Chain forward mikrotik что это
Настройка Firewall на шлюзе MikroTik
Настроить firewall на MikroTik достаточно просто, но пользователи либо не сильно много уделяют внимания этой одной из важных элементов настройки устройства, либо настраивают его неправильно, что показало большое количество взломанных устройств в 2019 году, когда была найдена уязвимость WinBox. Данная статья пытается помочь понять, как работает фильтрация трафика в MikroTik, что необходимо делать что бы защитить свои устройства, но не претендует на руководство к действию, каждый выбирает свой путь сам.
Для правильной настройки межсетевого экрана на любом устройстве необходимо понимать несколько вещей:
Схемы работы Firewall
Их две, и они применимы к любому межсетевому экрану:
В первой схеме по умолчанию на все пакеты не накладывается никаких ограничений и по необходимости блокируются только какие-то критические сервисы, например, сервисы предоставляющие удаленный доступ. По данной схеме работают большинство домашних маршрутизаторов, у которых разрешен весь трафик кроме соединений из вне, которые не были инициированы этим устройством или устройствами локальной сети, работающими через этот шлюз.
Во второй схеме все подключения по умолчанию блокируются, если необходим доступ к какому-либо сервису, то разрешаем его.
FireWall в MikroTik
Правила состоят из цепочек (Chain), в таблице Filter Rules по умолчанию три цепочки:
Помимо стандартных цепочек можно создавать пользовательские цепочки, это может быть полезно для создания блоков обработки пакетов и более наглядного его восприятия.
В настройках MikroTik есть еще одно состояние:
Создание правил в Firewall
Возможные параметры для фильтрации трафика:
В результате, если обрабатываемый пакет подпадает под условия правила, с этим пакетом выполняются указанные в настройке действия (Actions). Основные действия при обработке:
Примеры защиты устройств
В командной строке правила будут выглядеть так:
Пример #2. У нас firewall настроен как в примере #1, но нам необходимо чтобы устройство было доступно по протоколу ICMP (можно было проверить доступность устройства с помощью команды ping ) откуда угодно.
Наш firewall работает по схеме разрешено всё кроме того, что запрещено, то, из локальной сети доступ к устройству не ограничен, а из внешней сети доступ ограничивают правила из примера #1. Что бы реализовать доступ к устройству из сети интернет все правила, связанные с этим должны в списке правил располагаться выше запрещающего.
Добавление правила из командной строки будет выглядеть так:
После нажатия кнопки OK правило добавится в самый низ таблицы, перетаскиваем его выше запрещающих правил захватив мышкой.
Пример #3. Firewall настроен как в примерах #1 и #2. Необходимо разрешить доступ RDP (порт 3389) к одному из компьютеров в локальной сети с определенного (доверенного) IP адреса, настройки NAT опускаем, рассматриваем только фильтрацию.
Как и в предыдущем примере разрешающее правило должно располагаться выше запрещающих ввиду того, что запрещающие правила блокируют доступ из внешней сети.
Напоминаю, что здесь мы рассматриваем только фильтрацию трафика, настройки NAT опущены.
В командной строке добавление правила будет выглядеть следующим образом:
Пример #4. Необходимо настроить firewall по схеме #2 (запрещено всё, что не разрешено), при этом необходимо что бы ходил трафик локальной сети от маршрутизатора и обратно, был доступ к маршрутизатору из вне по списку определенных IP и в сеть интернет был доступ только с определенных IP адресов локальной сети.
Отладка
При возникновении проблем любое из правил можно отправить в Log, для этого в свойствах правила на вкладке Action включаем логирование и в поле Log Prefix добавляем пояснение для упрощения поиска в логах.
В разделе Log при отработке правила будут примерно такие записи:
После отладки не забываем отключать в правилах логирование.
IPv6 Firewall
Настройка MikroTik Firewall
Научиться настройке MikroTik можно на онлайн курсе по оборудованию этого производителя. Автор курса является сертифицированным тренером MikroTik. Подробней Вы можете прочитать в конце статьи.
Мы обсудим дизайн, цепочки, действия, правила и общие рекомендации.
Дизайн mikrotik firewall
Общая идея представлена в mikrotik firewall, и ее описание заключается в том, что трафик, который вам нужен, должен быть разрешен, а весь остальной трафик должен быть удален. В целом базовая настройка firewall mikrotik предполагает, что сеть можно разделить на ненадежные, полунадежные и надежные сетевые анклавы. В сочетании с разделением сети с использованием VLAN это позволит создать надежную, защищенную сеть, которая может оградить область нарушения, если оно произойдет.
Трафик, который разрешен из одной сети в другую, должен иметь деловые или организационные требования и быть документирован для того, чтобы mikrotik firewall настройка была успешной. Наилучший подход заключается в том, чтобы вывести ваш текущий дизайн сети и провести сетевые подключения, которые должны быть разрешены. Разрешенный трафик будет иметь mikrotik правила firewall, позволяющие его передавать, а затем окончательное правило сработает как «уловка» и весь остальной трафик будет отброшен. Иногда это называется правилом «Deny All», а в случае с Cisco, часто встречается правило «Deny Any-Any». В целом mikrotik firewall rules можно значительно упростить, если разрешить все то, что вам нужно, а все остальное удалить.
Первой концепцией для понимания являются сети брандмауэров и то, как они используются в правилах брандмауэра, и mikrotik firewall примеры явно это показывают.
Цепочки передачи пакетов Firewall Chains
Итак, mikrotik правильная настройка firewall предполагает, что цепи брандмауэра соответствуют трафику, входящему и выходящему из интерфейсов. После того, как трафик сопоставлен, вы можете действовать по нему, используя правила, которые блокируют действия — разрешают, блокируют, отклоняют, регистрируют и т. д. Существуют три цепочки по умолчанию для соответствия трафику — вход, выход и пересылка. Вы можете создавать свои собственные сети, но это более продвинутая тема, которая будет рассмотрена в другой статье.
Пакеты, адресованные маршрутизатору MikroTik (Input Chain)
Также есть мы mikrotik настраиваем firewall, то Input Chain соответствует трафику, направленному по направлению к самому маршрутизатору, адресованному интерфейсу на устройстве. Это может быть трафик Winbox, сеансы SSH или Telnet или администратор, непосредственно пинговый маршрутизатор. Обычно большинство входных трафиков в WAN отбрасываются, чтобы остановить сканеры портов, попытки взлома входа в систему и т.д. В некоторых организациях также удаляется входной трафик из локальных сетей, поскольку Winbox, SSH и другой административный трафик ограничиваются управлением VLAN.
Не все организации используют выделенную VLAN управления, но она считается лучшей практикой в целом и есть в mikrotik настройка firewall. Это помогает убедиться, что злоумышленник или кто-то, кто получает внутренний доступ, не может напрямую обращаться к устройствам и попытаться обойти меры безопасности организации, и что mikrotik firewall connection безопасна.
Исходящие пакеты (Output Chain)
Output Chain соответствует трафику, исходящему от самого маршрутизатора. Это может быть администратор, отправляющий пинг непосредственно с маршрутизатора на шлюз ISP для проверки возможности подключения. Это также может быть маршрутизатор, отправляющий DNS-запрос от имени внутреннего хоста, или маршрутизатор, обращающийся к mikrotik.com, для проверки обновлений. Многие организации не защищают исходящий трафик, потому что трафик, соответствующий цепочке вывода, должен исходить от самого маршрутизатора. Mikrotik firewall настройка безопасность предполагает, что трафик, вызывающий доверие, которым предполагается, что устройство не было скомпрометировано.
Пакеты, предназначенные внутренним абонентам (Forward Chain)
Forward Chain в mikrotik firewall filter сопоставляет трафик, проходящий через маршрутизатор, от одного интерфейса к другому. Это маршрутизируемый трафик, который устройство передает из одной сети в другую. Для большинства организаций основная часть их межсетевого трафика находится в этой цепочке. В конце концов, мы говорим о маршрутизаторе, чья задача заключается в том, чтобы нажимать пакеты между сетями.
Примером трафика, который соответствует цепочке Forward, будут пакеты, отправленные с хоста LAN через маршрутизатор, исходящий на шлюз поставщика услуг через маршрут по умолчанию. В одном интерфейсе и из другого, направленного таблицей маршрутизации.
Операции с пакетами (Firewall Actions)
Правила брандмауэра mikrotik vpn firewall могут выполнять несколько операций с пакетами, когда они проходят через брандмауэр. Существует три основных действия, которые правила брандмауэра RouterOS могут принимать пакеты — Accept, Drop и Reject. Другие действия существуют и будут охватываться различными статьями по мере их применения, но эти три являются основой брандмауэра.
Пропуск пакетов (Accept)
Это правила, которые «принимают» трафик позволяют сопоставлять пакеты через брандмауэр. Пакеты не изменяются и не перенаправляются, их просто разрешают путешествовать через брандмауэр. Помните, мы должны только разрешить трафик, который нам нужен, и заблокировать все остальное.
Отклонение пакетов (Reject)
«Reject» — это правила, которые отклоняют пакеты блоков трафика в mikrotik firewall script и отправляют ICMP «отклонять» сообщения источнику трафика. Получение отказа ICMP показывает, что пакет действительно прибыл, но был заблокирован. Это действие в mikrotik скрипт firewall будет безопасно блокировать вредоносные пакеты, но сообщения об отказе могут помочь злоумышленнику отпечатать ваши устройства во время сканирования порта. Он также позволяет злоумышленнику узнать, что на этом IP-устройстве работает устройство, и что они должны исследовать дальше. Во время оценки безопасности, в зависимости от аудитора и стандартов, которые вы проверяете против него, может быть, а может и не быть аудит, если ваш брандмауэр отклоняет пакеты. Не рекомендуется в качестве лучшей практики защиты отклонять пакеты, вместо этого вы должны молча «отбрасывать» их.
Сброс пакетов (Drop)
«Drop» — это правила, которые блокируют пакеты трафика в брандмауэре, молча отбрасывая их без сообщения об ошибке для источника трафика. Это предпочтительный метод обработки. Когда правила сброса настроены правильно, сканер ничего не получит назад, как будто на конкретном IP-адресе ничего не происходит. Это желаемый эффект хороших правил брандмауэра.
Правила MikroTik Firewall
Правила брандмауэра определяют, какие пакеты разрешены, и которые будут отброшены. Они представляют собой комбинацию цепей, действий и адресации (источник / место назначения). Хорошие правила брандмауэра позволяют трафику, который требуется пройти для подлинной деловой или организационной цели, и отбрасывает весь другой трафик в конце каждой цепочки. Используя правило «запретить все» в конце каждой цепочки, мы сохраняем множество правил брандмауэра намного короче, потому что для всех других профилей трафика не должно быть кучи правил «запретить».
Цепочки правил межсетевого экрана (Chains)
Каждое правило применяется к определенной цепочке, а присвоение цепочки по каждому правилу необязательно. Пакеты соответствуют определенной цепочке, а затем правила этой сети брандмауэра оцениваются в порядке убывания. Поскольку порядок имеет значение, правила в правильной последовательности могут сделать брандмауэр более эффективным и безопасным. Наличие правил в неправильном порядке может означать, что основная часть ваших пакетов должна быть оценена по многим правилам, прежде чем ударить правило, которое, наконец, позволяет это, тратя время на ценные ресурсы обработки.
Действия при обработке пакетов
Все правила брандмауэра должны иметь действие, даже если это действие предназначено только для регистрации соответствующих пакетов. Три типичных действия, используемые в правилах: Accept, Reject и Drop, как описано выше.
Адресация пакетов
Это сообщает брандмауэру для каждого правила, какой трафик соответствует правилу. Эта часть является необязательной — вы можете просто заблокировать весь протокол без указания его источника или адресата. Существует несколько вариантов адресации трафика, поступающего в маршрутизатор или через него. Вы можете указать IP-адреса источника или назначения, включая отдельные IP-адреса хоста или подсети, используя нотацию CIDR (/24, /30 и т. д.). Интерфейсы также могут использоваться для фильтрации трафика на определенном интерфейсе или из него, который может осуществляться через физический интерфейс, такой как Ethernet-порт или логический интерфейс, например, созданные GRE-туннелями. Это часто делается при блокировании трафика, когда источник или место назначения трафика не всегда известны. Хорошим примером этого является трафик, поступающий на маршрутизатор через поставщика услуг — этот трафик может происходить из Азии, Европы или где-либо еще. Поскольку вы не знаете, что этот трафик является правилом deny, он используется для входящего на интерфейс WAN, чтобы просто его удалить.
Комментарии к правилам межсетевого экрана
Очень важно добавить комментарий к правилам брандмауэра, для вашего собственного здравомыслия и для вашей сетевой команды. При создании правил брандмауэра практически не требуется времени, и это может сэкономить значительное время при устранении неполадок. Это также может избавить вас от ошибок при настройке правил брандмауэра на линию, так как сети меняются и развиваются. Если вы не создали комментарий во время создания правила, просто добавьте комментарий, подобный этому, используя в качестве примера правило №2:
Рекомендации по межсетевому экрану
Ряд передовых методов широко внедряется в сетевой индустрии, и неплохо ознакомиться с тем, что они собой представляют, почему они реализованы, и тем влиянием, которое они оказывают на безопасность вашей организации.
Разрешать только важный трафик
Об этом уже говорилось уже пару раз, но об этом стоит упомянуть еще раз. Разрешайте только трафик, необходимый в сети и вне ее. Это уменьшает поверхность атаки, которая подвергается атакам, и помогает ограничить повреждение нарушения. С учетом сказанного, ограничение сетевого трафика слишком сильно может ограничить функциональность или производительность, поэтому требуется некоторое количество баланса и тестирования.
Разрешить только доверенные внешние адреса
Открытие (или «pinholing») брандмауэра является приемлемой и необходимой практикой, но вы можете разрешать входящие подключения к вашей сети через доверенные адреса. Это могут быть другие офисы или места расположения центров данных или подключения к внутренним ресурсам через VPN-туннели.
Используйте правило «deny all» в конце каждой цепочки
Вместо того чтобы вводить множество правил «отклонения», чтобы отбросить трафик, полагайтесь на окончательное правило «запретить все» в каждой цепочке для обработки нежелательного трафика. Добавление дополнительных правил «запретить» для мониторинга определенных профилей трафика или для помощи в поиске и устранении неисправностей является хорошей практикой, но добавление правил отказа в верхней части окончательного правила раздувает брандмауэр и долгое время использует ресурсы.
Сканирование собственных брандмауэров
Периодически сканирование ваших собственных брандмауэров и других устройств для открытых портов и сервисов является важной частью любой программы сетевой безопасности, так как в mikrotik firewall nat и не только могут происходить изменения. Это совсем не сложно, и вы можете использовать инструменты с открытым исходным кодом. Наличие устройств, подключенных к Интернету, означает, что теперь вы практически гарантированно должны быть отсканированы субъектами угрозы, которые ищут легкие цели и устройства с плохими или отсутствующими конфигурациями. Пример поиска такой уязвимости:
Nmap — это типичный инструмент для сканирования портов и сервисов.
MikroTik: куда нажать, чтобы заработало?
При всех своих достоинствах, есть у продукции компании MikroTik один минус – много разобщенной и далеко не всегда достоверной информации о ее настройке. Рекомендуем проверенный источник на русском языке, где все собрано, логично и структурировано – видеокурс « Настройка оборудования MikroTik ». В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект. Все материалы остаются у вас бессрочно. Начало курса можно посмотреть бесплатно, оставив заявку на странице курса. Автор курса является сертифицированным тренером MikroTik.
Настройка Firewall в Mikrotik
RouterOS — сетевая ОС, изначально предназначенная для устройств RouterBoard латвийской компании Mikrotik, но в дальнейшем перекочевавшая на x86 и в облака (версия Cloud Hosted Router). В этой статье поговорим о том, как грамотно настроить межсетевой экран в этой ОС.
Безопасность периметра локальной сети — одна из приоритетных задач любого системного администратора и в компании Mikrotik это прекрасно понимают. Так что как только вы включили устройство на RouterBoard с настройками по умолчанию — там уже будет некоторое количество преднастроенных правил. В случае Mikrotik CHR — по умолчанию правил не будет, но Mikrotik настоятельно рекомендует их настроить.
Сразу оговоримся, что в рамках этой статьи мы будет пользоваться исключительно интерфейсом командной строки (CLI) и облачной версией RouterOS CHR. Логика настройки точно такая же, как и при использовании WinBox или WebFig, но предпочтительнее изначально пользоваться CLI.
Немного теории: настройка firewall
Одним из базовых понятий настройки файервола Mikrotik является цепочка (chain). По умолчанию их 3, но есть возможность и создания собственных цепочек:
Если к нам должен прийти какой-либо трафик извне, например, из интернета, то мы его будем обрабатывать цепочкой INPUT. Чтобы обработать правилами трафик, уходящий наружу (например, в тот же интернет), задействуем цепочку OUTPUT. Если же наш маршрутизатор не находится на границе сети, а служит промежуточным узлом между сетями, то тогда для обработки трафика применяем цепочку FORWARD.
Причем тут странное название «цепочка»? Все элементарно. Все создаваемые правила обработки действуют не вместе, а строго по очереди одно за другим. Точно также, как формируется цепь — одно звено следует за другим. Именно поэтому списки правил стали именовать «цепочками».
Теперь коснемся статусов соединения. Каждое соединение условно можно разделить на 4 категории:
И сразу к практике: фильтрация
Открываем консольный интерфейс и посмотрим на существующие правила:
Пока что правил нет, отображается только «легенда» про флаги. Переходим в раздел настройки фильтров:
Полезный чит-код: узнать все варианты команд в любом разделе можно, нажав клавишу со знаком вопроса «?«
Теперь создадим несколько правил и расскажем для чего они нужны:
Эту команду можно читать прямо дословно. Разберем прямо по пунктам:
Таким образом эта длинная команда всего лишь превращается во вполне логичную фразу «Принимать извне все пакеты со статусом соединения Established и Related». Это правило позволяет четко указать маршрутизатору что если из внешней сети прилетают соединения с указанными статусами, то их следует принять.
Теперь переходим к следующему правилу, рекомендуемому Mikrotik:
Тут мы заострим внимание только на параметре src-address-list=allowed_to_router. При обработке трафика мы можем формировать различные списки IP-адресов. Каждый список будет иметь имя. Так что дословный «перевод» этого правила всего лишь «Принять пакеты, если IP-адрес с которого обращаются, есть в списке allowed_to_router. Нам это правило пригодится для дальнейшего формирования списка разрешенных IP-адресов.
Еще небольшое пояснение. Из-за того, что правила в цепочке обрабатываются одно за другим, то вначале следует прописывать разрешающие правила, а только после этого запрещающие.
Теперь следующее правило, оно достаточно спорное. Мы разрешим маршрутизатору отвечать на команду ping, приходящую извне. С одной стороны — это потенциально раскрывает то, что на нашем IP-адресе есть действующее устройство, а с другой это часто требуется для организации мониторинга. У нас в Selectel, к примеру есть услуга «Мониторинг состояния сервисов», которая позволяет отслеживать доступность любого хоста из разных стран мира. Если вам нужно, отключить ping, то в action надо прописать не accept, а drop.
Тут все просто — эта команда разрешает принимать извне и обрабатывать ICMP-пакеты. И завершающая команда:
Этим в финале цепочки INPUT мы будем отбрасывать (дропать) все оставшиеся пакеты, не подпадающие под правила выше. Посмотрим как у нас сформировались правила:
Рассмотрим как же это работает. Представим, что мы пингуем маршрутизатор извне. Это выглядит примерно так:
Рассмотрим еще один случай. На этот раз к нам на маршрутизатор извне прилетел некий неизвестный UDP-пакет с данными. Как будет действовать маршрутизатор:
Надеемся, что столь подробный разбор логики немного прояснил как именно работает файервол в Mikrotik RouterOS, поэтому приступим к дальнейшей настройке. Сформируем список разрешенных адресов. Для этого вернемся в главное меню, нажав символ / и подтвердив нажатием клавиши Enter. Теперь перейдем в раздел консольного интерфейса Mikrotik – ip firewall и посмотрим какие адресные списки у нас существуют:
Как видим, список пока пустой. Добавим туда адреса из стандартной локальной подсети 192.168.88.0/24 за исключением 192.168.88.1 (адрес маршрутизатора). Эта подсеть обычно используется по умолчанию на устройствах Mikrotik и именно ее чаще всего используют для раздачи адресов в локальной сети. Выполним добавление:
Команда максимально проста для понимания мы говорим, что нам нужно добавить адреса 192.168.88.2-192.168.88.254 в список с именем allowed_to_router. Подразумевается то, что если списка с таким именем не существует, то при выполнении команды он будет создан. Проверим:
Теперь, когда файервол в цепочке INPUT дойдет до правила номер 1, то в случае поступления данных с IP-адресом отправителя из диапазона 192.168.88.2-192.168.88.254 — правило сработает и маршрутизатор будет знать, что данные следует принять. Этим мы будем пользоваться для обращений к маршрутизатору из локальной сети.
Разделяем и властвуем
Списки адресов — крайне полезная штука при настройке файервола. Тут важно следовать стандартам, разработанным такой крутой организацией, как IETF (Internet Engineering Task Force) — Инженерный совет Интернета. Это международное сообщество с конца 80-х годов занимается развитием протоколов и архитектуры интернета.
Результаты работы IEFT публикуются в виде RFC (Request for Comments) — информационных документов, содержащих в себе детальное описание спецификаций и стандартов. Этих документов уже создано несколько тысяч, все они представлены на английском языке. Один из них поможет нам корректно сформировать списки адресов, а именно RFC6890.
Наша задача при настройке файервола четко разделить адреса, относящиеся к локальному сегменту и адреса глобальной сети интернет. Именно их мы возьмем из RFC и пропишем в нашем маршрутизаторе списком с названием not_in_internet. В дальнейшем это поможет нам сформировать правила в которых будут абстракции «это адрес из интернета» и «это адрес не из интернета».
Поочередно выполняем команды, создавая и дополняя список not_in_internet, помимо всего прочего указывая в комментарии номер RFC, которым мы руководствовались:
Есть еще две важные подсети, которые тоже стоит добавить в этот список. Первая подсеть — это 224.0.0.0/4. Эта подсеть зарезервирована для технологии многоадресного вещания (мультикаст) и это зафиксировано в соответствующем RFC2780. Вторая подсеть специфична для переходного механизма 6to4, позволяющего передавать IPv6 трафик через IPv4 сети. Этот механизм реализован в подсети 192.88.99.0/24, что также зафиксировано в отдельном RFC3068.
Теперь, когда мы все сделали «по фен-шую», у нас есть список всех адресов, которые будут опознаваться как локальные, т.е. пришедшие не из интернета. Проверим:
Теперь, используя эти листы, создадим еще правила уже в цепочке FORWARD, которые защитят устройства в локальной сети от различных посягательств. Возвращаемся в раздел с правилами:
Первым правилом мы сделаем так, чтобы наш файервол не срабатывал, когда имеет дело с уже установленными соединениями, это лишь тратит ресурсы маршрутизатора и никоим образом не помогает в обеспечении безопасности:
Обрабатываем установленные соединения в цепочке Forward:
Отбрасываем «битые» соединения:
Отбрасываем пакеты, исходящие из локальной сети к частным IP-адресам и фиксируем срабатывание правила в логах:
Отбрасываем входящие пакеты, которые не подходят для NAT и фиксируем срабатывание:
Отбрасывать пакеты из сети интернет, пришедшие не с публичных IP-адресов и заносить информацию в лог:
Отбрасывать пакеты из локальной сети, не имеющие IP-адресов этой локальной сети, и также отправляем сообщение в лог:
Защита от атак перебором
Брутфорс-атаки давно стали повседневностью. Десятки тысяч ботов регулярно сканируют весь интернет в поисках открытых портов SSH и затем начинают весьма активно «стучаться» на внешний интерфейс и перебирать пароли в попытке захватить контроль над подключенным устройством. У тех, кто контролирует эти сети есть весьма обширные словари паролей, использующие как дефолтные реквизиты доступа большинства устройств.
Но даже если вы задали сложный пароль — это еще не гарантирует безопасности. Длительная атака перебором способна сломать этот барьер защиты, поэтому проще всего пресекать попытки злоумышленников сразу, как только замечен процесс перебора. Настройка правил firewall у устройств Mikrotik достаточно тривиальна:
Вначале создадим правило firewall по которому все входящие соединения с IP-адресов, находящихся в списке ssh_blacklist будут сбрасываться:
Теперь сформируем сам список ssh_blacklist. Любой имеет право на ошибку, поэтому если легитимный пользователь три раза ошибся во вводе пароля — это нормально. Так что позволим пользователю сделать 3 ошибки с интервалом в 1 минуту. Большее количество будет свидетельствовать о переборе паролей и IP-адрес атакующего будет попадать в черный список и включается блокировка на 10 дней.
Так что нам потребуется создать еще три списка IP-адресов. Первый назовем ssh_stage1. Как только создается новое соединение на порт SSH мы вносим IP-адрес источника в список. При этом задаем удаление через 1 минуту. Это гарантирует нам то, что если соединение прошло успешно — IP-адрес будет удален из списка.
Если даже пользователь ошибся, то ничего страшного, однако если он попробует в течение этой минуты еще раз подключиться, то его адрес мы закидываем во второй список ssh_stage2 из первого списка ssh_stage1.
Если пользователь ошибется второй раз, то закидываем IP-адрес источника из списка ssh_stage2 в список ssh_stage3.
Третья ошибочная попытка приводит к копированию IP из списка ssh_stage3 в список ssh_blacklist и все входящие соединения с этого IP будут заблокированы сроком на 10 дней.
Для разблокировки адреса будет достаточно его удалить из черного списка.
NAT: базовая настройка и проброс портов
Технология трансляции сетевых адресов (NAT — Network Address Translation) используется во многих случаях. Чаще всего с ней можно встретиться при организации широкополосного доступа к сети интернет. Смысл технологии в том, чтобы дать возможность выходить в сеть множеству устройств, используя всего лишь один внешний IP-адрес.
Все устройства в этом случае будут иметь локальные IP-адреса, например, 192.168.XXX.XXX. Когда устройство запрашивает какой-либо внешний ресурс, то маршрутизатор точно знает от какого адреса в локальной сети пришел запрос и соответственно знает куда направлять обратный поток данных. Но если из внешней сети придет какой-либо запрос, то маршрутизатор его отбросит, поскольку не знает какому устройству в локальной сети его направить.
Решением проблемы является так называемый проброс портов (Port Forwarding). Создавая правило проброса портов мы даем маршрутизатору указания какому устройству перенаправить запрос извне. На логическом уровне подобный запрос может выглядеть как «Если на порт XXX придет TCP-запрос, то перенаправь его на локальный адрес 192.168.XXX.XXX на порт YYY». Давайте посмотрим 2 способа как нам настроить NAT на Mikrotik.
Способ 1. Когда выходной IP-адрес может меняться
Изначально Mikrotik ничего о нашем намерении использовать NAT не знает. Для начала укажем, что хотим все пакеты, пришедшие из локальной сети выводились во внешнюю сеть через общий IP-адрес:
где ether1 — интерфейс, смотрящий в интернет. Также можно задать не один выходной интерфейс, а сразу несколько, заранее сформировав список out-interface-list.
Этот способ наиболее простой и удобный для пользователей с динамическим IP-адресом.
Способ 2. Когда выходной IP-адрес статический и не меняется
Теперь еще один вариант организации NAT. Рассмотрим пример:
где XXX.XXX.XXX.XXX — статический IP-адрес, а ether1 — выходной интерфейс.
Теперь переходим к пробросу портов. Для примера предположим, что у нас в локальной сети 192.168.88.0/24 есть небольшой сервер по адресу 192.168.88.10 с поднятым SSH. Нам нужно подключаться к серверу удаленно, используя номер порта 1122. Для этого выполним проброс портов, созданием правила:
Почему мы взяли такой странный номер порта 1122? Все просто — чтобы затруднить злоумышленникам нахождение номера порта и последующего перебора реквизитов. Таким образом, мы создали правило, однозначно позволяющее маршрутизатору понять, что все TCP-пакеты, пришедшие на порт 1122 следует переадресовывать на локальный адрес 192.168.88.10 на порт 22.
Вместо заключения
Мы рассмотрели основные команды для выстраивания базовой защиты для устройств на базе RouterBoard, а также облачной версии Mikrotik CHR и взглянули на то, как можно парой команд настроить NAT. Разумеется, для каждого неиспользуемого сервиса можно закрыть доступ извне, исходя из используемых портов, протоколов и типа трафика.
Угроз безопасности с каждым днем становится все больше и каждая из них заслуживает внимания и адекватного ответа.