Общие принципы безопасной настройки роутера и принципы оптимальной настройки файрвола ты можешь узнать в предыдущих статьях.

Унификация настроек

Если у тебя большая сеть с несколькими филиалами и в каждом из них по два роутера для отказоустойчивости, то правила лучше настроить так, чтобы их можно было легко развернуть на любой железке, независимо от количества и именования портов или типа подключения. Для соединения по PPPoE, например, WAN-интерфейсом будет pppoe-out1, Р° для DHCP — ether1. Если попытаться экспортировать конфиг файрвола с одного роутера на другой, ничего не выйдет, потому что у второго просто нет интерфейса pppoe-out1. Р?ли представь себе, что РІ РѕРґРЅРѕРј филиале локальная сеть РІРёСЃРёС‚ РЅР° ether9, а в другом стоит роутер с пятью портами, из-за чего конфигурация девятого порта просто не встанет и вылетит с ошибкой.

Поэтому мы будем настраивать роутер так, чтобы конфиг можно было без проблем перенести на любой другой роутер. Это немного усложнит первоначальную настройку, но сэкономит кучу времени в будущем.

Мы уже рассматривали списки интерфейсов. Это фича для оперирования несколькими интерфейсами как одним. Создадим листы WAN и LAN, а затем добавим туда нужные интерфейсы. Теперь правила файрвола будем привязывать к интерфейс-листам, а не к отдельным интерфейсам. Перед экспортом правил на другой роутер просто создадим на нем нужные листы, и конфиг встанет без ошибок.

Обрати внимание, что для использования в файрволе нам нужны L3-интерфейсы, то есть те, на которых есть IP-адреса. Если ты получаешь интернет по PPPoE, то в WAN-лист надо добавить именно его. Если IP локальной сети прописан на бридже или VLANе, то и в лист LAN нужно добавить их, а не физические интерфейсы. Если включить в список и логический, и физический интерфейс, ничего страшного произойти не должно, но это нужно будет учитывать в конфигурации.

Но это еще не все. Понятно, что в каждом филиале у нас будет своя подсеть LAN: где-то 192.168.10.0/24, где-то 192.168.11.0/24. Чтобы не путаться с этими значениями и не менять конфиг при переносе с одного роутера на другой, оперировать будем не адресами и подсетями, а списками адресов. На каждом роутере создаем список LAN и дальше работаем только с ним.

В прошлый раз мы создавали адрес-лист MGMT, в котором открывали доступ к управлению роутером только с определенных адресов. А еще раньше рассматривали решение Port Knocking, которое предоставляет доступ к управлению, только если со стороны клиента выполнить секретные манипуляции. Для доступа к роутеру из доверенной сети (LAN) вполне подходит вариант с адрес-листом, а для доступа снаружи — Port Knocking. Было бы хорошо совместить эти варианты в нашей конфигурации. Еще будет удобно разделить цепочку input на две части: input со стороны интернета и input со стороны локалки. Тогда можно применять разные политики фильтрации к разным сегментам сети. В этом нам помогут пользовательские цепочки.

Все, что пришло снаружи, перекидываем в новую цепочку WAN_INPUT. Р’СЃРµ, что изнутри, — РІ LAN_INPUT:

/ip firewall filter
add action=jump chain=input in-interface-list=WAN jump-target=WAN_INPUT
add action=jump chain=input in-interface-list=LAN jump-target=LAN_INPUT

Теперь политики фильтрации будут разными для разного источника трафика. Для внешнего трафика будем использовать цепочку WAN_INPUT Рё более жесткие ограничения, для внутреннего — LAN_INPUT и правила попроще. Цепочка input нам больше РЅРµ нужна, теперь РјС‹ РІСЃРµ будем делать РІ новых цепочках. Причем указывать интерфейсы или СЃРїРёСЃРєРё интерфейсов РІ правилах больше РЅРµ понадобится. Однако этот РїРѕРґС…РѕРґ может использоваться РІ сложных решениях, например РєРѕРіРґР° Сѓ тебя РґРІР° провайдера СЃ разными политиками фильтрации или локалка поделена РЅР° разные VLAN. РќРѕ РѕР± этом позже.

Р’ статье Рѕ безопасной настройке роутера РјС‹ настраивали Port Knocking для доступа Рє управлению роутером. Ограничивать таким образом доступ изнутри локальной сети — излишество. Поэтому поменяем РІ правилах цепочку СЃ input на WAN_INPUT. Р?знутри сети разрешим доступ Рє WinBox только СЃ нужных адресов: РјС‹ уже делали это РІ статье РїСЂРѕ РѕСЃРЅРѕРІС‹ файрвола. Оставим РІ правиле только РїРѕСЂС‚ WinBox — TCP 8291. А для SSH разрешим подключения из всей нашей сети, но предотвратим возможность брутфорса (да, изнутри сети тоже может произойти брутфорс SSH, потому что отсутствие троянов в ней не гарантировано).

add action=drop chain=LAN_INPUT comment="drop ssh brute forcers" src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=LAN_INPUT connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=LAN_INPUT connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=LAN_INPUT connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=LAN_INPUT connection-state=new dst-port=22 protocol=tcp src-address-list=!ssh_open
add action=accept chain=LAN_INPUT dst-port=22 protocol=tcp

Тут применяется механизм динамических адрес-листов с тайм-аутами. Мы рассматривали их в статье «Защищаем MikroTik. Хитрости безопасной настройки роутера». При первой попытке подключения пакет обработается правилом 5, и адрес хакера попадет в адрес-лист ssh_stage1. Вторая попытка подключения обработается правилом 4 Рё добавит брутфорсера РІ лист ssh_stage2. И так далее вплоть до листа ssh_blacklist, РіРґРµ адрес будет храниться десять дней, Р° весь трафик, идущий СЃ адресов РёР· этого СЃРїРёСЃРєР°, будет дропаться.

Р’ прошлой статье РјС‹ создавали правила, разрешающие коннекты established, related Рё запрещающие invalid. Давай продублируем эти правила Рё перенесем РёС… РІ новые цепочки, Р° РёР· input удалим. В результате мы получим четыре правила вместо двух. На прохождение трафика это не повлияет, зато позволит видеть статистику по трафику с разных сторон. В правиле с established, related поставь галочку untracked. Чуть позже РѕР±СЉСЏСЃРЅСЋ, зачем РѕРЅР°. Думаю, адаптировать остальные правила РїРѕРґ РЅРѕРІСѓСЋ логику РЅРµ составит труда. Р’ конце каждой цепочки РЅРµ забудь указать правило РґСЂРѕРїР°.

Две цепочки позволят нам уменьшить количество переходов трафика РїРѕ правилам, Р° значит, Рё немного снизить нагрузку РЅР° CPU. Счетчики РІ разных цепочках дадут возможность увидеть чуть более детальную статистику трафика. Хоть правил Рё стало больше, РЅРѕ РѕРЅРё РЅРµ применяются РєРѕ всему объему трафика: РїСЂРё первом джампе весь трафик будет обрабатываться уже РЅРѕРІРѕР№ цепочкой Рё РІ РґСЂСѓРіСѓСЋ РЅРёРєРѕРіРґР° РЅРµ попадет. Подобный РїРѕРґС…РѕРґ также упрощает поддержку Р·Р° счет того, что РїРѕ названию цепочки сразу РІРёРґРЅРѕ, что это Р·Р° трафик Рё откуда РѕРЅ идет. Можно для разных типов трафика создавать СЃРІРѕРё цепочки, например отдельную цепочку для management-трафика. Р—Р° возврат трафика РІ родительскую цепочку отвечает action return.

Защищаемся от атак

До сих пор мы рассматривали правила файрвола, позволяющие обрабатывать трафик по простым признакам: интерфейсу, адресу, порту. Но файрвол гораздо более гибкий инструмент, с его помощью можно строить сложную логику для противодействия разным типам атак.

Есть зарезервированные адреса, которые не используются в интернете. Они называются «богон-адресами». Отсечем пакеты с таких адресов: