—просите про Asterisk в Telegram - чате

ћерион Ќетворкс

‘аервол на ћикротике основан на базе принципов iptables в Linux позвол€ет фильтровать вход€щий и исход€щий трафик по определенным правилам. ¬ статье мы хотим рассказать про ключевые компоненты Firewall, дизайне и реализации этого инструмента. ѕогнали!

ќбщее представление

ќсновна€ иде€ любого фаервола это определение того, что разрешено и запрет всего остального. “ак работают все современные инструменты фильтрации. ѕри наличии фаервола, сеть можно разделить на ненадежные, полу - надежные и надежные.


Firewall Chains

÷епочки (последовательности) фаерволов сопоставл€ют по своим правилам вход€щий и исход€щий с интерфейса трафик. ѕосле того, как трафик попал под определенное правило (Ђсматчилс€ї), вы можете совершать определенные манипул€ции с ним: разрешить, блокировать, отклонить, внести в лог запись и так далее. ¬ Mikrotik есть следующие флаги: Input, Output и Forward.


Input Chain

Input матчит вход€щий на интерфейсы маршрутизатора трафик. ”словно говор€ Ц это прилетающие на роутера IP - пакеты. ќбычна€ практика Ц дропать пакеты, прилетающие на WAN, направленные на сканирование портов, попытки взлома и прочие. ѕомимо этого, многие блокируют вход€щий трафик изнутри локальной сети (например, допуск к Winbox или SSH должен быть только с определенного VLAN Ц остальные дропаютс€).

¬сегда используйте VLAN Ц это базовое разграничение, которое позволит вам обеспечить современные стандарты безопасности.


Output Chain

 ак можно догадатьс€ по названию, данный инструмент направлен на фильтрацию исход€щего от роутера трафика. «десь можно блокировать запросы, исход€щие непосредственно с роутера: например, DNS или ICMP запрос с роутера.


Forward Chain

—амое интересное Ц данный инструмент Ђматчитї трафик проход€щий через Mikrotik с одного интерфейса на другой. ѕример: пакет, отправленный с хоста внутри LAN через маршрутизатор в сторону провайдера. ѕакет прилетает на внутренний интерфейс, а выходит через WAN.


Firewall Actions

ѕравила на фаерволе могут делать множество вещей, основные из которых: accept (прин€ть), drop (сбросить) и отклонить (reject).


Accept

ƒанное правило позвол€ет просто Ђпропуститьї проход€щий через фаервол трафик. Ќикакой модификации или изменени€ маршрута Ц пакету будет позволено продолжить свой изначальный путь.


Reject

‘аервол может легко отклонить (сделать reject) пакетов, которые попадут под определенное правило. ѕри этом, источнику такого пакета будет отправлено уведомление о соответствующей блокировке.

¬ данном методе есть один весомый минус: в случае, если злоумышленник попробует Ђсканироватьї порты или совершить другой вид атаки Ц отправленные в его сторону REJECT сообщени€ лишь помогут ему в злоде€ни€х. ѕоэтому, в цел€х безопасности, мы рекомендуем использовать DROP.

Drop

ƒанное правило Ђдропаетї пакет без отправлени€ уведомлени€ об этом источнику. Ётот метод наиболее безопасен на этапе защиты своего Mikrotik от сканировани€ портов и прочих атак.


Firewall Rules

ѕравила Firewall определ€ют пакеты, которые будут обработаны на уровне фаервола, а какие будут отброшены.  аждое правило Ц это комбинаци€ параметров IP Ц адресации (источник/получатель пакета), цепочек (chains), действий (actions), интерфейсов и прочих опций.  ак мы говорили ранее Ц хорошо настроенный фаервол пропустит только необходимый дл€ бизнеса трафика, дав запрет на пропуск всего остального потока трафика. ”казыва€ набор разрешающих правил, всегда замыкайте их на конце строчкой ЂDENY ALLї (запретить все).


Chains

 аждое создаваемое правило назначаетс€ определенной цепочке (chain). ѕосле определени€ принадлежности к цепочке, пакеты проход€т проверку через последовательность правил в пор€дке убывани€ (сверху вниз).

ѕор€док правил в фаерволе играет важную роль! ѕоэтому, от последовательности проверки зависит эффективность фильтрации.

Actions

ѕравило отрабатывает по одному из основных действий: прин€ть (accept), отклонить (reject) и отбросить (drop). ¬ыше мы подробнее рассказывали про каждое из указанных действий.


јдресаци€

Ќашему правилу можно сказать, по какому критерию проводить блокировку: это может быть протокол, IP Ц адрес (это может быть как хост с /32 маской, так и цела€ подсеть с /24, например). ѕомимо этого, критерием могут быть физические или логические интерфейсы (eth/GRE).


 омментарии

—оздава€ правила комментируйте их. Ёто важно, как и при программировании Ц код без комментариев очень сложно анализировать и понимать в будущем.

Mikrotik Firewall комментарии
—оветы

’отим так же поделить парой полезных советов по настройке Firewall:

  1. –азрешайте только необходимый дл€ работы трафик - да, это сложно. Ќо методом проб и ошибок мы рекомендуем добитьс€ той настройки фаервола, в рамках которой все ваши подключени€ будут €сны и пон€тны.
  2. ѕодключени€ только с определенного пула адресов - это может быть удаленный офис, IP Ц адреса ÷ќƒ или VPN адресаци€. “ут нужно быть особенно бдительным.
  3. ¬ конце правил всегда используйте Ђdeny allї - после того, как вы выполнили первую и вторую рекомендации и весь тип трафика по протоколам, адресации, источникам (в том числе L7, например) четко определен Ц в конце цепочки добавьте правило запрета всего. Ёто будет означать, дословно: Ђ¬се, что не разрешено - запрещеної.
  4. јтакуйте свою сеть! - да, да, вы не ослышались.  онечно, без фанатизма :) ћы предлагаем периодически сканировать порты на вашем фаерволе. Ќапример, это можно делать с помощью утилиты исследовани€ сети Nmap.

ѕолезна ли ¬ам эта стать€?

–аз в неделю мы отправл€ем дайджест с самыми интересными стать€ми.

P.S. ≈сли укажите свою дату рождени€, то мы об€зательно ¬ас поздравим и подарим небольшой подарок :)

Ќажима€ на кнопку "ѕодписатьс€", вы даете согласие на обработку своих персональных данных