Mikrotik - útoky na DNS?

21let

Zdravím vás,

mám prosbičku. Na Mikrotiku, kde jsem nyní řešil dva WANy jsem si všiml, že mi během noci u pravidla na DNS (bylo místo forward -> input) naskočilo docela dosti paketů a ještě velké množství dat (viz. příloha). Dokážete mi prosím poradit co to může způsobovat a jak tomu problému zabránit? Děkuji

ludvik

To nevíme, když neznáme tvůj firewall. To pravidlo vypadá podivně.

Ale jinak je to normální. Dobře se to používá pro DDoS. Na inputu máš mít DNS zakázané kompletně z WAN.

21let

Ano, chápu, ve vláknu https://ispforum.cz/viewtopic.php?f=5&t=19086 jsem dával konfigurák.

V příloze jsem ukázal pravidla, které mám na firewallu. Problém je, že pokud zakážu pravidla z internetu do WAN1 a WAN2, nefunguje mi načítání některých webových aplikací na serveru (když přistupuji z internetu).

21let

Díval jsem se i na ochranu proti DDos, ale všude se manuály něčím liší. Myslel jsem, že se udělá jedno "DROP" pravidlo a to by odstřihávalo zbytečné požadavky.

ludvik

1. established, related

2. povolení toho, co má fungovat

3. zákaz všeho.

a tak to vlastně máš ... V případě domácí/firemní sítě se oboje dělá jak na inputu (jako ochrana routeru), tak na forwardu (ochrana stanic). A ze strany LAN se většinou nezakazuje nic (ono si pohrát s tím, co je potřeba a co není je docela dřina), jen to přicházející z WAN je nutné považovat za škodlivé všechno.

Útoku nezabráníš tím, že to na firewallu blokneš. Ten paket prostě vždy přijde a bude napočítán. Jen neudělá další škodu.

ludvik

Je nutné pochopit, co znamená conntrack a tedy stavový firewall. Pak to bude jasné. Povolení ESTABLISHED na začátku totiž znamená propuštění všech paketů, které přijdou v rámci již existující konexe. Takže pokud máš jen tohle a drop hned poté, tak jsou povolené jen konexe které byly vyvolány z routeru (jde-li o input). Nikdo tedy není schopen navázat spojení na ten router (nijak ... zbude ti jen RS232 konzole). Na forwardu to platí samozřejmě také. Proto tam musí být před dropem ACCEPT paketů přicházejících z LAN, aby se ta konexe vůbec byla schopná vytvořit.

Konexe není myšlena jako probíhající TCP spojení. Pak nejde do hlavy pochopení konexe UDP, ICMP atp. Konexe znamená záznam o provozu PROTOKOL->IP (zjednodušeně píšu, porty všude nejsou). Čili ji vytvoří hned první paket. A končí buď nějakým timeoutem, není-li přes ní už provoz, nebo prakticky okamžitě, lze-li to poznat (např. u TCP protokolu).