Настройка фильтрации трафика на MikroTik. Часть 2

Продолжение статьи. Базовая настройка безопасности маршрутизатора — настройка файрвола.

Комментариев: 3Просмотров: 76788
11декабря 2013
все статьи

Перед настройкой файрвола

В этой и следующей части статьи используется следующая топология сети:

  • WAN – 172.30.10.26/24, Default Gateway 172.30.10.1
  • DMZ – 10.10.10.1./24
  • LAN – 192.168.88.1/24

Как это настроить — смотрите статью "Разумная настройка RB2011"

Немного повторяя статью по настройке RB 2011, я позволю себе напомнить, что для начала необходимо отключить неиспользуемые на маршрутизаторе сервисы. Фактически для настройки и работы с маршрутизатором нам достаточно сервисов:

  • Winbox – порт 8291 TCP;
  • Ssh – порт 22 TCP;
  • www – порт 80 TCP;

Этап 1. Отключение ненужных сервисов

Открываем меню IP / Services и воспользовавшись кнопкой Disable отключаем ненужные нам сервисы.

IP Services Меню

Если вы используете для работы с MikroTik протокол ssh, хорошей идеей будет изменить его стандартный порт на какой-нибудь другой, например 65522. Для этого дважды щелкаем по строке с ssh и в открывшемся окне меняем порт:

Изменение стандартного порта

Нажав ОК, подтверждаем выбор.

Также можно поменять порты winbox и www. Однако мы не наблюдали, чтобы порт 8291 (winbox) подвергался атаке по подбору пароля.

А вот в случае атаки порта ssh к маршрутизатору, находящемуся на внешнем IP адресе, производится до нескольких сотен попыток несанкционированного подключения в сутки.

Web-интерфейс, конечно, тоже лучше отключить, но если вы по каким-то причинам не можете использовать для настройки winbox, то будет хорошим решением разрешить доступ к web-интерфейсу маршрутизатора только из локальной сети.

Для этого дважды щелкаем по строке с www и заполняем поле available from :

Изменение стандартного порта

Нажав кнопку ОК, подтверждаем выбор.

Этап 2. Отключение поиска соседей и mac-сервера на внешних интерфейсах

Заходим в меню ip/neighbors, переходим на закладку Discovery Interfaces и отключаем все кроме интерфейса LAN, нажатием на кнопку Disable.

discovery interfaces

Далее идем в меню Tools/MAC Server и на закладках Telnet Interfaces и WinBox Interfaces добавляем интерфейс LAN, удаляем если есть любые другие интерфейсы и отключаем интерфейс "*all"

Tool\Mac server

Это не даст возможности подключиться к маршрутизатору снаружи, при помощи MAC - Telnet

Если кто-то считает что это излишние меры безопасности, вот что видит на WAN -портах один из установленных в работу маршрутизаторов.

Список wan-портов

При этом на два из них удалось зайти mac-telnet и получить доступ к управлению.

Этап 3. Пользователь и пароль

Теперь надо заменить пользователя по умолчанию и установить ему пароль.

Переходим в меню System/Users.

System\Users

Создаем нового пользователя с правами администратора.

Создание нового пользователя

После чего закрываем программу Winbox, запускаем его заново и заходим под новым пользователем, открываем меню System/Users и отключаем учетную запись администратора.

Изменение стандартного порта

На этом подготовительные операции можно считать законченными. Переходим к настройке firewall.

Настройка файрвола

В предыдущей части статьи мы с вами узнали, что:

  1. Трафик, идущий на маршрутизатор, попадает в цепочку файрвола input;
  2. Трафик, создаваемый маршрутизатором, попадает в цепочку файрвола output;
  3. Трафик, идущий через маршрутизатор, попадает в цепочку forward;
  4. Существуют четыре состояния соединения: new, established, related, invalid.

То есть, исходя из состояний соединения и цепочек, общие правила защиты маршрутизатора можно сформулировать как:

  1. Мы работаем только с цепочкой input;
  2. Мы пропускаем соединения с состоянием established и related, как уже установленные;
  3. Мы пропускаем протокол ICMP;
  4. Мы считаем как WAN, так и DMZ недоверенными сетями;
  5. Мы разрешаем прохождение некоторого трафика на маршрутизатор. Остальной трафик блокируем.

Теперь давайте определим разрешенный трафик с недоверенных интерфейсов. Итак, мы разрешаем:

  1. TCP порт 8291 – winbox, удаленное управление снаружи;
  2. 65522 ssh на измененном порту;
  3. Предположим, что у нас в дальнейшем будет настраиваться VPN-сервер по протоколу PPTP и мы разрешим порт 1723 по протоколу TCP.

Также с этого момента мы начинаем работать с командной строкой маршрутизатора. Все команды вставляются в терминал маршрутизатора. Если необходимо – вы можете посмотреть в графическом интерфейсе, что конкретно было сделано. Очень скоро вы научитесь читать команды и соотносить их с графическим интерфейсом.

Определяем так называемые bogon-сети (сети приватных или не распределенных IP-адресов).

Вам помогла эта статья?

Приглашаем пройти обучение в нашем тренинг-центре и научиться настраивать оборудование MikroTik на профессиональном уровне! Узнайте расписание ближайших курсов и бронируйте место!

/ip firewall address-list
add address=0.0.0.0/8 disabled=no list=BOGON
add address=10.0.0.0/8 disabled=no list=BOGON
add address=100.64.0.0/10 disabled=no list=BOGON
add address=127.0.0.0/8 disabled=no list=BOGON
add address=169.254.0.0/16 disabled=no list=BOGON
add address=172.16.0.0/12 disabled=no list=BOGON
add address=192.0.0.0/24 disabled=no list=BOGON
add address=192.0.2.0/24 disabled=no list=BOGON
add address=192.168.0.0/16 disabled=no list=BOGON
add address=198.18.0.0/15 disabled=no list=BOGON
add address=198.51.100.0/24 disabled=no list=BOGON
add address=203.0.113.0/24 disabled=no list=BOGON
add address=224.0.0.0/4 disabled=no list=BOGON
add address=240.0.0.0/4 disabled=no list=BOGON
 

Должно получиться вот так:

bogon-сети

И запрещаем с этих подсетей соединения на WAN-порт маршрутизатора:

/ip firewall filter
add action=drop chain=input in-interface=WAN src-address-list=BOGON
 

Разрешаем все уже установленные подключения (connection state=established):

/ip firewall filter
add chain=input connection-state=established
 

Разрешаем все зависимые подключения (connection state=related):

/ip firewall filter
add chain=input connection-state=related
 

Разрешаем ICMP:

/ip firewall filter
add chain=input protocol=icmp
 

Разрешаем новые соединения по портам 65522 и 8291 с любого интерфейса:

/ip firewall filter
add chain=input connection-state=new dst-port=8291,65522 protocol=tcp
 

Разрешаем новые соединения по порту 1723 (PPTP) любого интерфейса:

/ip firewall filter
add chain=input dst-port=1723 protocol=tcp
 

И блокируем все новые соединения со всех интерфейсов, кроме LAN:

/ip firewall filter
add action=drop chain=input connection-state=new in-interface=!LAN
 

Должно получиться следующее:

базовая настройка безопасности

На этом базовая настройка безопасности маршрутизатора завершена. В следующей части мы рассмотрим защиту локальной сети, демилитаризованной зоны и создание собственных цепочек фильтрации трафика.

Технический директор Илья Князев

поделиться материалом:

Читайте также

комментарии — 3
Dr.Batisa30 декабря 2020 в 03:00
К правилу: /ip firewall filter
add chain=input dst-port=1723 protocol=tcp
Требуется еще добавить разрешение на GRE и оно должно стоять выше.

Если роутер стоит внутри сети то в input bogon сети блокировать не нужно...

2 правила (connection state=related): и (connection state=established): лучше объединить в одно, снизит нагрузку.

и да, сейчас уже порт 8291 - постоянно брутфорсят если он светится в инете (для защиты подойдет порт нокинг и смена порта поумолчанию в купе с добавлением нового админа со сложным паролем и отключением admin)
Сергей14 июля 2019 в 21:48
Здравствуйте. А как быть на микротиках с новыми прошивками, выбирать "dynamic"?
Сергей14 июля 2019 в 21:51
Это к "neighbors" и "MAC Server". Там сейчас упразднили эти пункты.