через маршрутизатор, попадает в цепочку forward;
4. Существуют четыре состояния соединения: new, established, related, invalid.

То есть, исходя из состояний соединения и цепочек, общие правила защиты маршрутизатора можно сформулировать как:

1. Мы работаем только с цепочкой input;
2. Мы пропускаем соединения с состоянием established и related, как уже установленные;
3. Мы пропускаем протокол ICMP;
4. Мы считаем как WAN, так и DMZ недоверенными сетями;
5. Мы разрешаем прохождение некоторого трафика на маршрутизатор. Остальной трафик блокируем.

Теперь давайте определим разрешенный трафик с недоверенных интерфейсов. Итак, мы разрешаем:

1. TCP порт 8291 – winbox, удаленное управление снаружи;
2. 65522 ssh на измененном порту;
3. Предположим, что у нас в дальнейшем будет настраиваться VPN-сервер по протоколу PPTP и мы разрешим порт 1723 по протоколу TCP.

Также с этого момента мы начинаем работать с командной строкой маршрутизатора. Все команды вставляются в терминал маршрутизатора. Если необходимо – вы можете посмотреть в графическом интерфейсе, что конкретно было сделано. Очень скоро вы научитесь читать команды и соотносить их с графическим интерфейсом.

Определяем так называемые bogon-сети (сети приватных или не распределенных IP-адресов).

Должно получиться вот так:

И запрещаем с этих подсетей соединения на WAN-порт маршрутизатора:

Разрешаем все уже установленные подключения (connection state=established):

Разрешаем все зависимые подключения (connection state=related):

Разрешаем ICMP:

Разрешаем новые соединения по портам 65522 и 8291 с любого интерфейса:

Разрешаем новые соединения по порту 1723 (PPTP) любого интерфейса:

И блокируем все новые соединения со всех интерфейсов, кроме LAN:

Должно получиться следующее:

На этом базовая настройка безопасности маршрутизатора завершена. В следующей части мы рассмотрим защиту локальной сети, демилитаризованной зоны и создание собственных цепочек фильтрации трафика.

Технический директор Илья Князев