WiFi Home
  • Homepage
  • Články
  • Externí správa IT
  • Ceník
  • Kontakt

Firewall na Mikrotiku

Mikrotik routery nabízí v základní konfiguraci celkem efektivní firewall. Jeho hlavním cílem je blokovat všechna nově příchozí spojení z internetu a zároveň umožnit nerušenou komunikaci z lokální sítě směrem do internetu.

Základní firewall

Firewall v továrním nastavení má jen několik statických pravidel:

/ip firewall filter
add action=accept chain=input comment=”defconf: accept established,related,untracked” connection-state=established,related,untracked
add action=drop chain=input comment=”defconf: drop invalid” connection-state=invalid
add action=accept chain=input comment=”defconf: accept ICMP” protocol=icmp
add action=accept chain=input comment=”defconf: accept to local loopback (for CAPsMAN)” dst-address=127.0.0.1
add action=drop chain=input comment=”defconf: drop all not coming from LAN” in-interface-list=!LAN
add action=accept chain=forward comment=”defconf: accept in ipsec policy” ipsec-policy=in,ipsec
add action=accept chain=forward comment=”defconf: accept out ipsec policy” ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment=”defconf: fasttrack” connection-state=established,related
add action=accept chain=forward comment=”defconf: accept established,related, untracked” connection-state=established,related,untracked
add action=drop chain=forward comment=”defconf: drop invalid” connection-state=invalid
add action=drop chain=forward comment=”defconf: drop all from WAN not DSTNATed” connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment=”defconf: masquerade” ipsec-policy=out,none out-interface-list=WAN

Tento základní firewall je dostačující pro většinu uživatelů. Nedokáže ale aktivně reagovat na případné útoky z internetu ve chvíli, kdy je Mikrotik dostupný skrz veřejnou IP.

Pokročilejší firewall

Přidáním několika málo pravidel můžeme zvýšit zabezpečení detekcí a blokováním Port scannerů a Syn flood útoků.

/ip firewall filter
add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input comment=”Add Syn Flood IP to the list” connection-limit=30,32 disabled=no protocol=tcp tcp-flags=syn
add action=drop chain=input comment=”Drop to syn flood list” disabled=no src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment=”Port Scanner Detect”disabled=no protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment=”Drop to port scan list” disabled=no src-address-list=Port_Scanner
add action=accept chain=input comment=”defconf: accept established,related,untracked” connection-state=established,related,untracked
add action=drop chain=input comment=”defconf: drop invalid” connection-state=invalid
add action=accept chain=input comment=”defconf: accept ICMP” protocol=icmp
add action=accept chain=input comment=”defconf: accept to local loopback (for CAPsMAN)” dst-address=127.0.0.1
add action=drop chain=input comment=”defconf: drop all not coming from LAN” in-interface-list=!LAN
add action=accept chain=forward comment=”defconf: accept in ipsec policy” ipsec-policy=in,ipsec
add action=accept chain=forward comment=”defconf: accept out ipsec policy” ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment=”defconf: fasttrack” connection-state=established,related
add action=accept chain=forward comment=”defconf: accept established,related, untracked” connection-state=established,related,untracked
add action=drop chain=forward comment=”defconf: drop invalid” connection-state=invalid
add action=drop chain=forward comment=”defconf: drop all from WAN not DSTNATed” connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment=”defconf: masquerade” ipsec-policy=out,none out-interface-list=WAN

U tvorby pokročilejšího firewallu je třeba brát ohled na výpočetní výkon Mikrotik routeru. Příliš komplexní firewall může mít negativní dopad na na celkovou propustnost sítě, pokud není router dostatečně výkonný.

Inteligentní firewall

Jakmile používáte svůj router k podnikání či máte veřejnou IP k přístupu k vlastním službám, je důležité věnovat IT bezpečnosti zvýšenou pozornost. Vzhledem k možnostem dnešních hackerů není problém zjistit služby, které na vaší síti provozujete – ať už je to VPN server nebo domácí cloud atp. Pokud máte nějaký port otevřený směrem do internetu, je prakticky jisté, že se někdo pokusí jej prolomit. V dnešní době není už bohužel efektivní používat klasické brute-force protection metody. Útočníci postupně mění zdrojové IP a brute-force útok klasicky probíhá dlouhodobě. Pokud tedy detekujeme zdrojovou adresu, která se snaží uhodnout přihlašovací údaje a zablokujeme ji, nijak si nepomůžeme. Níže je příklad automatizovaného dlouhodobého útoku na Mikrotik Router. Je z něj vidět, že každý pokus o prolomení hesla jde z jiné IP a mezi jednotlivými pokusy je relativně dlouhá doba.

Je tedy třeba tyto IP blokovat dříve, než se pokusí o prolomení našich hesel. Kompromitované zdrojové adresy jsou reportovány např. na webu https://www.abuseipdb.com. První IP z našeho příkladu výše: 78.128.113.66 je se 100% jistotou kompromitovaná. Tudíž je vhodné ji zablokovat.

Jak to ale udělat ještě před tím, než se někdo z této IP pokusí o prolomení Vašeho routeru? Pouhé vytvoření statického seznamu kompromitovaných IP nestačí. Nejenže přibývají nové IP, ale odstraněné hrozby je třeba odmazávat z blacklistu. Na svém serveru každou hodinu aktualizuji seznam kompromitovaných adres a na routerech svých klientů dynamicky aktualizuji list zakázaných IP. V kombinaci s detekcí port scannerů a několika honeypoty pro včasné odhalení automatizovaných útoků se jedná o nejlepší ochranu proti útokům zvenčí.

Vzhledem ke komplexnosti řešení nepublikuji veřejně způsob získávání seznamu. Pokud máte zájem o zabezpečení Vašeho routeru, napište si pro individuální nabídku.

Sháníte externí firmu pro správu Mikrotik systému?

Mikrotik je úžasné zařízení s neuvěřitelnými možnostmi. V základní konfiguraci je vcelku bezpečný. Pokud jej ale používáte k podnikání, je důležité věnovat maximální pozornost IT security. Netrapte se s nastavováním pokus-omyl, nechte si router odborně nakonfigurovat a případně i dlouhodobě spravovat. Kontakt

Winbox ERROR: RoMON Agent not found. Add it to Managed List Mějte přehled o své datové síti s Mikrotik DUDE

Related Posts

LAG/bonding mezi SwitchOS Lite a RouterOS

Mikrotik

LAG/bonding mezi SwitchOS Lite a RouterOS

UniFi kontroler na Mikrotiku

Mikrotik, UniFi

UniFi kontroler na Mikrotiku

Mikrotik & Externí syslog

Bezpečnost, Mikrotik

Mikrotik & Externí syslog

Nejnovější

  • LAG/bonding mezi SwitchOS Lite a RouterOS
  • UniFi kontroler na Mikrotiku
  • Automatické spuštění SYNOLOGY po výpadku napájení
  • Sdílení souborů na Synology NAS
  • Mikrotik & Externí syslog

Nejčtenější

  • UniFi kontroler na Mikrotiku
  • Automatické spuštění SYNOLOGY po výpadku napájení
  • LAG/bonding mezi SwitchOS Lite a RouterOS
Copyright 2021, Ing. Jiří Kulda
Zapsán v podnikatelském rejstříku, IČO: 03332586
Powered by WordPress • Themify WordPress Themes
Tento web používá cookies. Budeme rádi, pokud nám to schválíte kliknutím na “Povolit vše”. Samozřejmě můžete v "Nastavení cookies" ručně vybrat jaké služby chcete povolit.
Nastavení cookiesPovolit vše
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Vždy povoleno
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
CookieDélkaPopis
cookielawinfo-checkbox-analytics11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional11 monthsThe cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy11 monthsThe cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
ULOŽIT A PŘIJMOUT