Категория > Новости > Стена огня lvl2. Настраиваем файрвол для отражения атак на примере MikroTik - «Новости»

Стена огня lvl2. Настраиваем файрвол для отражения атак на примере MikroTik - «Новости»

11-06-2020, 12:44. Автор: Флора

В этой статье мы рассмотрим, как защищать роутер MikroTik от атак и сканеров портов, а также предотвратим попадание нашей сети в бан-листы. Полученный опыт поможет тебе настраивать и другие виды файрволов.

Стена огня lvl2. Настраиваем файрвол для отражения атак на примере MikroTik - «Новости»

INFO

Общие принципы безопасной настройки роутера и принципы оптимальной настройки файрвола ты можешь узнать в предыдущих статьях.

Унификация настроек

Если у тебя большая сеть с несколькими филиалами и в каждом из них по два роутера для отказоустойчивости, то правила лучше настроить так, чтобы их можно было легко развернуть на любой железке, независимо от количества и именования портов или типа подключения. Для соединения по PPPoE, например, WAN-интерфейсом будет pppoe-out1, Р° РґР»СЏ DHCP вЂ” ether1. Если попытаться экспортировать конфиг файрвола с одного роутера на другой, ничего не выйдет, потому что у второго просто нет интерфейса pppoe-out1. Р?Р»Рё РїСЂРµРґСЃС‚Р°РІСЊ СЃРµР±Рµ, С‡С‚Рѕ РІ РѕРґРЅРѕРј С„РёР»РёР°Р»Рµ Р»РѕРєР°Р»СЊРЅР°СЏ СЃРµС‚СЊ РІРёСЃРёС‚ РЅР° ether9, а в другом стоит роутер с пятью портами, из-за чего конфигурация девятого порта просто не встанет и вылетит с ошибкой.

Поэтому мы будем настраивать роутер так, чтобы конфиг можно было без проблем перенести на любой другой роутер. Это немного усложнит первоначальную настройку, но сэкономит кучу времени в будущем.

Мы уже рассматривали списки интерфейсов. Это фича для оперирования несколькими интерфейсами как одним. Создадим листы WAN и LAN, а затем добавим туда нужные интерфейсы. Теперь правила файрвола будем привязывать к интерфейс-листам, а не к отдельным интерфейсам. Перед экспортом правил на другой роутер просто создадим на нем нужные листы, и конфиг встанет без ошибок.

interface_list

Обрати внимание, что для использования в файрволе нам нужны L3-интерфейсы, то есть те, на которых есть IP-адреса. Если ты получаешь интернет по PPPoE, то в WAN-лист надо добавить именно его. Если IP локальной сети прописан на бридже или VLANе, то и в лист LAN нужно добавить их, а не физические интерфейсы. Если включить в список и логический, и физический интерфейс, ничего страшного произойти не должно, но это нужно будет учитывать в конфигурации.

Но это еще не все. Понятно, что в каждом филиале у нас будет своя подсеть LAN: где-то 192.168.10.0/24, где-то 192.168.11.0/24. Чтобы не путаться с этими значениями и не менять конфиг при переносе с одного роутера на другой, оперировать будем не адресами и подсетями, а списками адресов. На каждом роутере создаем список LAN и дальше работаем только с ним.

В прошлый раз мы создавали адрес-лист MGMT, в котором открывали доступ к управлению роутером только с определенных адресов. А еще раньше рассматривали решение Port Knocking, которое предоставляет доступ к управлению, только если со стороны клиента выполнить секретные манипуляции. Для доступа к роутеру из доверенной сети (LAN) вполне подходит вариант с адрес-листом, а для доступа снаружи — Port Knocking. Было бы хорошо совместить эти варианты в нашей конфигурации. Еще будет удобно разделить цепочку input на две части: input со стороны интернета и input со стороны локалки. Тогда можно применять разные политики фильтрации к разным сегментам сети. В этом нам помогут пользовательские цепочки.

Все, что пришло снаружи, перекидываем в новую цепочку WAN_INPUT. Р’СЃРµ, С‡С‚Рѕ РёР·РЅСѓС‚СЂРё, вЂ” РІ LAN_INPUT:

/ip firewall filter
add action=jump chain=input in-interface-list=WAN jump-target=WAN_INPUT
add action=jump chain=input in-interface-list=LAN jump-target=LAN_INPUT

Теперь политики фильтрации будут разными для разного источника трафика. Для внешнего трафика будем использовать цепочку WAN_INPUT Рё Р±РѕР»РµРµ Р¶РµСЃС‚РєРёРµ РѕРіСЂР°РЅРёС‡РµРЅРёСЏ, РґР»СЏ РІРЅСѓС‚СЂРµРЅРЅРµРіРѕ вЂ” LAN_INPUT и правила попроще. Цепочка input РЅР°Рј Р±РѕР»СЊС€Рµ РЅРµ РЅСѓР¶РЅР°, С‚РµРїРµСЂСЊ РјС‹ РІСЃРµ Р±СѓРґРµРј РґРµР»Р°С‚СЊ РІ РЅРѕРІС‹С… С†РµРїРѕС‡РєР°С…. РџСЂРёС‡РµРј СѓРєР°Р·С‹РІР°С‚СЊ РёРЅС‚РµСЂС„РµР№СЃС‹ РёР»Рё СЃРїРёСЃРєРё РёРЅС‚РµСЂС„РµР№СЃРѕРІ РІ РїСЂР°РІРёР»Р°С… Р±РѕР»СЊС€Рµ РЅРµ РїРѕРЅР°РґРѕР±РёС‚СЃСЏ. РћРґРЅР°РєРѕ СЌС‚РѕС‚ РїРѕРґС…РѕРґ РјРѕР¶РµС‚ РёСЃРїРѕР»СЊР·РѕРІР°С‚СЊСЃСЏ РІ СЃР»РѕР¶РЅС‹С… СЂРµС€РµРЅРёСЏС…, РЅР°РїСЂРёРјРµСЂ РєРѕРіРґР° Сѓ С‚РµР±СЏ РґРІР° РїСЂРѕРІР°Р№РґРµСЂР° СЃ СЂР°Р·РЅС‹РјРё РїРѕР»РёС‚РёРєР°РјРё С„РёР»СЊС‚СЂР°С†РёРё РёР»Рё Р»РѕРєР°Р»РєР° РїРѕРґРµР»РµРЅР° РЅР° СЂР°Р·РЅС‹Рµ VLAN. РќРѕ РѕР± СЌС‚РѕРј РїРѕР·Р¶Рµ.

Р’ СЃС‚Р°С‚СЊРµ Рѕ Р±РµР·РѕРїР°СЃРЅРѕР№ РЅР°СЃС‚СЂРѕР№РєРµ СЂРѕСѓС‚РµСЂР° РјС‹ РЅР°СЃС‚СЂР°РёРІР°Р»Рё Port Knocking РґР»СЏ РґРѕСЃС‚СѓРїР° Рє СѓРїСЂР°РІР»РµРЅРёСЋ СЂРѕСѓС‚РµСЂРѕРј. РћРіСЂР°РЅРёС‡РёРІР°С‚СЊ С‚Р°РєРёРј РѕР±СЂР°Р·РѕРј РґРѕСЃС‚СѓРї РёР·РЅСѓС‚СЂРё Р»РѕРєР°Р»СЊРЅРѕР№ СЃРµС‚Рё вЂ” РёР·Р»РёС€РµСЃС‚РІРѕ. РџРѕСЌС‚РѕРјСѓ РїРѕРјРµРЅСЏРµРј РІ РїСЂР°РІРёР»Р°С… С†РµРїРѕС‡РєСѓ СЃ input на WAN_INPUT. Р?Р·РЅСѓС‚СЂРё СЃРµС‚Рё СЂР°Р·СЂРµС€РёРј РґРѕСЃС‚СѓРї Рє WinBox С‚РѕР»СЊРєРѕ СЃ РЅСѓР¶РЅС‹С… Р°РґСЂРµСЃРѕРІ: РјС‹ СѓР¶Рµ РґРµР»Р°Р»Рё СЌС‚Рѕ РІ СЃС‚Р°С‚СЊРµ РїСЂРѕ РѕСЃРЅРѕРІС‹ С„Р°Р№СЂРІРѕР»Р°. РћСЃС‚Р°РІРёРј РІ РїСЂР°РІРёР»Рµ С‚РѕР»СЊРєРѕ РїРѕСЂС‚ WinBox вЂ” TCP 8291. А для SSH разрешим подключения из всей нашей сети, но предотвратим возможность брутфорса (да, изнутри сети тоже может произойти брутфорс SSH, потому что отсутствие троянов в ней не гарантировано).

add action=drop chain=LAN_INPUT comment="drop ssh brute forcers" src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=LAN_INPUT connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=LAN_INPUT connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=LAN_INPUT connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=LAN_INPUT connection-state=new dst-port=22 protocol=tcp src-address-list=!ssh_open
add action=accept chain=LAN_INPUT dst-port=22 protocol=tcp

Тут применяется механизм динамических адрес-листов с тайм-аутами. Мы рассматривали их в статье «Защищаем MikroTik. Хитрости безопасной настройки роутера». При первой попытке подключения пакет обработается правилом 5, и адрес хакера попадет в адрес-лист ssh_stage1. Р’С‚РѕСЂР°СЏ РїРѕРїС‹С‚РєР° РїРѕРґРєР»СЋС‡РµРЅРёСЏ РѕР±СЂР°Р±РѕС‚Р°РµС‚СЃСЏ РїСЂР°РІРёР»РѕРј 4 Рё РґРѕР±Р°РІРёС‚ Р±СЂСѓС‚С„РѕСЂСЃРµСЂР° РІ Р»РёСЃС‚ ssh_stage2. И так далее вплоть до листа ssh_blacklist, РіРґРµ Р°РґСЂРµСЃ Р±СѓРґРµС‚ С…СЂР°РЅРёС‚СЊСЃСЏ РґРµСЃСЏС‚СЊ РґРЅРµР№, Р° РІРµСЃСЊ С‚СЂР°С„РёРє, РёРґСѓС‰РёР№ СЃ Р°РґСЂРµСЃРѕРІ РёР· СЌС‚РѕРіРѕ СЃРїРёСЃРєР°, Р±СѓРґРµС‚ РґСЂРѕРїР°С‚СЊСЃСЏ.

Р’ РїСЂРѕС€Р»РѕР№ СЃС‚Р°С‚СЊРµ РјС‹ СЃРѕР·РґР°РІР°Р»Рё РїСЂР°РІРёР»Р°, СЂР°Р·СЂРµС€Р°СЋС‰РёРµ РєРѕРЅРЅРµРєС‚С‹ established, related Рё Р·Р°РїСЂРµС‰Р°СЋС‰РёРµ invalid. Р”Р°РІР°Р№ РїСЂРѕРґСѓР±Р»РёСЂСѓРµРј СЌС‚Рё РїСЂР°РІРёР»Р° Рё РїРµСЂРµРЅРµСЃРµРј РёС… РІ РЅРѕРІС‹Рµ С†РµРїРѕС‡РєРё, Р° РёР· input удалим. В результате мы получим четыре правила вместо двух. На прохождение трафика это не повлияет, зато позволит видеть статистику по трафику с разных сторон. В правиле с established, related поставь галочку untracked. Р§СѓС‚СЊ РїРѕР·Р¶Рµ РѕР±СЉСЏСЃРЅСЋ, Р·Р°С‡РµРј РѕРЅР°. Р”СѓРјР°СЋ, Р°РґР°РїС‚РёСЂРѕРІР°С‚СЊ РѕСЃС‚Р°Р»СЊРЅС‹Рµ РїСЂР°РІРёР»Р° РїРѕРґ РЅРѕРІСѓСЋ Р»РѕРіРёРєСѓ РЅРµ СЃРѕСЃС‚Р°РІРёС‚ С‚СЂСѓРґР°. Р’ РєРѕРЅС†Рµ РєР°Р¶РґРѕР№ С†РµРїРѕС‡РєРё РЅРµ Р·Р°Р±СѓРґСЊ СѓРєР°Р·Р°С‚СЊ РїСЂР°РІРёР»Рѕ РґСЂРѕРїР°.

Р”РѕР»Р¶РЅРѕ РїРѕР»СѓС‡РёС‚СЊСЃСЏ РїСЂРёРјРµСЂРЅРѕ С‚Р°Рє

Р”РІРµ С†РµРїРѕС‡РєРё РїРѕР·РІРѕР»СЏС‚ РЅР°Рј СѓРјРµРЅСЊС€РёС‚СЊ РєРѕР»РёС‡РµСЃС‚РІРѕ РїРµСЂРµС…РѕРґРѕРІ С‚СЂР°С„РёРєР° РїРѕ РїСЂР°РІРёР»Р°Рј, Р° Р·РЅР°С‡РёС‚, Рё РЅРµРјРЅРѕРіРѕ СЃРЅРёР·РёС‚СЊ РЅР°РіСЂСѓР·РєСѓ РЅР° CPU. РЎС‡РµС‚С‡РёРєРё РІ СЂР°Р·РЅС‹С… С†РµРїРѕС‡РєР°С… РґР°РґСѓС‚ РІРѕР·РјРѕР¶РЅРѕСЃС‚СЊ СѓРІРёРґРµС‚СЊ С‡СѓС‚СЊ Р±РѕР»РµРµ РґРµС‚Р°Р»СЊРЅСѓСЋ СЃС‚Р°С‚РёСЃС‚РёРєСѓ С‚СЂР°С„РёРєР°. РҐРѕС‚СЊ РїСЂР°РІРёР» Рё СЃС‚Р°Р»Рѕ Р±РѕР»СЊС€Рµ, РЅРѕ РѕРЅРё РЅРµ РїСЂРёРјРµРЅСЏСЋС‚СЃСЏ РєРѕ РІСЃРµРјСѓ РѕР±СЉРµРјСѓ С‚СЂР°С„РёРєР°: РїСЂРё РїРµСЂРІРѕРј РґР¶Р°РјРїРµ РІРµСЃСЊ С‚СЂР°С„РёРє Р±СѓРґРµС‚ РѕР±СЂР°Р±Р°С‚С‹РІР°С‚СЊСЃСЏ СѓР¶Рµ РЅРѕРІРѕР№ С†РµРїРѕС‡РєРѕР№ Рё РІ РґСЂСѓРіСѓСЋ РЅРёРєРѕРіРґР° РЅРµ РїРѕРїР°РґРµС‚. РџРѕРґРѕР±РЅС‹Р№ РїРѕРґС…РѕРґ С‚Р°РєР¶Рµ СѓРїСЂРѕС‰Р°РµС‚ РїРѕРґРґРµСЂР¶РєСѓ Р·Р° СЃС‡РµС‚ С‚РѕРіРѕ, С‡С‚Рѕ РїРѕ РЅР°Р·РІР°РЅРёСЋ С†РµРїРѕС‡РєРё СЃСЂР°Р·Сѓ РІРёРґРЅРѕ, С‡С‚Рѕ СЌС‚Рѕ Р·Р° С‚СЂР°С„РёРє Рё РѕС‚РєСѓРґР° РѕРЅ РёРґРµС‚. РњРѕР¶РЅРѕ РґР»СЏ СЂР°Р·РЅС‹С… С‚РёРїРѕРІ С‚СЂР°С„РёРєР° СЃРѕР·РґР°РІР°С‚СЊ СЃРІРѕРё С†РµРїРѕС‡РєРё, РЅР°РїСЂРёРјРµСЂ РѕС‚РґРµР»СЊРЅСѓСЋ С†РµРїРѕС‡РєСѓ РґР»СЏ management-С‚СЂР°С„РёРєР°. Р—Р° РІРѕР·РІСЂР°С‚ С‚СЂР°С„РёРєР° РІ СЂРѕРґРёС‚РµР»СЊСЃРєСѓСЋ С†РµРїРѕС‡РєСѓ РѕС‚РІРµС‡Р°РµС‚ action return.

Защищаемся от атак

До сих пор мы рассматривали правила файрвола, позволяющие обрабатывать трафик по простым признакам: интерфейсу, адресу, порту. Но файрвол гораздо более гибкий инструмент, с его помощью можно строить сложную логику для противодействия разным типам атак.

Есть зарезервированные адреса, которые не используются в интернете. Они называются «богон-адресами». Отсечем пакеты с таких адресов:

Перейти обратно к новости