Создание домашней сети на базе устройств MikroTik: Часть 6 — Firewall защита доступа

В прошлых частях мы с Вами настроили единую локальную сеть через EoIP туннель построенном поверх OpenVPN.

К каким результатам мы пришли:
У нас встает вопрос безопасности нашей локальной сети, ведь китайские боты не спят и постоянно сканируют доступное сетевое пространство на наличие дыр и уязвимостей.
Имея статический IP мы подвержены риску быть взломанными. Т.к. наш статический IP доступен в интернете, он может подвергаться различного рода «атакам из вне».
Поэтому нам нужно сделать так, чтобы только мы могли подключаться к нашим роутерам и другим сервисам в локальной сети.
В принципе жесткую защиту мы делать не будем. У нас ведь не корпоративная сеть, а домашняя. Данной статьей мы попробуем закрыть самые распространенные пробелы в защите нашего роутера и локальной сети в общем. Не будем допускать банальных ошибок.

Организацию удаленного подключения мы рассмотрим в Седьмой статье т.к. эта статья получилась достаточно большой по наполнению.
Ну что, поехали…

За все операции обработки трафика в сетевых устройствах отвечает так называемый “Межсетевой экран” (Eng – Firewall)
Именно он определяет куда отправлять тот или иной пакет, как обрабатывать соединения и многое, многое другое…
Чтобы охватить весь спектр работы Firewall-а не хватит не только одной статьи, но и 10 или 20 статей точно. Настолько велики его возможности и вариации применения.
Кстати это касается не только MikroTik RouterOS, а принципа фильтрации трафика в общем в операционных системах (даже на Windows)!

Официальные данные на MikroTik Wiki: IP/Firewall/Filter [ENG]

Давайте взглянем, где находится этот самый Межсетевой экран в наших устройствах(ведь RouterOS одинакова на всем оборудовании MikroTik):
Он находится по пути IP -> Firewall

Путь до межсетевого экрана

Окно для ввода правил фильтрации

Кратко пробежимся по основным вкладкам Firewall:
1 – Filter Rules – тут основные разрешающие и блокирующие правила.
2 – NAT – тут формируются перенаправления трафика.
3 – Mangle – тут происходит маркировка соединений и пакетов, отлов определенного вида трафика для дальнейшей его обработки.
Остальные вкладки пока рассматривать не будем, они нам не пригодятся.
4 – Raw – тут можно правилами отловить паразитный трафик и тем самым снизить нагрузку на CPU. Полезно для смягчения DOS атак.
5 – Service Ports – Для некоторых сетевых протоколов требуется прямое двустороннее соединение между конечными точками. Это не всегда возможно, поскольку трансляция сетевых адресов широко используется для подключения клиентов к сети. Это подменю позволяет настроить «помощники отслеживания соединений» для вышеупомянутых протоколов. Эти «помощники» используются для обеспечения правильного обхода NAT.
6 – Connections – тут отображаются все текущие соединения проходящие через маршрутизатор.
7 – Address List – тут списки адресов брандмауэра позволяют пользователю создавать списки IP-адресов, сгруппированных под общим именем. Затем фильтры брандмауэра, Mangle и NAT могут использовать эти списки адресов для сопоставления пакетов с ними.
8 – Layer7 Protocols – тут можно создавать шаблоны для поиска в потоках ICMP / TCP / UDP. L7 собирает первые 10 пакетов соединения или первые 2KB соединения и ищет шаблон в собранных данных.

Часть терминов может показаться непонятной, но в этом нет ничего страшного, мы будем работать только с первым пунктом Filter Rules. Хотя в нем тоже, очень много вариантов создания правил.
Сразу нужно оговориться, что полной безопасности Вам никто не обеспечит и это важно понимать! Но боятся не стоит, мы ведь не популярная корпорация за которой ведется промышленный шпионаж, нам достаточно превентивных мер ))))

Конфигурация по умолчанию:

На MikroTik Wiki представлена базовая конфигурация в таком виде: Basic universal firewall script [ENG]

  1. Перейдем к созданию правил в Firewall Filter Rules

Отступление: А ты засейвился? (Кнопка Safe Mode)

Все правила добавленные в таблицу применяются последовательно, сверху вниз. Будьте осторожны не добавляйте сразу правило, блокирующее все что только можно. Вы можете потерять доступ к роутеру и тогда придется его сбрасывать и перенастраивать заново.
Я рекомендую использовать магическую кнопку Safe Mode для таких целей. Если эта кнопка нажата и Вас отключит от роутера, настройки вернутся к моменту нажатия на эту кнопку. Очень полезная вещь, особенно если Вы работаете удаленно.

Magic button

Правила добавляются по уже знакомой нам кнопке «плюс»

Добавление правил

1.1 Перво наперво нам нужно разрешить уже установленные (Established) и связанные (Related) соединения и сбросить некорректные (Invalid) соединения для проходящих (маршрутизируемых) пакетов в цепочке Forward и предназначенных локальной системе в цепочке Input.
Так мы снизим нагрузку на маршрутизатор, обработав эти данные сразу.
Зачем повторно обрабатывать эти соединения, если они уже и так установлены или неизвестны. Экономим ресурсы процессора. Т.е. эти правила будут в самом начале нашей таблицы.

Добавление правил 1.1. через WinBox (Изображения)

Правило 0

Правило 0

Правило 1

Правило 1

Правило 2

Правило 2

Правило 3

Правило 3

Консольно:

/ip firewall filter

add action=accept chain=forward comment=»1.1. Forward and Input Established and Related connections» connection-state=established,related

add action=drop chain=forward connection-state=invalid

add action=accept chain=input connection-state=established,related

add action=drop chain=input connection-state=invalid

Дополнительно: Защита локальной сети от атак из публичного интернета

Дополнительно: Защита локальной сети от атак из публичного интернета
Очень часто люди используют настройки по умолчанию на своих маршрутизаторах. Это также означает, что можно угадать, какой локальный адрес используется за маршрутизатором. Обычно это 192.168.88.0/24 для устройств, работающих на RouterOS. Это означает, что в общедоступной сети злоумышленник может создать простой маршрут, который говорит, что 192.168.88.0/24 находится за вашим общедоступным IP-адресом.
Таким образом злоумышленник может атаковать ваши локальные сетевые устройства.
Чтобы защитить вашу локальную подсеть от этих атак, можно использовать очень простое правило фильтра брандмауэра. Это правило отбрасывает все пакеты, которые предназначены для локальной сети, но не являются NAT

/ip firewall filter

add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=Internet

1.2 Далее необходимо обеспечить защиту. Продолжим мы с Лимита входящих соединений. это даст нам некоторую защиту от DDoS атак.

Далее, большинство правил будут включать в себя параметр Списков интерфейсов In Interface List. Это замена для параметра In Interface.
Позволяет группировать интерфейсы и применять правила Firewall обращаясь сразу к нескольким интерфейсам.

Чтобы дальнейшие правила отработали корректно Вы должны внести WAN интерфейс в список Internet, а все локальные интерфейсы в список Local.
Сами списки также нужно создать. Имена списков Вы можете задавать свои не обязательно, как у меня.

Добавление правил 1.2. через WinBox (Изображения)

Правило 4

Правило 4

Правило 4

Правило 5

Правило 5

Правило 5

Правило 5

Консольно:

/ip firewall filter

add action=add-src-to-address-list adress-list=ddos-blacklist address-list-timeout=1d chain=input comment=»1.2. DDoS Protect — Connection Limit»

Connection-limit=100, 32 in-interface-list=Internet protocol=tcp

add action=tarpit chain=input connection-limit=3, 32 protocol=tcp src-address-list=ddos-blacklist

1.3. Следом идет защита от SYN флуда.
Что это такое можно почитать тут: https://ru.wikipedia.org/wiki/SYN-флуд или в более профильных изданиях.
Защищать мы будем, как проходящий трафик, так и входящий трафик. Путем создания отдельной цепочки SYN-Protect

Добавление правил 1.3. через WinBox (Изображения)

Правило 6

Правило 6

Правило 6

Правило 7

Правило 7

Правило 7

Правило 8

Правило 8

Правило 8

Правило 8

Правило 9

Правило 9

Правило 9

Консольно:

/ip firewall filter

add action=jump chain=forward comment=»1.3. DDoS Protect  — SYN Flood»

connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn

add action=jump chain=input connection-state=new in-interface-list=Internet jump-target=SYN-Protect protocol=tcp tcp-flags=syn

add action=return chain=SYN-Protect connection-state=new limit=200, 5:packet protocol=tcp tcp-flags=syn

add action=drop chain=SYN-Protect connection-state=new protocol=tcp tcp-flags=syn

1.4. Защита от сканеров портов (PSD – Port Scan Detection).
На счет данного правила есть разные мнения, кто-то считает, что оно не нужно, кто-то, что нужно.
Я же предпочитаю немного себя подстраховать. Тем более, что благодаря данному правилу Address Lists заполняется какими-то забугорными IP адресами)

Добавление правил 1.4. через WinBox (Изображения)

Правило 10

Правило 10

Правило 10

Правило 11

Правило 11

Правило 11

Консольно:

/ip firewall filter

add action=frop chain=input comment=»1.4. Protected — Ports Scanners» scr-address-list=»Port Scanners»

add action=add-src-to-address-list address-list=»Port Scanners» address-list-timeout=none-dynamic chain=input in-interface-list=Internet protocol=tcp psd=21, 3s,3 ,1

1.5. Защита WinBox порта от перебора.
Логика обработки тут следующая:
1. Когда мы подключаемся к роутеру на порт 8291, то мы имеет состояние соединения new, правило добавляет наш IP в список уровня 1
2. Если мы не авторизовались и отключились, а после снова пытаемся подключиться, то мы опять будем иметь состояние соединения new. При этом наш IP адрес уже будет в Списке 1
Соответственно наш IP попадет в список уровня 2 и т.д до тех пор пока нас не заблокирует Правило 13, и уже после этого Правило 12 не будет нам давать возможность новых подключений к роутеру по порту 8291.
3. А если мы авторизовались, то наше соединение перейдет из состояния new в состояние established и обработка соединения уже будет вестись самым верхним правилом 2, которое нам все разрешает.
По сути у злоумышленника может быть всего четыре возможности Авторизоваться у нас на роутере через порт WinBox

Добавление правил 1.5. через WinBox (Изображения)

Правило 12

Правило 12

Правило 12

Правило 13

Правило 13

Правило 13

Правило 14

Правило 14

Правило 14

Правило 15

Правило 15

Правило 15

Правило 16

Правило 16

Правило 17

Правило 17

Консольно:

/ip firewall filter
add action=drop chain=input comment=»1.5. Protected — WinBox Access» src-address-list=»Black List Winbox»
add action=add-src-to-address-list address-list=»Black List Winbox» address-list-timeout=none-dynamic chain=input connection-state=new dst-port=8291 in-interface-list=Internet log=yes log-prefix=»BLACK WINBOX» protocol=tcp src-address-list=»Winbox Stage 3″
add action=add-src-to-address-list address-list=»Winbox Stage 3″ address-list-timeout=1m chain=input connection-state=new dst-port=8291 in-interface-list=Internet protocol=tcp src-address-list=»Winbox Stage 2″
add action=add-src-to-address-list address-list=»Winbox Stage 2″ address-list-timeout=1m chain=input connection-state=new dst-port=8291 in-interface-list=Internet protocol=tcp src-address-list=»Winbox Stage 1″
add action=add-src-to-address-list address-list=»Winbox Stage 1″ address-list-timeout=1m chain=input connection-state=new dst-port=8291 in-interface-list=Internet protocol=tcp
add action=accept chain=input dst-port=8291 in-interface-list=Internet protocol=tcp

1.6. Защита OpenVPN порта от перебора.
Данная защита делается абсолютно аналогично пункту 1.5.
Единственным отличием будут названия OpenVPN вместо WinBox и входящий TCP порт 1194
Поэтому просто повторяем действия.

Консольно:

/ip firewall filter
add action=drop chain=input comment=»1.6. Protected — OpenVPN Connections» src-address-list=»Black List OpenVPN»
add action=add-src-to-address-list address-list=»Black List OpenVPN» address-list-timeout=none-dynamic chain=input connection-state=new dst-port=1194 in-interface-list=Internet log=yes log-prefix=»BLACK OVPN» protocol=tcp src-address-list=»OpenVPN Stage 3″
add action=add-src-to-address-list address-list=»OpenVPN Stage 3″ address-list-timeout=1m chain=input connection-state=new dst-port=1194 in-interface-list=Internet protocol=tcp src-address-list=»OpenVPN Stage 2″
add action=add-src-to-address-list address-list=»OpenVPN Stage 2″ address-list-timeout=1m chain=input connection-state=new dst-port=1194 in-interface-list=Internet protocol=tcp src-address-list=»OpenVPN Stage 1″
add action=add-src-to-address-list address-list=»OpenVPN Stage 1″ address-list-timeout=1m chain=input connection-state=new dst-port=1194 in-interface-list=Internet protocol=tcp
add action=accept chain=input dst-port=1194 in-interface-list=Internet protocol=tcp

1.7. Разрешающее правило для прохождения любого трафика по VPN туннелям.

Добавление правил 1.7. через WinBox (Изображения)

Правило 24

Правило 24

Консольно:

/ip firewall filter

add action=accept chain=input comment=»1.7. Access OpenVPN Tunnel Data» in-interface-list=VPN

1.8. Разрешающее правило для прохождения только нормальных PING запросов.

Добавление правил 1.8. через WinBox (Изображения)

Правило 25

Правило 25

Правило 26

Правило 26

/ip firewall filter

add action=drop chain=input comment=»1.9. Drop All Other» in-interface-list=Internet

  1. Для ленивых
    Если Вы дочитали до конца, значит у Вас пытливый ум и Вы хорошо представляете с чем столкнулись. Вы молодец.
    Еще раз хотелось бы обозначить, что данная конфигурация не является идеальной. Я просто старался показать некоторые способы фильтрации трафика. Вам решать, использовать это у себя простым копипастом или подумать и сделать лучше! Но я уверен, что моё решение тоже не плохое =)

Все вышеизложенное в едином виде:

Консольно:

 

/ip firewall filter
add action=accept chain=forward comment=»1.1. Forward and Input Established and Related connections» connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=Internet
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=add-src-to-address-list address-list=ddos-blacklist address-list-timeout=1d chain=input comment=»1.2. DDoS Protect — Connection Limit» connection-limit=100,32 in-interface-list=Internet protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp src-address-list=ddos-blacklist
add action=jump chain=forward comment=»1.3. DDoS Protect — SYN Flood» connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=Internet jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp tcp-flags=syn
add action=drop chain=input comment=»1.4. Protected — Ports Scanners» src-address-list=»Port Scanners»
add action=add-src-to-address-list address-list=»Port Scanners» address-list-timeout=none-dynamic chain=input in-interface-list=Internet protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment=»1.5. Protected — WinBox Access» src-address-list=»Black List Winbox»
add action=add-src-to-address-list address-list=»Black List Winbox» address-list-timeout=none-dynamic chain=input connection-state=new dst-port=8291 in-interface-list=Internet log=yes log-prefix=»BLACK WINBOX» protocol=tcp src-address-list=»Winbox Stage 3″
add action=add-src-to-address-list address-list=»Winbox Stage 3″ address-list-timeout=1m chain=input connection-state=new dst-port=8291 in-interface-list=Internet protocol=tcp src-address-list=»Winbox Stage 2″
add action=add-src-to-address-list address-list=»Winbox Stage 2″ address-list-timeout=1m chain=input connection-state=new dst-port=8291 in-interface-list=Internet protocol=tcp src-address-list=»Winbox Stage 1″
add action=add-src-to-address-list address-list=»Winbox Stage 1″ address-list-timeout=1m chain=input connection-state=new dst-port=8291 in-interface-list=Internet protocol=tcp
add action=accept chain=input dst-port=8291 in-interface-list=Internet protocol=tcp
add action=drop chain=input comment=»1.6. Protected — OpenVPN Connections» src-address-list=»Black List OpenVPN»
add action=add-src-to-address-list address-list=»Black List OpenVPN» address-list-timeout=none-dynamic chain=input connection-state=new dst-port=1194 in-interface-list=Internet log=yes log-prefix=»BLACK OVPN» protocol=tcp src-address-list=»OpenVPN Stage 3″
add action=add-src-to-address-list address-list=»OpenVPN Stage 3″ address-list-timeout=1m chain=input connection-state=new dst-port=1194 in-interface-list=Internet protocol=tcp src-address-list=»OpenVPN Stage 2″
add action=add-src-to-address-list address-list=»OpenVPN Stage 2″ address-list-timeout=1m chain=input connection-state=new dst-port=1194 in-interface-list=Internet protocol=tcp src-address-list=»OpenVPN Stage 1″
add action=add-src-to-address-list address-list=»OpenVPN Stage 1″ address-list-timeout=1m chain=input connection-state=new dst-port=1194 in-interface-list=Internet protocol=tcp
add action=accept chain=input dst-port=1194 in-interface-list=Internet protocol=tcp
add action=accept chain=input comment=»1.7. Access OpenVPN Tunnel Data» in-interface-list=VPN
add action=accept chain=input comment=»1.8. Access Normal Ping» in-interface-list=Internet limit=50/5s,2:packet protocol=icmp
add action=drop chain=input comment=»1.9. Drop All Other» in-interface-list=Internet

Бонус:
Работая с Firewall на родительском hEx роутере, обнаружил большой объем заблокированного трафика.
Решил посмотреть, в чем дело, включил логирование в правилах и обнаружил интересную ситуацию.
Оказалось, что местный провайдер не закрыл широковещательный трафик службы имен NetBIOS Name Service – UDP порт 137 (Остальные порты и информация: https://ru.wikipedia.org/wiki/NetBIOS)
И какой-то “Сосед” воткнул интернет кабель в простой ПК с Windows, тем самым создав тот самый паразитный трафик. Такие запросы с одного ПК могут занимать около 30 кбит/сек на вашем WAN порту.
Думаю можно себе представить если таких ПК в сети будет 100-150. Написали провайдеру, а пока он латает свои дыры, добавил правило блокировки. Только не в Firewall Filter, а в Firewall Raw.
Данная таблица полезна для уменьшения нагрузки на CPU и позволяет блокировать трафик на этапе Prerouting-а
Вот это правило:
/ip firewall raw

add action=drop chain=prerouting dst-port=137, 138, 139 in-interface-list=Internet protocol=udp

 

Источник оригинальной статьи: https://gregory-gost.ru/