Если исходящий трафик мы помечали в цепочке output, то проходящий трафик нужно помечать в цепочке prerouting. Сделаем так, чтобы компьютер с адресом 192.168.0.9 ходил через второго провайдера: Обязательно создайте другого пользователя с новым логином и удалите учетную запись Admin, это мы делали при начальных настройках, шанс того. В моей схеме это проделывать не обязательно, так как второго провайдера я уже и так поместил в свою таблицу маршрутизации использовав VRF.

MikroTik защита от брутфорса (Brute force)

В последнее время всё чаще встречаемся с брутфорсом (Brute force — метод взлома учетных записей посредствам подбора паролей к ним). Чаще всего атака идет на стандартные сервисы и, соответственно, стандартные порты. Например:

В данной статье расскажем о том, как обезопасить себя от брутфорс (Brute force) — атак, используя маршрутизатор MikroTik.

План работ. Краткое описание действий

Действовать будем так, как нам говорит официальная документация, но с небольшими правками и дополнениями.

Для защиты от брутфорс-атаки на SSH — TCP 22 port и PPTP — TCP 1723 port (для примера взяты стандартные порты) будем блокировать ip-адреса всех, кто попытается установить четыре соединения подряд с интервалом меньше одной минуты.

  • При первом подключении по SSH добавляем ip-адрес в список ssh_stage1, если менее чем через одну минуту приходит ещё один запрос на подключение, добавляем в список ssh_stage2 и т.д. После списка ssh_stage3 идет список blacklist.
  • Для подключений по PPTP такая же логика, только меняем название списков на pptp_stage1 — pptp_stage3
  • Для списка ip-адресов blacklist создадим правило блокировки в Firewall


Мнение эксперта
Логинов Александр Евгеньевич, специалист по вопросам мобильной связи и интернета
Если у вас что-то не получается освоить самостоятельно, задавайте вопросы мне!
Задать вопрос эксперту
FastTrack можно и нужно использовать, но не для всего подряд, а точечно выделяя какой-то конкретный вид трафика и пропуская этот выделенный трафик через FastTrack. Если вам нужна дополнительная консультация, пишите мне!

Policy-based Routing (PBR) на MikroTik — Sysadminium

Правила защиты от брутфорс — атак на SSH и PPTP

Как и говорилось выше, блокировать будем ip — адреса, с которых было четыре запроса на соединение с интервалом менее одной минуты.

  • по 4 правила в IP-Firewall-Filter для SSH и для PPTP, которые будут добавлять ip-адреса для блокировки в список blacklist
  • правило блокировки в для всех ip-адресов из списка blacklist

правило для блокировки ip-адресов из списка «blacklist«

Для понимания детально рассмотрим каждую строку правил для SSH и правило блокировки ip-адерсов из списка «blacklist«.
Начнём с привил для SSH. Строки будем рассматривать с конца. Начнем с четвертой.

Аналогично добавляем в список ssh_stage3 — строка 2

Блокировка ip-адресов из списка «blacklist«

После того как мы создали правила заполнения списка «blacklist«, нужно добавить правило блокировки всех ip-адресов, входящих в него. Для этого нужно правильно выбрать цепочку, в которой будем осуществлять блокировку, и вид блокировки.

В прошлых частях мы с Вами настроили единую локальную сеть через EoIP туннель построенном поверх OpenVPN. В нашем примере будем использовать Drop, это позволит снизить нагрузку на процессор и уменьшить исходящий трафик, так как маршрутизатор не будет отправлять ответ как при reject , а просто сбрасывать соединение. Последнее правило блокирует все, что явным образом не разрешено правилами, расположенными между вторым и последним правилом.

Лженастройки

Эту категорию лженастроек я характеризую так: «Эта статья в Интернет выглядит умной. Я тоже хочу внедрить у себя такое». Администраторы берут какие-то настройки и абсолютно не понимая, что это, зачем это и с чем это едят копируют настройки к себе. Чаще всего встречаются следующие чудо-настройки.

BOGON

Описание

Эта настройка находится в топе по популярности среди всевозможных лженастроек файервола. Выглядит она следующим образом: вначале делается список адресов с названием «BOGON» и после этого в файерволе этот самый «BOGON» запрещают для входящего интерфейса.

Развенчание мифа

У таких сетей есть один очень важный нюанс, который я еще ни разу не встречал что бы учитывали: Ни BOGON, ни FULLBOGON списки не являются статическими. Диапазоны IP-адресов могут, как добавляться, так и убираться из этих списков. Поэтому BOGON-список актуальный сегодня завтра может оказаться неактуальным и файервол начнет блокировать легитимный трафик.

Правило, блокирующее invalid-трафик обязательно должно идти вторым сразу за правилом, которое разрешает established и related трафик. Если сделать, например, так:

то мы рискуем получить уязвимость в виде возможности посылать на нас нелегитимный ICMP-трафик. И произойдет это следующим образом:

  1. Первый вредоносный пакет у которого в качестве источника будет указан адрес из любой сети, в т. ч. и из BOGON, будет обработан на втором правиле, которое разрешает ICMP-трафик. Простым языком: кто-то будет слать якобы ответ на ping-запросы, которые на самом деле не отправлялись.
  2. Все дальнейшие пакеты будут обработаны самым первым правилом, которое разрешает established & related трафик.
  3. До правила блокирующего invalid трафик дело уже не дойдет. А именно оно должно было бы остановить атаку не зависимо от того откуда идет атака из BOGON сети или из какой-то другой.

Резюме

Для того, чтобы не получить проблемы с BOGON-сетями достаточно настроить файрвол в нормально закрытом режиме. При этом в настройке BOGON-сети напрямую могут никак не участвовать.

Блокировка TCP-соединений по флагам

Эта лженастройка имеет много разных вариаций. В общих чертах она выглядит как попытка заблокировать что-то на основании флага TCP-соединения с помощью опции «tcp-flag». У этой лженастройки файрвола на MikroTik много разных вариаций. Обычно их объединяет то, что есть несколько правил в которых обязательно будет встречаться что-то на подобие:


MikroTik защита от брутфорса (Brute force)
Многие читали про то, что с помощью FastTrack можно в разы увеличить производительность маршрутизатора. Как правило эту возможность используют в таком виде:
Мнение эксперта
Логинов Александр Евгеньевич, специалист по вопросам мобильной связи и интернета
Если у вас что-то не получается освоить самостоятельно, задавайте вопросы мне!
Задать вопрос эксперту
Если мы выявляем, что из третьего списка к нам опять обратился данный IP-адрес, то заносим его в черный лист запрета и баним на 7 дней, неделю не меньше, как говорил кролик из Винни Пуха. Если вам нужна дополнительная консультация, пишите мне!

Создание домашней сети на базе устройств MikroTik: Часть 6 – Firewall защита доступа – Technotrade

  1. Лженастройки. Как правило, такие правила никак не влияют на работоспособность сети. Только замусоривают конфигурацию и этим затрудняют ее дальнейший анализ. Иногда могут и навредить. Основной признак этой категории — использование каких-то замысловатых параметров. Иногда такие правила называют «фуфломицином».
  2. Правила пустышки. Как правило ничего не делают. Ни хуже, ни лучше. Разве, что потребляют ресурсы процессора на обработку бессмысленных правил. Принципиальное отличие от лженастроек это отсутствие использования замысловатых параметров. Такие правила очень хорошо описываются определением «масло масляное».
  3. Ошибки. Название говорит само за себя. Условно можно разбить на подкатегории:
    • Результат, который дают такие настройки не соответствует тому, что изначально ожидалось.
    • Отсутствие понимания того как должен быть настроен файрвол. В результате получается то, что хотели получить изначально, но могут быть проблемы или уязвимости.

Правила пустышки

В основной своей массе эти правила сводятся к одному: разрешению того, что и так не запрещено.

Описание

Эта категория лженастроек не делает ничего кроме бессмысленного потребления ресурсов маршрутизатора. Выглядит это все примерно так:

Развенчание мифа

С пакетом, который попадает в файервол с таким набором правил происходит одно из двух:

  1. Пакет попадает под действие одного из правил и оказывается разрешенным.
  2. Пакет не попадает под действие ни одного из правил и так как нет запрещающего правила, то пакет оказывается разрешенным.

Резюме

Рекомендую сделать файервол нормально закрытым. Т. е. в зависимости от конкретной конфигурации в конце должно быть правило, запрещающее все, что отдельно не разрешено. Использовать нормально открытый файервол нельзя, т. к. в этом случае устройство оказывается уязвимым.

Чтобы прокомментировать или ответить, прокрутите страницу вниз ⤓
Оцените, пожалуйста, публикацию:
Загрузка...
Поделитесь с друзьями в социальных сетях: