На написание этой статьи меня навело то, что регулярно, два — три раза в неделю ко мне приходят письма с просьбой оценить настройку файрвола. Как правило, основная масса таких настроек содержит одни и те же ошибки, которые я решил собрать в этой статье. Условно их можно разделить на следующие категории:
- Лженастройки. Как правило, такие правила никак не влияют на работоспособность сети. Только замусоривают конфигурацию и этим затрудняют ее дальнейший анализ. Иногда могут и навредить. Основной признак этой категории — использование каких-то замысловатых параметров. Иногда такие правила называют «фуфломицином».
- Правила пустышки. Как правило ничего не делают. Ни хуже, ни лучше. Разве, что потребляют ресурсы процессора на обработку бессмысленных правил. Принципиальное отличие от лженастроек это отсутствие использования замысловатых параметров. Такие правила очень хорошо описываются определением «масло масляное».
- Ошибки. Название говорит само за себя. Условно можно разбить на подкатегории:
- Результат, который дают такие настройки не соответствует тому, что изначально ожидалось.
- Отсутствие понимания того как должен быть настроен файрвол. В результате получается то, что хотели получить изначально, но могут быть проблемы или уязвимости.
Лженастройки
Эту категорию лженастроек я характеризую так: «Эта статья в Интернет выглядит умной. Я тоже хочу внедрить у себя такое». Администраторы берут какие-то настройки и абсолютно не понимая, что это, зачем это и с чем это едят копируют настройки к себе. Чаще всего встречаются следующие чудо-настройки.
Запретить сайт в Mikrotik
BOGON
Описание
Эта настройка находится в топе по популярности среди всевозможных лженастроек файервола. Выглядит она следующим образом: вначале делается список адресов с названием «BOGON» и после этого в файерволе этот самый «BOGON» запрещают для входящего интерфейса.
Через консоль это выглядит примерно так:
/ip firewall address list add address=0.0.0.0/8 list=BOGON add address=10.0.0.0/8 list=BOGON add address=100.64.0.0/10 list=BOGON add address=127.0.0.0/8 list=BOGON add address=169.254.0.0/16 list=BOGON add address=172.16.0.0/12 list=BOGON add address=192.0.0.0/12 list=BOGON add address=192.0.2.0/24 list=BOGON add address=192.168.0.0/16 list=BOGON add address=198.18.0.0/15 list=BOGON add address=198.51.100.0/24 list=BOGON add address=203.0.113.0/24 list=BOGON add address=217.67.177.164 list=BOGON add address=224.0.0.0/3 list=BOGON /ip firewall filter add action=drop chain=input in-interface=WAN src-address-list=BOGON
Развенчание мифа
Прежде всего определимся, что такое «BOGON». BOGON — это IP-адреса, которые не должны встречаться в таблицах маршрутизации в Интернет. Этим термином описываются частные и зарезервированные диапазоны адресов. Список этих сетей описывается в RFC 1918, RFC 5735 и RFC 6598. Обратите внимание, что речь идет именно про таблицы маршрутизации устройств у Интернет-провайдеров, а не про все подряд таблицы маршрутизации. Такие адреса часто могут использоваться при DDoS атаках в качестве IP-адреса источника. Помимо просто BOGON есть еще и FULLBOGON про которые почему-то забывают.
У таких сетей есть один очень важный нюанс, который я еще ни разу не встречал что бы учитывали: Ни BOGON, ни FULLBOGON списки не являются статическими. Диапазоны IP-адресов могут, как добавляться, так и убираться из этих списков. Поэтому BOGON-список актуальный сегодня завтра может оказаться неактуальным и файервол начнет блокировать легитимный трафик.
Здесь я люблю задавать вопрос. Почему Вы решили заблокировать сеть 192.0.2.0/24, но при этом не стали блокировать 192.0. 3 .0/24 или 192.0. 4 .0/24 или 192.0. 5 .0/24? На этот вопрос обычно не могут ответить. Более знающие ссылаются на rfc1166 в котором говорится, что сеть 192.0.2.0/24 зарезервирована для «TEST-NET-1», которая может быть использована в документации или в примерах. На встречный вопрос: «Чем не устраивает нормально закрытый файервол?» как правило ответить уже не могут, т. к. нормальной закрытый файрвол скорее всего уже используется и с этим вопросом приходит понимание, что такое правило это «масло маслянное».
Идем дальше. Допустим, каким-то образом мы получили динамические «BOGON» и «FULLBOGON» списки, которые всегда будут находиться в актуальном состоянии. Может быть тогда блокирование этих самых БОГОНОВ будет иметь смысл? Возможно тогда и будет иметь, но куда проще настроить файервол правильно так, чтобы не требовалось создавать дополнительные правила. Для этого нам достаточно настроить файервол в нормально закрытом режиме и заблокировать invalid-трафик.
/ip firewall filter add action=accept chain=input connection-state=established,related #правило №1 в цепочке input add action=drop chain=input connection-state=invalid #правило №2 в цепочке input . add action=drop chain=input #последнее правило в цепочке input # для последнего правила часто дополнительно указывают входящим WAN-интерфейс, но это зависит от конкретных настроек, которые хочет задать администратор сети
Правило, блокирующее invalid-трафик обязательно должно идти вторым сразу за правилом, которое разрешает established и related трафик. Если сделать, например, так:
/ip firewall filter add action=accept chain=input connection-state=established,related add action=accept chain=input protocol=icmp add action=drop chain=input connection-state=invalid
то мы рискуем получить уязвимость в виде возможности посылать на нас нелегитимный ICMP-трафик. И произойдет это следующим образом:
- Первый вредоносный пакет у которого в качестве источника будет указан адрес из любой сети, в т. ч. и из BOGON, будет обработан на втором правиле, которое разрешает ICMP-трафик. Простым языком: кто-то будет слать якобы ответ на ping-запросы, которые на самом деле не отправлялись.
- Все дальнейшие пакеты будут обработаны самым первым правилом, которое разрешает established tcp-flag». У этой лженастройки файрвола на MikroTik много разных вариаций. Обычно их объединяет то, что есть несколько правил в которых обязательно будет встречаться что-то на подобие:
. protocol=tcp tcp-flags=fin,syn . protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack . protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
Правила пустышки
В основной своей массе эти правила сводятся к одному: разрешению того, что и так не запрещено.
Описание
Эта категория лженастроек не делает ничего кроме бессмысленного потребления ресурсов маршрутизатора. Выглядит это все примерно так:
/ip firewall filter add action=accept chain=input protocol=icmp add action=accept chain=input dst-port=161 protocol=udp src-address-list=zabbix add action=accept chain=input dst-port=8291 protocol=tcp add action=accept chain=input port=500,1701,4500 protocol=udp add action=accept chain=input protocol=ipsec-esp . Далее нет ни одного запрещающего правила
Развенчание мифа
С пакетом, который попадает в файервол с таким набором правил происходит одно из двух:
- Пакет попадает под действие одного из правил и оказывается разрешенным.
- Пакет не попадает под действие ни одного из правил и так как нет запрещающего правила, то пакет оказывается разрешенным.
Т. е. в любом случае пакет оказывается разрешенным.
Резюме
Рекомендую сделать файервол нормально закрытым. Т. е. в зависимости от конкретной конфигурации в конце должно быть правило, запрещающее все, что отдельно не разрешено. Использовать нормально открытый файервол нельзя, т. к. в этом случае устройство оказывается уязвимым.
Ошибки
Использование нормально открытого файервола
Описание
Очень часто неопытные инженеры используют нормально открытый файервол. Например, для цепочки Input правила могут выглядеть так:
/ip firewall filter add action=drop chain=input dst-port=53 protocol=tcp add action=drop chain=input dst-port=53 protocol=udp add action=drop chain=input dst-port=22 protocol=tcp add action=drop chain=input dst-port=80 protocol=tcp add action=drop chain=input . add action=drop chain=input . add action=drop chain=input . add action=drop chain=input . . Прочие запрещающие правила
Проблема
В приведенном выше примере для цепочки Input используется нормально открытый файервол и блокируется то, что по мнению администратора представляет риск. Действительно держать 53-ий порт (DNS) открытым для Интернета это очень большой риск попасть на атаку типа «DNS Resolve» и получить загрузку процессора службой DNS под 100%.
Проблема в том, что при использовании нормально открытого файервола администратор устанет запрещать. Даже, если предположить, что администратор на 100% знает все, что надо запретить, то такую схему лучше не использовать потому, что значительно увеличится количество правил, через которые будет проходит пакет. А чем большее количество правил будет пройдено пакетом, тем выше будет нагрузка на процессор устройства.Решение
Сделать файервол нормально закрытым. Т. в нем должно быть запрещено все кроме того, что разрешено и будет небольшой «белый» список доступных сервисов. Например, так:
/ip firewall filter add action=accept chain=input connection-state=established,related #правило №1 в цепочке input add action=drop chain=input connection-state=invalid #правило №2 в цепочке input add action=accept chain=input protocol=icmp add action=accept chain=input dst-port=8291 protocol=tcp add action=accept chain=input port=500,1701,4500 protocol=udp add action=accept chain=input protocol=ipsec-esp add action=drop chain=input in-interface=WAN #последнее правило в цепочке input
Правила комментариями, которые выделены #синим цветом , должны идти именно в этом порядке.
- Первое правило снижает нагрузку на процессор, т. к. 99% трафика будет проходить через него.
- Второе правило блокирует invalid трафик. Что будет если его поместить хотя бы на одну позицию ниже описано в этой статье выше.
- Последнее правило блокирует все, что явным образом не разрешено правилами, расположенными между вторым и последним правилом.
Неверный порядок правил
Мне часто присылают какое-то одно правило и спрашивают почему оно не работает. При анализе настроек файервола надо учитывать, что правила обрабатываются по порядку и порядок правил играет роль. Поэтому вполне возможна ситуация, когда мы имеем запрещающее правило и оно не работает потому, что выше есть правило, которое разрешает этот трафик. Либо наоборот: что-то, что разрешено не работает, т. к. выше есть запрещающее правило. Разберем ряд таких ситуаций.
Пример №1
Пример ситуации, когда блокирующее правило не сработает:/ip firewall filter . add action=accept chain=input protocol=tcp . add action=drop chain=input dst-port=22 .
В этой ситуации правило, которое блокирует SSH-трафик (22-ой порт TCP) не сработает потому, что выше есть правило, которое разрешает любой TCP-трафик.
Пример №2
Еще один пример ситуации, когда блокирующее правило не сработает:/ip firewall filter . add action=accept chain=forward dst-address=192.168.15.0/24 . add action=drop chain=forward in-interface=Guest out-interface=LAN .
Если рассматривать эту конфигурацию в отрыве от остальных настроек, то кажется, что трафик из «Guest» в «LAN» должен быть заблокирован, но если посмотреть конфигурацию целиком, то можно обнаружить, что сеть 192.168.15.0/24 принадлежит интерфейсу LAN:
/ip address add address=192.168.15.254/24 interface=LAN network=192.168.15.0
Таким образом мы получаем, что у нас есть разрешающее правило выше запрещающего.
Пример №3
Пример ситуации, когда разрешающее правило не сработает потому, что выше есть запрещающее правило./ip firewall filter . add action=drop chain=forward in-interface=DMZ out-interface=LAN . add action=accept chain=forward dst-port=80,443 protocol=tcp
В этом примере есть правило, которое разрешает TCP-трафик с портом назначения 80 и 443. Если рассматривать правило отдельно от остальных, то можно предположить, что из DMZ можно будет попасть в LAN с таким видом трафика. Но по факту это сделать не получится, т. к. выше есть запрещающее правило, которое блокирует любой трафик из DMZ в LAN.
Некорректное использование FastTrack
Многие читали про то, что с помощью FastTrack можно в разы увеличить производительность маршрутизатора. Как правило эту возможность используют в таком виде:
/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related
Но при этом зачастую не учитывают, что при использовании этой возможность игнорируется огромный объем настроек. Какой именно можно оценить посмотрев на то, как проходит FastTrack по схеме прохождения трафика:
Из приведенной схемы можно увидеть, что до многих настроек дело просто не доходит. Как результат можно получить такие симптомы, как у меня не работает приоритезация трафика и многое другое.
FastTrack можно и нужно использовать, но не для всего подряд, а точечно выделяя какой-то конкретный вид трафика и пропуская этот выделенный трафик через FastTrack.
Полезные материалы по MikroTik
Углубленный курс «Администрирование сетевых устройств MikroTik» Онлайн-курс по MikroTik с дипломом государственного образца РФ. Много лабораторных работ с проверкой официальным тренером MikroTik. С нуля и до уровня MTCNA.
На Telegram-канале Mikrotik сэнсей можно получить доступ к закрытой информации от официального тренера MikroTik. ПодписывайтесьИсточник: mikrotik.wiki
Фильтрация ICMP (PING)
ICMP не просто запрос-ответ, а важная составляющая работы сети. Если полностью запретить отвечать на PING, можно сделать только хуже, например начнутся проблемы с фрагментацией пакетов.
Разрешаем только «правильные коды»
Отправляем ICMP в отдельную цепочку
/ip firewall filter add action=jump chain=input protocol=icmp jump-target=icmp comment=»jump to ICMP filters»
И разрешаем только нужные коды, остальное блокируем
/ip firewall filter add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment=»allow echo request» add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment=»echo reply» add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment=»net unreachable» add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment=»host unreachable» add chain=icmp protocol=icmp icmp-options=3:4 action=accept comment=»host unreachable fragmentation required» add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment=»allow time exceed» add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment=»allow parameter bad» add chain=icmp action=drop comment=»deny all other types»
Источник: xn—-7sba7aachdbqfnhtigrl.xn--p1ai
MikroTips: обзор брандмауэра MikroTik для новичков
Новое видео для начинающих из серии #MikroTips посвящено брандмауэру (межсетевому экрану) — одной из важнейших функций маршрутизатора MikroТik. Речь пойдёт об основных понятиях, правилах по умолчанию, добавлении правил и настройке собственных.
Откройте WinBox. Загрузчик WinBox определит ваше устройство — например, Mesh-маршрутизатор Audience. Подключитесь к нему, нажав Connect.
Если это первое подключение, измените username (имя пользователя) — не admin, создайте надёжный пароль. Снова войдите в систему с новым именем и паролем. Удалите admin account (учётную запись администратора).
В левой колонке выбираем IP, затем Firewall. Перед вами окно брандмауэра. Первая вкладка называется Filter Rules (правила фильтрации). Здесь находятся все ваши правила брандмауэра.
Домашние роутеры производства MikroTik оснащены брандмауэром по умолчанию. Более продвинутые, профессиональные маршрутизаторы его не имеют. Пользователям таких устройств — помимо настройки IP-адреса и выполнения базовой конфигурации — необходимо также настроить собственный брандмауэр. Но в этом видео для новичков речь пойдёт о домашних маршрутизаторах, на которых установлен стандартный брандмауэр.
Зелёными галочками отмечены правила для принятия (потока данных). Они разрешают. Правила для отбрасывания — красными крестиками. Они запрещают. Существуют и другие виды доступных действий, но начинающим достаточно сконцентрироваться на правилах принятия и отбрасывания.
Первое, что нужно запомнить — список правил фильтрации брандмауэра организован в определённом порядке, который очень важен. Если список отсортирован, к примеру, по цепочке, адресам источника или получателя (либо номера цепочек переставлены), всегда необходимо возвращать исходный порядок нумерации.
Chain — следующая колонка в окне Filter Rules. Каждое правило при его создании следует поместить в категорию правил или группу правил (стандартные группы или цепочки, как они называются в маршрутизаторах MikroTik).
По умолчанию их три (но есть возможность создания собственных цепочек):
- Цепочка Input — обрабатывает пакеты (входящий трафик), поступающие на маршрутизатор через один из интерфейсов с IP-адресом источника, который является одним из адресов маршрутизатора. Пакеты, проходящие через маршрутизатор, в ущерб правилам цепочки Input не обрабатываются. Если вы хотите защитить свой маршрутизатор от злоумышленников в Интернете, то должны поместить правила в цепочку Input. Тоже самое относится к трафику из вашей LAN-сети. Иногда требуется защитить устройство от локальной сети, поскольку ни одна сеть не является полностью безопасной.
- Цепочка Output — обрабатывает пакеты (исходящий трафик), созданные маршрутизатором и покидающие его через один из интерфейсов. Пакеты, проходящие через маршрутизатор, в ущерб правилам цепочки Ouput не обрабатываются. Используется не так часто, поэтому в этой цепочке нет стандартных правил и правил по умолчанию.
- Цепочка Forward — обрабатывает пакеты, идущие через маршрутизатор. При просмотре пользователем веб-страниц весь трафик, идущий с ноутбука через роутер в сеть и из сети через роутер на ноутбук, обрабатывается цепочкой Forward. Если хотите что-то заблокировать, например, запретить пользователям своей сети доступ к определенному сайту, поместите эти правила в цепочку Forward.
В основном задействованы цепочки Input и Forward.
Для добавления собственного правила брандмауэра на вкладке Filter Rules нажмите кнопку + . Появится новое окно New Firewall Rule. На вкладке General (этого окна) в выпадающем списке строки Chain можно выбрать не только forward, input или output, но и написать своё название цепочки — например, custom.
Про группировку больших списков правил брандмауэра или назначение списков правил для определенного типа трафика поговорим в следующий раз.
Пройдёмся по правилам по умолчанию на вкладке Filter Rules. Первое — dummy rule to show fasttrack counters — фиктивное правило для подсчёта подключений в режиме fasttrack. Его можно игнорировать — оно ничего не делает и не блокирует. Следующее accept rule — правило для принятия потока данных по сетевым соединениям. Действует в отношении уже установленных, связанных и неотслеживаемых соединений. Далее, drop rule — правило для отбрасывания всех видов недействительных соединений, кроме пингов из всех сетей, чтобы можно было отлаживать свою сеть и пинговать устройство. Правило для CAPsMAN будет защищать устройство пользователя (локальную сеть) от угроз из Интернета. Отбрасывает трафик не из локальной сети. Данные правила обрабатывает цепочка Input.
Теперь перейдём к правилам цепочки Forward для трафика, проходящего через маршрутизатор. Разрешаем ipsec и запускаем fasttrack — режим, позволяющий маршрутизатору работать немного быстрее за счёт отключения некоторых функций, ненужных для большинства домашних пользователей. Тем не менее, когда требуется увеличить функциональность, следует отключить это правило и немного пожертвовать скоростью.
Добавим новое правило брандмауэра для разрешения доступа к домашнему маршрутизатору из Интернета, но только для собственного IP-адреса (это будет адрес офиса). Например, необходимо подключиться к домашнему роутеру со своего рабочего компьютера, IP-адрес которого известен. Не рекомендуется открывать полный доступ к интерфейсу управления откуда угодно, если это не собственная домашняя сеть пользователя. Обычно в первую очередь настраивается доступ к VPN (например, IPsec), чтобы сначала подключиться VPN-сервисам, и уже затем разрешается вход с помощью Winbox. Но в этом видео просто разберём, как добавить правило.
Нажимаем кнопку + . Появится новое окно New Firewall Rule. В строке Chain вкладки General нужно выбрать цепочку Input и разрешить определённый порт Winbox — в данном случае, 8291 . Узнать какой порт использует Winbox можно, зайдя на вкладку IP-services. В строке Protocol ставим TCP, а в Dst. Port (порт-адресат) — 8291. На вкладке General существуют и другие настройки. Например, доступно задать применение правила только к входящему трафику (из Интернета), хотя это не имеет значения, так как мы указываем IP-адрес источника. При необходимости вместо одного конкретного IP-адреса возможно написать IP-адрес сети-источника. На вкладке Action ставим accept (принять). Входящий трафик разрешён.
Что будет, если это правило добавлено в конце. Как упоминалось ранее, порядок правил чрезвычайно важен. Здесь видно, что последнее из правил цепочки Input отбрасывает всё, что не поступает из локальной сети. В связи с этим стоит переместить данное правило выше и поставить над строкой drop all not coming from lan. Только сейчас оно будет действительно, потому что все правила проверяются по порядку. Этого правила достаточно, чтобы разрешить доступ к маршрутизатору пользователя из локальной сети.
Бывают случаи, когда необходимо запретить определённому IP-адресу подключаться к маршрутизатору пользователя. Для этого откроем предыдущее правило и в колонке справа нажмём Copy (скопировать). Добавим новое правило. В строке Src. Address вкладки General укажем IP-адрес пользователя в локальной сети, которому запрещено подключаться к маршрутизатору. На вкладке Action выбираем drop.
Прежде чем добавлять какие-либо правила для отбрасывания (или выполнять важные изменения конфигурации на удалённом устройстве), следует включить безопасный режим с помощью кнопки Safe Mode (в верхнем левом углу окна). Этот режим запускает отслеживание действий пользователя на маршрутизаторе. Если он испортил свою конфигурацию и потерял доступ к маршрутизатору, причина, которая вызвала разрыв соединения, будет определена; а последнее действие пользователя отменится. Поэтому старайтесь использовать безопасный режим чаще.
В правой колонке вкладки Action нажимаем ОК и закрываем предыдущее правило.
Нажатие кнопки Copy приводит к тому, что это правило для отбрасывания появится рядом с тем, которое было открыто ранее. Активное соединение означает, что всё сделано верно и можно снова закрыть безопасный режим.
Таким способом вы разрешаете и отбрасываете трафик. Также не забывайте о порядке, о цепочке, используйте VPN и разрешайте только IPsec для вашего устройства. Уже затем подключайте и управляйте им. VPN всегда безопаснее, даже если локальная сеть проверена.
Как заблокировать веб-страницу? Некоторые пользователи применяют протоколы 7-го уровня. Это очень ресурсоёмко, фактически анализируется содержимое пакетов. Поэтому невозможно, если имеем дело с зашифрованным трафиком. Для блокировки веб-страницы на базе протокола HTTPS (его используют все веб-страницы), необходимо смотреть SSL-сертификат данной страницы. Теперь мы выполняем более продвинутую операцию и больше не можем использовать режим Fasttrack. Отключим это правило.
Добавим новое правило в цепочке Forward. Будем блокировать переход на сайт MikroTik. Перезагрузим страницу производителя — проверим, что она работает. Возвращаемся в Winbox.
В строке In. Interface List вкладки General (окно New Firewall Rule) выбираем LAN. В строке TLS Host вкладки Advanced вводим часть доменного имени сайта, который хотим блокировать. В нашем случае набираем *mikrotik* для поиска любых доменных имён со словом mikrotik. Далее проверяем SSL-сертификаты веб-страниц. Они выданы для этих доменных имён (DNS names). Возвращаемся к своему правилу брандмауэра. В строке Action вкладки Action ставим drop и нажимаем ОК. Новое правило брандмауэра добавлено. Поднимаем его вверх и ставим перед drop all rules. Проверяем — страница не загружается.
Вернёмся к окну Firewall. На вкладке Filter Rules видно увеличение числа пакетов (Packets). Это означает, что правило брандмауэра блокирует доступ к указанной веб-странице. Правило можно отключить. Для этого выделим строку правила и нажмём на красный крестик. Сайт MikroTik снова будет загружаться.
Обзор основных параметров вкладки Filter Rules завершён.
Главные моменты, о которых следует помнить:
- правила обрабатываются по порядку, поэтому всегда сортируйте окно Filter Rules по номеру правила (для запуска режима сортировки нажмите кнопку # , расположена слева над списком правил);
- о цепочках Input (для входящего трафика) и Forward (для потока данных, проходящих через маршрутизатор).
Придерживаясь этих основ, вы быстро создадите свой брандмауэр.
- Фильтрация пакетов и настройка брандмауэра
- Защита домашнего роутера
- Построение первого брандмауэра
- Расширенные настройки брандмауэра
Хороший брандмауэр является одним из наиболее важных аспектов для всех устройств, подключённых к Интернету, включая маршрутизаторы MikroTik.
Полное видео ниже.Источник: www.wmd.ru