Mikro Data Center w 7 krokach – cz. 5 (konfiguracja Mikrotik)

Data center z DMZ – jak zabezpieczyć poszczególne routery?

Tak, dotarliśmy już do ostatniego etapu budowania mini data center – utworzymy reguły firewalla.

Dla porządku przypomnę, jakie były wcześniejsze kroki:

1. Zaplanowanie adresacji
2. Umieszczenie dwóch routerów brzegowych WAN-DMZ
3. Umieszczenie dwóch routerów wewnętrznych DMZ-Internal
4. Spięcie tuneli WireGuard Full Mesh WAN
5. Konfiguracja OSFPa
6. Konfiguracja VRRP

No i dzisiejszy temat, czyli:
7. Konfiguracja reguł firewalla

Instrukcję w formie video zobaczysz tutaj 🙂

Topologia

Na początku przedstawiam topologię mojej sieci – tak, to ta sama, na której pracowałem poprzednio.

Jak widać na powyższym mam tu dwa serwery: Linux-DC i Linux-DC-DMZ. Firewalla będę konfigurował na 4 mikronikach: MT1-DC-DMZ, MT2-DC-DMZ, MT3-DC i MT4-DC.

Założenia konfiguracji

Moje uwagi odnośnie wprowadzanych reguł firewalla to:

1. między DMZ DC a DC – blokada będzie tylko dla sesji wychodzących ze strony DC w kierunku DC DMZ;
2. komputery, które są w Capmpusie 1 i Campusie 2, będą miały dostęp do serwera Linux-DC i Linux-DC-DMZ;
3. ze względu na działający OSPF na wszystkich czterech mikronikach (MT1-DC-DMZ, MT2-DC-DMZ, MT3-DC i MT4-DC), będę musiał uwzględnić odpowiednią konfigurację dla ruchu związanego właśnie z OSPFem;
4. ze względu na zastosowany VRRP należy także zweryfikować, które z par routerów są masterami (MT1-DC-DMZ czy MT2-DC-DMZ oraz MT3-DC czy MT4-DC).

Definiowanie adresów

Tradycyjnie zaczynam od MT1-DC-DMZ, który znajduje się na styku WANu i DC DMZ.
Router ten jest masterem.

Rozpoczynamy od definicji adresów dotyczących poszczególnych sieci. U mnie na początku będą takie, jak na poniższym screenie:

Oczywiście trzeba będzie dodać kolejne, dotyczące na przykład OSPFa.

Definiowanie każdego takiego adresu wymaga podania nazwy, sieci, maski i komentarza.

Warto tutaj skorzystać z zakładki Connections, bo tu mamy widoczny aktualny ruch na danym routerze. Mając taki podgląd, możemy decydować które połączenia i w jaki sposób chcemy separować, które chcemy przepuszczać a których nie chcemy.

Ja na tej podstawie do listy adresowej widzę, że trzeba dodać 224.0.0.5.

Reguły domyślne i połączenia ustanowione

Zacznę teraz od wyfiltrowania dostępu administracyjnego.
Pierwsza reguła ma zezwalać na ruch od sieci menagementowej do routera MT1-DC-DMZ.

Konfigurację firewalla rozpoczynam od ustawienia reguł domyślnych – akceptacja dla wskazanych niżej (1).
Do tego dołączam regułę dla ustanowionych połączeń – wychodzących i przechodzących (2).
Połączenia input będę definiował odrębnie w dalszej części pracy.

Po prawej stronie widzimy ilość pakietów, które „załapują się” na daną regułę.

Finalnie, w grupie reguł domyślnych nie powinno być już żadnych pakietów.

Dalsza konfiguracja – reguły input

Teraz przyszła kolej na zdefiniowanie reguły input. Ustawiam te parametry, które widać na poniższym screenie.

Przechodzę teraz do tworzenia kolejnych reguł. Aby łatwiej było wskazać potrzeby, przeglądam połączenia na tym routerze.

Od razu znajduję kolejną grupę, która wymaga zdefiniowania zasad ruchu.

Następna reguła będzie dotyczyć połączeń tunelowych od strony WANu i eth2 od strony DC DMZ (ether 2).

Oczywiście w razie potrzeb dodaję na bieżąco kolejne definicje adresów.

I oto już stworzone reguły firewalla do tego zakresu.

Na tej zasadzie dokonujemy dalszej analizy naszej sieci oraz połączeń i dodajemy kolejne wymagane reguły.
Jeśli chodzi o input, to przyjrzę się konkretniej jeszcze połączeniom do 10.140.0.112 oraz 10.253.253.112

W efekcie dodaję kolejne reguły:

I powtarzamy weryfikację liczby pakietów…

W miarę dodawania kolejnych reguł warto sprawdzić, czy w tych naszych defaultowych regułach nadal pojawiają nam się nowe pakiety. Aby to zobaczyć, warto co jakiś czas zrestartować licznik.

Tutaj widzimy na przykład, że na „default – input” rośnie liczba pakietów. Tutaj nie widzimy szczegółów, ale możemy je znaleźć.

W tym celu wystarczy kliknąć w tą regułę i zaznaczyć opcję LOG a w Log-Prefix dopisać DC-FW-Input.

Dzięki temu zyskujemy dodatkowo logi odnoszące się do tej reguły.

Po analizie widzę sporo broadcastów dotyczących DHCP (część na interfejs VRRP a część na fizyczny eth2). Nie potrzebuję tych klientów, więc przy okazji usunę ich z mikrotików.

Jak widać, przy okazji tworzenia reguł firewalla i analizy połączeń (i decydowania co chcemy aby przechodziło, a co nie) możemy wychwycić takie właśnie niepotrzebny ruch w sieci.

Jeśli chodzi o OSPFa, to widzę że nie dodałem jeszcze do reguł firewallowych adresów z końcówkami 18, 15 i 21.

Robię to więc w kolejnym kroku – są to te dotyczące MT4-DC-DMZ, MT2-DC-DMZ i MT3-DC-DMZ.

Ponowna weryfikacja

Po dodaniu następnych reguł, zgodnie z podanym wcześniej schematem – restartuję licznik pakietów.

Tutaj ponownie patrzę głównie na stan widniejący przy regule defaultowej input. Jest ich wyraźnie mniej a przypomnę, że dążymy tu do stanu zero.

Tak jak poprzednio, przechodzę do analizy logów, żeby sprawdzić co konkretnie się tu pojawia.

Tu widzę jeszcze w ramach OSPF protokół o IP 89, zatem i jego musimy dodać do naszych reguł.

W logach znajduję jeszcze kilka wpisów broadcastowych. Dotyczą one mechanizmu wykrywania sąsiadów w router OS. Nie potrzebuję tego tutaj, więc wyłączam to przy tej okazji.

Po zresetowaniu liczników widzę, że już żaden nowy pakiet nie pojawia się przy regule input – default.

W związku z tym, nie będą nam już potrzebne logi od tej reguły (Default – input)- możemy odznaczyć Log i wybrać jako akcję drop.

Na tym kończę konfigurację reguł firewalla na MT1-DC-DMZ.

Jak widać proces ustalania reguł firewalla jest dość czasochłonny, jednak warto go inwestować (zajrzeć tu co jakiś czas). W efekcie masz bieżącą informację co dzieje się w sieci – to kwestia bezpieczeństwa.

Jeśli jesteś zainteresowany dokładniejszym prześledzeniem powyższych kroków, zapraszam do obejrzenia filmu na You Tube: 22T49 7 Kroków Utworzenia Mikro Data Center [konfiguracja Mikrotik] cz.5.