+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Лучшее значение по умолчанию для фильтра файрвола

Лучшее значение по умолчанию для фильтра файрвола, RouterOS

pe1chl

Guest

08.04.2016 19:53:00

Предлагаю изменить стандартные правила файрвола для таблицы input. Сейчас есть правила: принимать icmp, принимать established/related, блокировать с ether1, а дальше — по умолчанию принимать всё. Это работает нормально, пока ether1 — интерфейс, выходящий в интернет, потому что там уже есть правило для блокировки новых входящих соединений. Однако это рискованная настройка по умолчанию, потому что когда добавляют новый интерфейс, выходящий в интернет, например PPPoE или VPN-туннель к какому-нибудь анонимизирующему VPN-сервису, по умолчанию этот интерфейс принимает входящие соединения. Распространённая проблема — когда DNS-сервис атакуют с интернета, используя его как отражатель для DDoS. Но также возможно атаковать интерфейс настройки роутера, если пароль слабый.

Моё предложение: после правил accept icmp и accept established/related вставить правило, принимающее «new» соединения с интерфейса, обозначенного как внутренний (обычно это «bridge-local», сейчас называется «bridge», а в некоторых роутерах — «ether2-master»), а затем добавить правило drop, которое блокирует всё остальное. Тогда, когда добавляют новый интерфейс, выходящий в интернет, он по умолчанию будет закрыт. Пользователям нужно будет явно добавить правило, разрешающее трафик к роутеру с нового интерфейса, что значительно безопаснее.

pe1chl

Guest

23.04.2016 16:44:00

Лично у меня с этим нет проблем, я просто наблюдаю, как куча наивных пользователей смотрит какое-то видео на YouTube о том, как настроить MikroTik для PPPoE, а потом их роутер превращается в отражатель DNS-атак, и они жалуются здесь, что у них «100% загрузка» и «всё тормозит». Если вы считаете, что нормально, когда люди думают, что роутеры MikroTik ненадёжны и работают плохо — оставляйте всё как есть.

Но вообще я бы рекомендовал заводские настройки, которые по умолчанию пропускают только нормальный трафик, а всё остальное сбрасывают. Это будет лучше для тех, кто толком не понимает, как всё работает, и просто копирует неправильные схемы.

mrz

Guest

25.04.2016 08:32:00

Когда люди думают, что роутеры MikroTik небезопасны, это не так. Роутеры MikroTik сами по себе безопасны. Пользователь меняет настройки и делает роутер уязвимым, а исправить это можно одной единственной настройкой. Поставьте пароль администратора и не давайте таким пользователям трогать роутер. )

BartoszP

Guest

25.04.2016 09:46:00

Для обычного пользователя: уязвимость к DDoS = ненадёжность. Если я заболел, мне всё равно — грипп это или ангина... Я хочу быть здоровым и устойчивым к ним. Мы понимаем, что слово «ненадёжный» имеет разное значение, но пользователям это без разницы. Их соединение перегружено без «ненадёжных изменений» в стандартной настройке. Так сложно ли действительно заблокировать UDP 53 в настройках по умолчанию? Вы добавили неудаляемые правила форвардинга (довольно неприятное решение для некоторых пользователей), так что добавить это правило можете, не так ли?

jarda

Guest

25.04.2016 12:19:00

Разве это не похоже на машины или оружие? Машины и оружие опасны сами по себе? Или опасны люди, которые ими неправильно пользуются? Обычно для вождения машины или ношения оружия нужен лицензия. Ты наверняка знаешь, зачем. С роутерами то же самое. Каждый администратор должен уметь с ними обращаться, понимать риски и знать, как их предотвратить. Ненадежных роутеров не бывает — есть просто необразованные админы…

BartoszP

Guest

25.04.2016 12:51:00

Для кого было это сообщение? Если для меня, то, пожалуйста, ответь на вопрос: для кого рассчитана стандартная конфигурация? Для администраторов или для обычных пользователей? Администраторам это не нужно... но если она уже есть, то почему её нельзя было сразу сделать получше — чтобы не пришлось каждый раз менять её с дефолтной на более... ну, скажем, более надёжную и безопасную конфигурацию для каждого RB? Обычный пользователь может рассчитывать получить уже защищённое устройство, ведь именно такую конфигурацию ему и предлагает стандартная установка. Обычный пользователь может ожидать, что стандартная конфигурация профессионально подготовлена для обычной среды SOHO. Вывод: стандартную конфигурацию стоит дополнить несколькими общими правилами против DDoS-атак.

pe1chl

Guest

25.04.2016 13:03:00

Не думаю, что это правильное решение. По моему мнению, правильный подход — наоборот изменить правила на противоположные. То есть не «разрешать всё, кроме ether1-gateway», а «блокировать всё, кроме LAN (ether2 или bridge1)». Это решит проблему с портом 53 и одновременно закроет роутер от попыток подобрать пароль администратора и так далее.

BartoszP Guest	#8 0 25.04.2016 13:12:00 Да… это даже лучше, и отлично вписывается в стратегию «защищённый SOHO-роутер для неадминов».

jarda

Guest

25.04.2016 13:45:00

Точно. Бросьте всё и разрешите исключения. Так как я не обычный пользователь soho, мне бы очень пригодилась пустая конфигурация. В любом случае я каждый раз при запуске нового устройства удаляю стандартные настройки, и меня огорчает, что остаются какие-то динамические или дефолтные вещи, хоть они и не нужны. Я ни разу не видел случая, когда стандартные настройки подходили под задачи. Понимаю, что кто-то может начать с дефолтов и потом менять что-то, в чём недостаточно разбирается. Но обвинять mikrotik в том, что они сделали роутеры небезопасными, я ни в коем случае не собираюсь. Вовсе нет.

BartoszP Guest	#10 0 25.04.2016 13:56:00 Это не «обвинение»… это просто просьба о лучшей стандартной настройке, если она предлагается пользователю. Это тот же самый процесс, что и просьба о новых функциях и исправлениях ошибок в ROS.

pe1chl

Guest

#11

25.04.2016 13:59:00

Конечно, я тоже внимательно изучаю правила и при необходимости их корректирую. Но, повторюсь, этот запрос сделан не для моей личной выгоды, а ради пользы обычного пользователя и репутации MikroTik. По умолчанию в распространённых настройках есть открытый резолвер, который защищён правилом специфического блокирования. Это работает до тех пор, пока вручную не добавят специальный интерфейс для интернета, например PPPoE, не изменяя при этом настройки файрвола. Поскольку конфигурация файрвола находится в совершенно другом месте, чем добавление интерфейса PPPoE, я понимаю, как здесь может возникнуть путаница. И эту проблему легко решить, используя другой, более рекомендуемый по умолчанию подход — «отклонять всё, кроме того, что известно как локальное (доверенное)», чтобы при добавлении нового интерфейса он не был открыт для всего мира.

mrz

Guest

#12

25.04.2016 14:57:00

А какие правила вы предлагаете для настройки, когда клиент добавляет ещё один LAN-интерфейс или подключает VPN? Это тоже настраивается в совершенно другом месте и сразу же блокирует DNS для новых LAN-интерфейсов. Я уверен, что таких примеров, когда ваше предложенное решение вызовет проблемы у пользователя, гораздо больше. Текущий набор правил оптимален и прост для понимания, чтобы пользователи могли сразу начать работать с файрволом. Если вы придумаете несложный набор правил, который решит указанные проблемы, я с радостью изменю набор в конфигурации по умолчанию.

docmarius Guest	#13 0 25.04.2016 17:04:00 Гораздо больше неопытных пользователей добавляют интерфейс PPPoE, чем тех, кто добавляет второй LAN или VPN. Обычно во втором случае они уже не такие уж и неопытные и могут справиться с изменениями в фаерволе.

pe1chl

Guest

#14

25.04.2016 17:33:00

Большое различие в том, что в этих случаях ошибка быстро замечается, потому что что-то, что должно было пройти, блокируется. Когда добавляется интернет-интерфейс PPPoE, и роутер случайно остается полностью открытым, проблема сразу не заметна, а потом возникает сбой — злодеи находят открытый резолвер. Конечно, quickstart имеет режим для настройки PPPoE, и я предполагаю, что при таком способе правила фаервола настраиваются автоматически (сейчас роутера под рукой нет, чтобы проверить — скорее всего, позже на этой неделе), но в интернете, особенно в кругах, где нужен PPPoE, ходят «инструкции», которые объясняют создание PPPoE-интерфейса, но при этом молчат про этот критичный шаг.

freemannnn

Guest

#15

25.04.2016 19:39:00

Быстрая настройка для PPPoE должна изменить значение по умолчанию в правилах firewall для входящих пакетов (input interface) с ether1-gateway на pppoe-out1. Я был одним из несчастливчиков, у кого cpu загружался на 100% из-за DNS-атаки! (в моих первых шагах с ROS)

Zorro

Guest

#16

25.04.2016 21:45:00

Добавление в белый список доступа к самым важным сервисам (из НЕМНОГИХ доступных с WAN-интерфейсов) — обычно неплохая идея. Что касается атак DNS-амплификации и NTP-амплификации — обычно поражённые устройства или хосты наносят гораздо больше вреда другим маршрутизаторам в интернете, чем самим себе. Помимо этого, ещё стоит учитывать нагрузку на процессор и оперативную память.

pe1chl Guest	#17 0 26.04.2016 07:38:00 Ты использовал quickset для настройки PPPoE, и он неправильно настроил твой файрвол? Или ты просто следовал каким-то «инструкциям» и просто добавил интерфейс PPPoE в роутер без использования quickset? Спрашиваю, потому что думал, что quickset сделает всё правильно, а если нет — то ситуация даже хуже, чем я себе представлял…

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры