Konfigurace MK firewallu s port knockingem a wi-fi

xerxescz

Ahoj všichni!

Budu mít trochu obsáhlý dotaz, podařilo se mi před nějakou dobu získat RB2011 který používám jako domácí router. Protože jsem byl dlouhou dobu za sdílenou IP od ISP, tak jsem si příliš velké starosti se zabezpečením nedělal. Teď jsem si ale od ISP pořídil veřejnou IP takže pro mě začalo zabezpečení být docela relevantní. Kromě toho že jsem vypnul všechny services které nepotřebuji jsem nechal běžet jenom winbox a www-ssl, z toho ten www-ssl jsem přehodil na jiný port.

Když teď pustím nmap na svoji IP adresu, tak vidím dva otevřené porty, 53 DNS a 8291 winbox. Port toho ssl nevidím, možná proto že je příliš vysoko. Zakázal jsem ICMP ve firewallu aby se na router nedalo dopingnout zvenku. Když vypnu Allow Remote Requests v DNS, port 53 sice zavřu, ale pak mi v síti nefunguje DNS. Napadlo mě, že bych to mohl řešit nastavením DNS od ISP v DHCP - řešilo by to problém?

Dotazy mám dva - sledoval jsem video kde někdo docílil toho že když se pinglo na jeho IP, router vůbec neodpověděl a vracelo to host is down, ale bohužel tam nebylo vysvětleno, jak toho docílit? Druhá věc, mohl by mi někdo poradit jak na port knocking na webfig a winbox? Chápu teorii toho jak to funguje, s uvedením do praxe je to už horší, ale rád bych se to naučil.

Další věc už s věcmi výše nesouhlasí, a je vcelku nepodstatná - v poslední době jsem si všiml že po určité době provozu mi poklesne přenosová rychlost wifi, průměrně mám na měření 50 mbps dovnitř a nějakých 10 ven, což se po dni provozu sníží tak na polovinu. Restart Mikrotiku to řeší. Změřil jsem tedy okolí wifi analyzérem a zjistil jsem že si vždycky vybere ten nejvíc zarušený kanál, když je nastavený na auto, takže jsem ho manuálně přepnul tam, kde (prozatím) nic není. Výsledky se teprve mají dostavit, ale pohrával jsem si s myšlenkou, jestli by nezlepšilo přenosovou rychlost když bych ze současného WPA2 zabezpečení přepnul na otevřenou síť a vše by jelo přes access list, mám doma jen nějakých deset zařízení, takže dát tam MAC všech není taková práce.

Všem kteří to dočetli až sem, díky. S Mikrotikem ne neustále učím a jsem na úrovni takového hodně slabého začátečníka, což bych chtěl postupně zlepšit.

ludvik

Za zákaz pingu se věší do průvanu ... víš za co?

DNS - ano, používat můžeš i DNS od ISP. Ale lepší je si to dobře zafirewallovat. Tedy nechat povolené jen z LAN. I zde lze vyhledat spoustu příkladů firewallů a teorií.

Použití DNS na mikrotiku má jednu výhodu, můžeš si tam vést vlastní záznamy.

port knocking je podle mě na wiki mikrotiku popsán. Ale podle mě je to jen opruz, prostě si to zakaž z WAN, většina lidí se bez toho obejde.

Zfalšovat MAC je tak malý problém, že pokud to přepneš na otevřenou síť, tak se na veškeré zabezpečení vykašli, ušetříš si práci.

the_max

když pustíš nmap bez parametrů jen s IP adresou tak ti proskenuje jen malopu množinu nejpoužívanějŠích portů. Pokud chceš všechny porty, tak to nmapu musíš dát vědět.

nmap -p1-65535 111.222.333.444

Krom 53, 8291 a ssl http uvidíš třeba i 2000, pokud máš zaplý BT server...

xerxescz

Za zákaz pingu se věší do průvanu ... víš za co?

Tuším že vím za co, ale mohl by jsi vysvětlit proč? Ze začátku mi to přišlo jako docela dobrý nápad.

Takhle to mám nastavené teď:

https://i.imgur.com/PKz7fPr.png

ludvik

Protože ping je naprosto základní diagnostický nástroj. A v rámci protokolu ICMP jako takového jsou i důležitější věci (i když na inputu routeru to vem čert).

Já to řeším třeba takto:

/ip firewall filter

#tento řádek někam na začátek před ten DROP, tedy nejspíš místo řádku 3

add action=jump chain=input connection-state=new jump-target=ICMP protocol= icmp

#a tohle někam úplně nakonec, ať se to neplete (ale je to fuk)

add action=accept chain=ICMP icmp-options=8:0-255 protocol=icmp

add action=accept chain=ICMP icmp-options=3:0-255 protocol=icmp

add action=accept chain=ICMP icmp-options=4:0-255 protocol=icmp

add action=accept chain=ICMP icmp-options=11:0-255 protocol=icmp

add action=accept chain=ICMP icmp-options=12:0-255 protocol=icmp

add action=drop chain=ICMP log=yes log-prefix=ICMP protocol=icmp

Na řádku 4 máš pravidlo, které řeší všechny tvé problémy. Zablokuje naprosto všechno, co přijde z WAN (jako nová konexe) a co nebylo před tímto řádkem povoleno. Tedy pokud na tom screenshotu vidím vše.

Takže klidně můžeš mít DNS povolen.

Pravidla 9 a 10 jsou tedy také zbytečná (ono ta nula v counterech leccos napoví).

Ty pravidla se pro každý paket co přijde porovnávají odshora dolů. A každý paket může být (trochu zjednoduším) buď přijat (ACCEPT), nebo odmítnut (DROP, REJECT). To co je v chainu input se týká paketů co na routeru končí. Chain forward jsou ty, co jdou zkrz.