Mikrotik запретить IP доступ в локальную сеть. Настройка безопасности MikroTik…

Создание домашней сети на базе устройств MikroTik: Часть 6 — Firewall защита доступа

В прошедших частях мы с Вами настроили единую локальную сеть через EoIP туннель построенном поверх OpenVPN.

К каким результатам мы пришли: У нас встает вопрос безопасности нашей локальной сети, ведь китайские боты не дремлют и повсевременно сканируют доступное сетевое место на наличие дыр и уязвимостей. Имея статический IP мы находятся под риском быть взломанными (китайские боты не спят!). Т.к. наш статический IP доступен в вебе он может подвергаться различного рода «атакам». Потому нам необходимо сделать так, чтоб только мы могли подключаться к нашим роутерам и другим сервисам в локальной сети. В принципе жесткую защиту мы делать не будем. У нас ведь не корпоративная сеть, а домашняя. Данной статьей мы попробуем закрыть самые всераспространенные пробелы в защите нашего роутера и локальной сети в общем. Компанию удаленного подключения мы разглядим в Седьмой статье т.к. эта статья вышла довольно большой по заполнению. Приступим…

За все операции обработки трафика в сетевых устройствах отвечает так именуемый «Межсетевой экран» (Eng — Firewall) Конкретно он определяет куда отправлять тот либо другой пакет, как обрабатывать соединения и почти все, почти все другое… Чтоб окутать весь диапазон работы Firewall-а не хватит не только лишь одной статьи, да и 10 либо 20 статей точно. Так значительны его способности и варианты внедрения. Кстати это касается не только лишь MikroTik RouterOS, а принципа фильтрации трафика в общем (даже на Windows)!

Давайте взглянем, где находится этот самый Межсетевой экран: Он находится по пути IP. Firewall

Коротко пробежимся по главным вкладкам окна: 1 — Filter Rules — здесь главные разрешающие и блокирующие правила. 2 — NAT — здесь формируются перенаправления трафика. 3 — Mangle — здесь происходит маркировка соединений и пакетов, отлов определенного вида трафика для предстоящей его обработки. Другие вкладки пока рассматривать не будем, они нам не понадобятся. 4 — Raw — здесь можно правилами отловить паразитный трафик и тем понизить нагрузку на CPU. Полезно для смягчения DOS атак. 5 — Service Ports — Для неких сетевых протоколов требуется прямое двухстороннее соединение меж конечными точками. Это не всегда может быть, так как трансляция сетевых адресов обширно употребляется для подключения клиентов к сети. Это подменю позволяет настроить «помощники отслеживания соединений» для вышеупомянутых протоколов. Эти «помощники» употребляются для обеспечения правильного обхода NAT. 6 — Connections — здесь показываются все текущие соединения проходящие через маршрутизатор. 7 — Address List — здесь списки адресов брандмауэра позволяют юзеру создавать списки Айпишников, сгруппированных под общим именованием. Потом фильтры брандмауэра, Mangle и NAT могут использовать эти списки адресов для сравнения пакетов с ними. 8 — Layer7 Protocols — здесь можно создавать шаблоны для поиска в потоках ICMP / TCP / UDP. L7 собирает 1-ые 10 пакетов соединения либо 1-ые 2KB соединения и отыскивает шаблон в собранных данных.

Часть определений может показаться непонятной, но в этом нет ничего ужасного, мы будем работать только с первым пт Filter Rules. Хотя в нем тоже, сильно много вариантов сотворения правил. Сходу необходимо обмолвиться, что полной безопасности Для вас никто не обеспечит и это принципиально осознавать! Но страшатся не стоит, мы ведь не пользующаяся популярностью компания за которой ведется промышленный шпионаж, нам довольно превентивных мер ))))

Конфигурация по дефлоту: Здесь я желаю поделиться с Вами конфигурацией, которой хватит для обычного домашнего использования.

/ip firewall filter add chain=input comment=INPUT connection-state=established,related add chain=input protocol=icmp add action=drop chain=input in-interface=WAN add action=drop chain=forward comment=FORWARD connection-state=invalid add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=WAN

Но я делаю несколько по собственному, может быть что-то здесь не совершенно, но это мои тараканы )) 1. Перейдем к созданию правил в Filter Rules. Отступление: Все правила добавленные в таблицу используются поочередно, сверху вниз. Будьте аккуратны не добавляйте сходу правило, блокирующее все что только можно. Вы сможете утратить доступ к роутеру тогда и придется его сбрасывать и перенастраивать поновой. Я рекомендую использовать волшебную кнопку Safe Mode для таких целей. Если эта кнопка нажата и Вас отключит от роутера, опции возвратятся к моменту нажатия на эту кнопку. Очень нужная вещь, в особенности если Вы работаете удаленно.

Правила добавляются по уже знакомой нам кнопке плюс…

1.1. Перво наперво нам необходимо разрешить уже установленные(Established) и связанные(Related) соединения и скинуть неправильные(Invalid) соединения на входе в роутер(цепочка Input). Так мы снизим нагрузку на маршрутизатор. Для чего повторно обрабатывать эти соединения если они уже и так установлены либо неопознаны. Экономим ресурсы микропроцессора. А вот новые соединения этими правилами обрабатываться не будут, пусть даже они находятся выше в таблице.

Создаем профиль безопасности для Wi-Fi

Заходим в раздел Wireless (беспроводная сеть), переходим к вкладке Security Profiles и создаем новый профиль безопасности для беспроводного соединения, в нашем случае это будет «free-Wi-Fi» (WPA2 PSK AES). Можно также выбрать «Mode: none», в этом случае для доступа к сети вводить пароль не требуется (открытая сеть).

Создаем новый беспроводной интеейс

Возвращаемся на вкладку Interfaces (интеейсы), в левой части нажимаем синий плюс, затем в выпадающем меню выбираем «Virtual AP» для создания виртуальной точки доступа. Указываем желаемое имя сети (SSID), в качестве мастер-интеейса будет выступать wlan1. В поле Security Profile не забудьте выбрать созданный профиль безопасности.

После этих действий, под wlan1 добавится виртуальный интеейс.

MikroTik настройка firewall. Connection Tracker

Connection Tracker выполняет следующие функции:

• Содержит информацию обо всех активных соединениях;
• Отвечает за управление соединениями;
• Отвечает за дефрагментацию пакетов;
• Влияет на загрузку процессора.

Место Connection Tracker на схеме Traffic Flow:

По умолчанию Connection Tracker работает в режиме auto. Это значит, что он будет работать тогда, когда для firewall будет создано хотя бы одно правило. Помимо этого, могут быть установлены следующие режимы:

• Yes – всегда работает.
• No – отключен. При этом не будут отслеживаться состояния подключений, NAT и большая часть функционала брандмауэра (не будет работать маркировка соединений, протокол L7 и многое другое).

Connection State. Состояние соединений

С помощью правил мы можем обрабатывать пакеты на основании их состояния. Любое соединение будет находиться в одном из следующих состояний:

• New – это новое соединение. Например, кто-то обращается к нашему маршрутизатору запросом ping и первый пакет что приходит, получит данное состояние;
• Established – после того как запрос идет дальше, он переходит в состояние установленное;
• Related – связанное. Такое состояние появляется, например, когда клиент посылает запрос серверу, который недоступен и клиент получает ответ от роутера.
• Invalid – не идентифицированное. Подключение, которое маршрутизатор не может опознать.
• Notrack – создается для Raw Filter, минуя Connection Tracker. Поэтому пакеты не фрагментируются.

Connection State не совпадает с TCP State.

Connection List

На вкладке “Connections”, можно увидеть информацию о всех подключениях. Выглядит это следующим образом:

Давайте посмотрим какие данные мы можем получить:

• Src. Address Port – исходящий IP-адрес и порт;
• Dst. Address Port – IP-адрес и порт назначения;
• Protocol – протокол;
• Connection Mark – маркировку подключения;
• Timeout – время жизни соединения;
• TCP State – состояние TCP соединения (established, close, time-wait, syn-sent, syn-received).

Все свойства, указанные во вкладке Connection List, предназначены только для чтения.

MikroTik firewall. Общее описание

Основное назначение брандмауэра является то, что на основании правил разрешать или запрещать передачу данных из одной сети в другую.

Настройка безопасности маршрутизатора MikroTik может быть реализована двумя способами:

• Нормально открытый. Данный способ организации защиты предполагает, что все будет разрешено, что не запрещено;
• Нормально закрытый. При этом виде настройки firewall все запрещено, что не разрешено.

Для данной статьи мы рассмотрим пример нормально закрытого брандмауэра. Так как, на мой взгляд, нормально открытый имеет ряд недостатков:

Важно! Рекомендуем выполнять настройку firewall при удаленном подключении к MikroTik используя режим Safe Mode.

В случае неправильной настройки бранмауэра и потери доступа к устройству, данная функция поможет восстановить подключение, отменив внесенные изменения. Подробнее узнать о безопасном режиме можно в материале: MikroTik Safe Mode.

Firewall на MikroTik. Порядок расположения правил

Работу брандмауэра MikroTik условно можно разделить на две части: условие (если…) и действие (то…). Могут содержать несколько условий, при этом, чтобы правило сработало должны быть выполнены все условия.

Правила должны состоять в цепочке (chain):

А также подразделяются на терминирующие и нетерминирующие:

• терминирующие: accept, drop, fasttrack, reject, tarpit;
• нетерминирующие: add dst to address list, add source to address list, jump, log, return, passthrough.

Терминирующие правила содержат окончательное действие – принять, отклонить.

Нетерминирующие – просто производят какой-то процесс – занести в лог, добавить в address list.

При настройке firewall MikroTik важно соблюдать последовательность правил, так как обрабатываются они по порядку и сразу с нужной цепочки.

Обработка заканчивается после первого совпадения с терминирующим правилом. Если совпадения нет, то пакет отправляется на следующий этап обработки по схеме прохождения трафика.

Базовая настройка MikroTik с нуля при помощи Winbox

Как говорилось ранее, базовая настройка MikroTik с нуля будет выполняться с помощью фирменной утилиты Winbox. Запустим Winbox и подключимся к маршрутизатору по MAC адресу:

Установка пароля

Так как на MikroTik пароль по умолчанию отсутствует, то его следует обязательно назначить сразу же после подключения.

MikroTik настройка WAN

Если объяснять своими словами, WAN — это интернет. Если говорим о роутере, то подразумевается разъем, куда подключается кабель интернет-провайдера. В Mikrotik для WAN может быть назначен любой порт, но мы настроим соединение с провайдером на первом порту(Ether1).

В MikroTik настройка интернета начинается с того, что нам нужно определить тип соединения, предоставляемый провайдером. Такая информация прописывается в договоре.

PPPoE

Это протокол для передачи данных. Сегодня редко используется провайдерами для предоставления своих услуг, уступая место более надежным и современным видам подключений.

Выполним настройку PPPoE-клиента для подключения к провайдеру:

На вкладке Dial Out сконфигурируем подключение, указав свои данные:

• Логин и пароль подключения (эти данные можно взять из договора с интернет-провайдером).

• Use Peer DNS – если мы хотим указать свои DNS сервера, то нужно снять галочку с этого пункта. В нашем примере мы будем использовать DNS провайдера, поэтому оставим это поле без изменений;
• Add Default Route – маршрут по умолчанию будет прописываться автоматически;
• OK.

Настройка WAN: Динамический IP

Данный вид настройки подключения MikroTik для доступа в интернет считается самым простым, так как все нужные сетевые значения, присваиваются автоматически. Нам только нужно создать DHCP-клиент и указать ему интеейс. Делается это следующим образом:

В данной настройке WAN подключения интеейс Ether1 получит сетевые настройки автоматически от провайдера. Если мы хотим указать свои DNS сервера, то необходимо снять галочку с пункта «Use Peer DNS».

Если мы все сделали правильно, то в поле IP Address отобразится наш IP и статус подключения (Status) изменится на значение bound (связанный). Соединение с интернетом установлено.

Не забывайте, что если у провайдера есть привязка к MAC-адресу оборудования, то даже правильное выполнение всех перечисленных действий не даст результата. После окончания настройки необходимо позвонить провайдеру и “привязать” маршрутизатор.

Настройка WAN: статический IP

MikroTik настройка интернета со статическим адресом. При таком типе подключения мы получаем основные сетевые настройки от провайдера и настраиваем WAN подключение вручную. Для наглядности представим, что получили от интернет-провайдера следующие параметры подключения:

Обратите внимание, что маску подсети можно указать полным форматом, как показано на рисунке выше. Так и сокращенным: 172.16.13.25/24.

Следующим этапом настройки добавим шлюз (Gateway), еще его называют «маршрут по умолчанию». Для этого откроем:

Укажем ДНС сервера провайдера или известные публичные ДНС (например, Google: 8.8.8.8, 8.8.4.4), с помощью которых будет выполняться преобразование IP-адресов в доменные имена. Откроем:

Добавим WAN в Interface List

Чтобы дальнейшая настройка Микротик была универсальна независимо от того, какой тип WAN подключения вы используете, добавим WAN-интеейс в новый Interface List.

Создадим новый интеейс лист с именем «ISP»:

Если тип подключение PPPoE, то добавлять надо именно это соединение (pppoe-out1).

На данном этапе настройки роутера MikroTik должен появиться доступ в интернет на самом устройстве. Проверить это можно, запустив терминал (New Terminal), и опросить какой-нибудь узел глобальной сети, например ya.ru:

Мы видим время ответа узла, значит, настройка WAN выполнена правильно и MikroTik выходит в глобальную сеть.

MikroTik настройки LAN

В следующем шаге базовой настройки MikroTik мы объединим порты и беспроводные адаптеры в одну локальную сеть, настроим автоматическое получение основных сетевых настроек и разрешим хостам этой сети доступ в интернет.

Интеейс Bridge

Чтобы объединить порты и Wi-Fi адаптеры в локальную сеть, необходимо создать интеейс Bridge. Давайте посмотрим, как это сделать:

Добавим все порты (кроме WAN) и беспроводные адаптеры в интеейс Bridge1, как показано на рисунке выше. По окончании настройки у нас должно получиться следующее:

Настройка IP внутренней сети (LAN):

Назначим для внутренней подсети 12 сегмент и внутренний адрес маршрутизатора Mikrotik 192.168.12.254:

Создание и настройка DHCP-сервера

DHCP Server (Dynamic Host Configuration Protocol) – это сетевой протокол, который динамически назначает необходимые для работы в сети значения: IP адрес, маску подсети, шлюз и др.

Укажем интеейс, на котором будет работать DHCP-сервер (Bridge1). Назначим адресное пространство локальной сети.

Что нужно сделать после настройки MikroTik

Базовая настройка MikroTik для подступа в интернет закончена. Мы настроили WAN подключение до провайдера, сконфигурировали локальную и беспроводную сеть, выполнили настройку firewall и NAT.

Хочется дать несколько рекомендаций, которые повысят безопасность и надежность работы маршрутизатора MikroTik.

Создать нового пользователя

Создание нового пользователя с уникальным именем и сложным паролем будет дополнительной защитой от брутфорс атак.

После чего отключим системную учетную запись.

Отключить неиспользуемые сервисы

Если вы не собираетесь настраивать MikroTik через веб-интеейс, telnet и тому подобное, то есть смысл отключить данные сервисы, так как они могут нести потенциальную опасность.

Таким образом, мы оставили возможность подключения по ssh и Winbox.

Настроить правильное время

Настроить правильное время важно по нескольким причинам:

Для синхронизации времени на MikroTik есть встроенный SNTP-клиент.

Отключить службу MAC-Telnet и протокол MNDP

MNDP – это служба обнаружения маршрутизаторов в сети. С ее помощью MikroTik получают информацию друг о друге. Протокол передает данные о версии ОП и некоторых функциях, которые включены в роутере.

Однако если в сети несколько роутеров Микротик или Cisco, то эта функция будет полезна. Настроим ее следующим образом:

Назначим ему интеейс локальной сети(LAN).

Аналогичным образом сконфигурируем MAC-Telnet.

Экспорт конфигурации

MikroTik сконфигурирован и готов к работе. На этом этапе необходимо сделать полную резервную копию системы в rsc формате.

RSC файл содержит настройки системы записанную командами, его можно открыть в текстовом редакторе, развернуть на другом оборудовании и многое другое.

Экспорт делается командой: export file=full—system

Где full-system – это произвольное имя файла.

Нажимаем на файл левой кнопкой мыши, перетаскиваем его в любое место рабочего стола.

Mikrotik. Разрешаем и запрещаем.

С помощью Mikrotik routerboard мы организовали доступ к сети интернет для нескольких компьютеров, к примеру офис или несколько соседей объединённых локальной сетью. Всё хорошо, все довольны и пользуются интернетом. В офисе вместо работы — «одноклассники» и «в контакте», или онлайн игры. С соседями тоже бывают проблемы: платить не хотят, но интернетом продолжают пользоваться. Нужно решать проблему.

В mikrotik routerboard есть FIREWALL на основе Netfilter и утилиты IPTABLES.

FIREWALL — Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.

Netfilter — межсетевой экран (брандмауэр), встроен в ядро Linux.

IPTABLES — утилита командной строки, является стандартным интеейсом управления работой межсетевого экрана (брандмауэра) netfilter для ядер Linux.

С их помощью можно запретить определённым пользователям доступ в интернет. Переходим непосредственно к настройке Mikrotik routerboard. Выполняем стандартную процедуру подключения к mikrotik routerboard через Winbox.

Запрещаем доступ к Интернет для компьютера с IP адресом 192.168.1.3. Переходим в раздел IP FIREWALL.

Здесь нас интересует первая вкладка Filter Rules (правила фильтра). Создаем запрещающее правило для IP 192.168.1.3.

Нажимаем плюс на вкладке General, выбираем Chain (Цепочка) – forward (проходящий трафик). В Src.Address вводим IP-адрес того компьютера, которому нужно запретить доступ. Переходим на вкладку Action (Действие).

Здесь мы выбираем нужное нам действие, то есть что делать с трафиком соответствующим этому правилу. Выбираем DROP – запрещаем прохождение трафика. Правило создано.

Балансировка через маршруты. Соединения вперемешку будут идти через WAN1 или WAN2

Метод хорошо работает при каналах приблизительно равных по скорости.

Разница по скорости каналов не должна отличаться более чем в 2 раза.

В Мангле – эти правила поднимите наверх.

Можно добавить еще маршрут без маркировки на всякий пожарный:

В IP – DHCP Client – Add Default Route – можно отключить

Важно! При каналах сильно отличающихся по скорости он мало эффективен.

В таком случае советую использовать резервирование каналов по п. 6.10.

Слабый канал погоды все-равно не сделает. А скоростному мешать будет.

.12. Запрет определенных сайтов по имени.

Открываем New Terminal. И вставляем наше правило. Не забудьте поднять его наверх.

Можете также вручную кнопкой [] создать это правило.

Все. сайт mikrotik.org больше не откроется.

Тем самым Вы блокируете только исходящие запросы еще на взлете.

Роутеру уже на нужно фильтровать входящие пакеты от этого сайта,

потому как Входящих пакетов само собой дальше уже не будет.

А исходящий трафик обычно в 10-20 раз меньше входящего.

Да и фильтруются только исходящие TCP запросы.

Кроме того сами исходящие GET-запросы копеечные по трафику – до 200-500 байт. Они помещаются в один пакет.

Т.к. что нагрузка на правило content – мизерная.

Кроме того не будут блокироваться сайты, содержащие строчку Host: mikrotik.org

и будут проходить get-запросы содержащие строчку mikrotik.org.

src-address – ставим IP компьютера-жертвы.

content=”Host: mikrotik.org” – блокируемый сайт

Если нужно блокировать доступ к сайту для всех компов, убираем эту строчку src-address.

Если нужно блокировать только определенным компьютерам – то создайте во вкладке address-list, записи с IP блокируемых компьютеров. И назовите эти записи к примеру block-website.

А вот Этот адрес-лист укажите уже в записи Src.Address List. Src-address – удалите

Вместо заключения

Мы рассмотрели основные команды для выстраивания базовой защиты для устройств на базе RouterBoard, а также облачной версии Mikrotik CHR и взглянули на то, как можно парой команд настроить NAT. Разумеется, для каждого неиспользуемого сервиса можно закрыть доступ извне, исходя из используемых портов, протоколов и типа трафика.

Угроз безопасности с каждым днем становится все больше и каждая из них заслуживает внимания и адекватного ответа.

Firewall Chain

В Mikrotik существуют следующие цепочки

Input – цепочка для обработки пакетов поступающих на маршрутизатор, имеющих в качестве адреса назначение IP самого маршрутизатора.

Forward – в этой цепочки обрабатываются пакеты проходящие через маршрутизатор

Output – цепочка для обработки пакетов созданных маршрутизатором, например когда мы с маршрутизатора пингуем или подключаемся по telnet

Из описания понятно, что для защиты маршрутизатора нужно использовать цепочку input. А для обработки трафика от пользователей и к пользователям использовать chain forward. Использование Output мне не приходилось.

Firewall Action

В цепочках можно осуществлять следующие действия

Пользователь и пароль

Теперь надо заменить пользователя по умолчанию и установить ему пароль.

Создаем нового пользователя с правами администратора.

После чего закрываем программу Winbox, запускаем его заново и заходим под новым пользователем, открываем меню System/Users и отключаем учетную запись администратора.

На этом подготовительные операции можно считать законченными. Переходим к настройке firewall.

Настройка файрвола

То есть, исходя из состояний соединения и цепочек, общие правила защиты маршрутизатора можно сформулировать как:

• Мы работаем только с цепочкой input;
• Мы пропускаем соединения с состоянием established и related, как уже установленные;
• Мы пропускаем протокол ICMP;
• Мы считаем как WAN, так и DMZ недоверенными сетями;
• Мы разрешаем прохождение некоторого трафика на маршрутизатор. Остальной трафик блокируем.

Теперь давайте определим разрешенный трафик с недоверенных интеейсов. Итак, мы разрешаем:

• TCP порт 8291 – winbox, удаленное управление снаружи;
• 65522 ssh на измененном порту;
• Предположим, что у нас в дальнейшем будет настраиваться VPN-сервер по протоколу PPTP и мы разрешим порт 1723 по протоколу TCP.

Также с этого момента мы начинаем работать с командной строкой маршрутизатора. Все команды вставляются в терминал маршрутизатора. Если необходимо – вы можете посмотреть в графическом интеейсе, что конкретно было сделано. Очень скоро вы научитесь читать команды и соотносить их с графическим интеейсом.

Определяем так называемые bogon-сети (сети приватных или не распределенных IP-адресов).

И запрещаем с этих подсетей соединения на WAN-порт маршрутизатора:

Разрешаем все уже установленные подключения (connection state=established):

Разрешаем все зависимые подключения (connection state=related):

Разрешаем новые соединения по портам 65522 и 8291 с любого интеейса:

Разрешаем новые соединения по порту 1723 (PPTP) любого интеейса:

И блокируем все новые соединения со всех интеейсов, кроме LAN:

На этом базовая настройка безопасности маршрутизатора завершена. В следующей части мы рассмотрим защиту локальной сети, демилитаризованной зоны и создание собственных цепочек фильтрации трафика.