fbpx

Firewall Podstawy [konfiguracja Mikrotik Router OS]

W tym artykule pokażę, jak skonfigurować podstawowe reguły na firewall’u MikroTik’a zabezpieczając działanie podstawowych usług.

1. Topologia

Mikrotik Topologia - Podstawowa Konfiguracja Firewall
Mikrotik Topologia – Podstawowa Konfiguracja Firewall

Konfiguracja firewall’a dotyczy Mikrotik’a 1 wskazanego na powyższym obrazku oznaczonego czerwoną ramką. Podstawowa konfiguracja będzie dotyczyła zakresów adresacji przedstawionej na rysunku.

Sieć 10.253.253.0/24 w przedstawionym środowisku pełni rolę sieci WAN, na tej sieci będą uruchomione 2 tunele:
1. Interfejs WG1 – Tunel Wireguard Site-to-Site
2. Interfejs WG2 – Tunel Road Warior (Remote Access) dla zdalnych użytkowników

Uruchomiona jest również maskarada (NAT) na interfejsie eth1 Mikrotika 1.

Poszczególne podsieci będą używane do pisania reguł w przedstawionej topologii połączeń Mikrotika 1.

2. Konfiguracja Firewall’a Mikrotik 1 przez Winbox

Winbox - Mikrotik 1 Firewall
Winbox – Mikrotik 1 Firewall

Zacznijmy od wyłączenia wszystkich nieużywanych usług

2.1 Lista Uruchomionych Usług na Mikrotik 1

Mikrotik Wyłączenie Nieużywanych Usług 1

Otworzysz nowe okno z listą usług:

Mikrotik Wyłączenie Nieużywanych Usług 2

Na zielono Mikrotik oznacza uruchomione usługi, wyłącz wszystkie nieużywane, powinny być oznaczone na szaro. W moim przykładzie wykorzystuję jedynie dostęp po SSH oraz Winbox’a do konfiguracji podstawowych reguł firewalla.

2.2 Wybranie kontekstu konfiguracji

Mikrotik Konfgiuracja Firewall’a w Winbox’e

2.3 Kolejność Przetwarzania Reguł

Zwróć uwagę z jakim numerem reguła jest umieszczona w kontekście konfiguracji firewall’a, zobaczysz to w kolumnie oznaczonej #. Reguły analizowane są w podanej kolejności dla każdego pakietu, jeżeli więc reguła 1 będzie prawidłowa dla danego pakietu, to kolejne reguły nie będą już analizowane dla takiego pakietu.

W związku z powyższym umieszczaj bardziej specyficzne reguły powyżej bardziej ogólnych reguł.

Mikrotik RouterOS Firewall – Koleność Reguł

2.4 Chain – Zestaw reguł dla różnych typów ruchu

Implementacja firewalla na Mikrotik RouterOS oparta jest o 3 rodzaje przetwarzania pakietów zwane „chain”:

  1. Input – Reguła przetwarza pakiety kierowane do IP przypisanego do routera Mikrotik
  2. Forward – Reguła przetwarza pakiety przechodzące przez router Mikrotik, adres IP źródłowy oraz docelowy nie są przypisane do żadnego z interfejsów Mikrotika
  3. Output – Reguła przetwarza pakiety pochodzące z adresu IP przypisanego do interfejsu routera Mikrotik

Zastanów się jaki typ ruchu chcesz przepuszczać i wybierz typ przypisania reguły dla każdego z powyjesz 3 opisanych typów niezależnie.

Mikrotik RouterOS Firewall – Chain

2.5 Akcja Przypisana do Reguły

W tym podstawowym poradniku opiszę jedynie 2 podstawowe najczęściej używane akcje do reguł firewall:

  • Accept – akceptuje pakiet trafajacy w kryteria danej reguły i przekazuje do dalszego przetwarzania prze router Mikrotika, najczęściej przekazuje pakiet zgodnie z tablicą routingu.
  • Drop – odrzuca pakiet bez dodatkowych komunikatów diagnostycznych, najczęściej stosowany tryb odrzucania pakietów.

Dobrą praktyką jest stworzenie wprost reguł odrzucających ruch na końcu naszej listy reguł, dzięki temu możemy sprawdzać ilośc odrzuconych pakietów i mieć informację o odrzucanym ruchu. Dla głębszej analizy dla możemy włączyć logowanie ruchu przy regułach odrzucających.

Mikrotik RouterOS Firewall – Akcja Reguły

2.6 Opisanie funkcji poszczególnych reguł

Dla łatwiejszego zrozumienia koncepcji budowania reguł opiszę każdą z kategorii pokazywanych reguł. Jeżeli tylko możesz dodawaj komentarz do każdej reguły lub grupy reguł dla lepszego zrozumienia schematu polityki w przyszłości.

2.6.1 Nawiązane połączenia

Pierwszymi 2 regułami jest zezwolenie na pakiety powracające w ramach ustanowionych połączeń lub połączeń powiązanych. Jeżeli nawiążesz połączenie FTP, to do przesyłania danych ustanawiane jest osobne połączenie, dzięki takiej regule, automatycznie pakiety z obu sesji będą przepuszczane na routerze Mikrotik, zarówno dla ruchu Input oraz Forward.

Mikrotik RouterOS Firewall – Reguły dla Sesji Nawiązanych

2.6.2 Sieć Zarządzania

Ogranicz dostęp do możliwości zarządzania swoim routerem, najbezpieczniej jest to zrobić organizując wyznaczoną sieć zarządzania i najlepiej dedykowaną stacje przesiadkową. To będzie najbezpieczniejszy sposób, ponieważ taka stacja przesiadkowa nie powinna być używana do innych zadań, a więc i ryzyko zainfekowania jest małe w stosunku do stacji roboczej wykorzystywanej do różnych czynności.

Jeżeli taką stację przesiadkową zainstalujesz w swojej sieci, to możesz ograniczyć dostęp do interfejsów zarządzania swojego routera jedynie do konkretnego interfejsu IP stacji przesiadkowej.

W przedstawionym przykładzie stworzyłem regułę dla klasy adresowej z której wykonuję połączenia do zarządzania routerem Mikrotik, na portach wykorzystywanych przez Winbox’a czyli TCP 8291.

Jak widzisz poniżej stworzyłem 2 reguły dla dwóch kierunków inicjowania ruchu, dla chain input oraz output. Każda z takich reguł będzie następnie poddana testowaniu i sprawdzę czy jest wykorzystywana, jeżeli nie będzie rejestrowała ruchu to ją usunę w przyszłości. Nie mam jeszcze szczegółowej wiedzy jak zachowuje się winbox i jaki typ ruchu będzie inicjowany, więc stworzyłem 2 reguły i będę obserwował ich działanie.

Mikrotik RouterOS Firewall – Zarządzanie

2.6.3 Zezwolenie na ruch między sieciami LAN

W przedstawionym przykładzie mam podłączonych kilka sieci LAN, dla każdego połączenia między tymi sieciami, skonfiguruję poszczególne reguły akceptowania ruchu. Wyszczególniłem następujące relacje:

  • LAN Mikrotik 2 do LAN Mikrotik 1 – połączenia między komputerami sieci LAN
  • LAN Mikrotik 1 do LAN Mikrotik 2 – połączenia między komputerami sieci LAN
  • Wireguard Site-to-Site z Mikrotika 2 – ruch VPN z Mikrotika2
  • Road Warrior – ruch VPN zdalny dostęp
  • LAN to Internet – Wyjście na świat z sieci LAN Mikrotika 2

Jeżeli chcesz szczegółowo prześledzić w poniższych regułach umieszczone adresacje, wróć do pierwszego rysunku przedstawiającego topologię środowiska:
Topologia Środowiska

Mikrotik RouterOS Firewall – Reguły Accept dla Sieci LAN

2.6.4 Kasowanie pakietów

Najlepszą praktyką bezpieczeństwa jest zasada blokowania wszystkiego czego wprost nie zadeklarujemy że akceptujemy. W związku z tym skonfigurowałem 3 końcowe reguły kasowania wszystkich pakietów nie pasujących do reguł ustawionych wcześniej.

Możesz zauważyć ze w mojej tablicy reguł firewall’a Mikrotika zastosowałem osobną każdą z reguł dla poszczególnych chain’ów. To dlatego że każda z tych reguł procesowana jest niezależnie.

Mikrotik RouterOS Firewall – Reguły Drop

2.7 Dodawanie nowej reguły

Dodawanie reguły można zrealizować klikając + w okienku Firewall.

Każda nowa reguła jest dodawana w końcu listy reguł, co przy mojej koncepcji reguł oznacza że nowa reguła realnie nie będzie działać, ponieważ będzie umieszczona za wszystkimi regułami z akcją drop.

Dopiero jak przesunę nową regułę będzie ona realnie działała. Możesz przesunąć kolejność reguł lewym przyciskiem myszki i umieścić ją w dowolnym miejscu listy reguł.

Mikrotik RouterOS Firewall – Tworzenie Nowej Reguły

2.8 Budowanie polityki i testowanie

Tworzenie polityki zawsze wiążę z testowaniem, każdy wpis testuję i sprawdzam czy dany typ ruchu jest akceptowany.

Jeżeli masz sytuację działającej sieci chcesz podwyższyć poziom bezpieczeństwa, to zmień akcje końcowych reguł z akcji drop do akcji allow i dodaj logowanie pakietów trafiających w te reguły.

Mikrotik RouterOS Firewall – Budowanie polityki

Dzięki takiej zmianie będziesz akceptował wszystkie pakiety na routerze, jednocześnie sprawdzając jakie pakiety trafiają w te reguły w oknie logów

Mikrotik RouterOS Firewall – Logowanie

Kolejnym krokiem jaki zrobię to dodawanie nowych reguł powyżej sekcji Drop ALL, tak aby wszystkie pożądane połączenia w naszej topologii były akceptowane i zmienię reguły z sekcji Drop All na akcję drop.

Mikrotik RouterOS Firewall – Dodanie Reguły na postawie Logowania

Podsumowanie

Jak widzisz kluczową informacją do zabezpieczania sieci, jest posiadanie informacji o systemach i połączeniach. Jeżeli takiej wiedzy nie masz, to możesz ją sobie budować logując daną część ruchu i sprawdzić jakie połączenia są rejestrowane.

Niestety bezpieczeństwo idzie w parze z ilością pracy, żeby lepiej zabezpieczyć swoją sieć, trzeba więcej o niej widzieć. Jeżeli popatrzysz na profile ataków to jedną z pierwszych czynności jakie wykonują atakujący to rozpoznanie sieci i inwentaryzacja do czego mają dostęp.

Ograniczając komunikację tylko do niezbędnego minimum znacznie utrudnisz zadanie osobom atakującym Twoją sieć.


Kliknij w obrazek, aby przejść do zapisu na warsztaty

Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.