VLANy - Mikrotik kontrola FW

googler2 · 2020-04-19T19:03:02+00:00

caute, robil som 2 vlany (hostia a domaca siet) a nahodil som podla jedneho navodu aj komplet nove pravidla na firewall pretoze uz predtym mi padal net. Od V...

ludvik

Protože hned po nich máš drop na všechno.

googler2

sorry to som si neuvedomil 😃

googler2

teraz si pozeram log a zistil som ze to pravidlo 16

16 chain=WAN>INPUT action=drop log=yes

mi tu hadze strasne vela zaznamov (cca kazde 4 sekundy 1) je to normalne alebo sa treba tomu venovat?

02:21:12 firewall,info WAN>INPUT: in:WAN out:(unknown 0), src-mac xxx, proto TCP (SYN), ip nejakeho externehoho servera:59536->ip mojej gateway od isp:8071, len 40 02:21:16 firewall,info WAN>INPUT: in:WAN out:(unknown 0), src-mac xxxx, proto TCP (SYN), ip nejakehoho externeho servera2:9556->ip mojej gateway od isp:58558, len 52 02:21:19 firewall,info WAN>INPUT: in:WAN out:(unknown 0), src-mac xxxx, proto TCP (SYN), ip externeho servera3->ip mojej gateway od isp:58558, len 52 02:21:23 firewall,info WAN>INPUT: in:WAN out:(unknown 0), src-mac xxxx, proto UDP, ip nejakeho externeho servera4->ip mojej gateway od isp:58558, len 132 ...
Asi som zabudol v prvom poste napisat ze ISP pouziva NAT 1:1 a ta gateway ma ip s inej podsieti ako je moja podsiet.

Mozno je nejaky "konflikt" medzi mojou sietou a tou gateway a staci jej pridat nejaku vynimku alebo mozno to nie je ziadny problem, neviem

ludvik

To je naprosto normální. Pořád to bude někdo zkoušet.
Pokud už to chceš logovat, nastuduj si LIMIT, abys tam neměl úplně všechno.

radek_kovacik

ludvik Není lepší řešení, než pouze omezit zápis do logu, omezit přímo toho útočníka? Já mám tyhle problémy taky, ale nevím, jaká vlastnost ve firewallu by se na to dala použít a jak ji správně nastavit, aby pravidlo případně neblokovalo i regulérní požadavky. Jde to taky tím limitem nebo je na to něco jiného?

googler2

este mi napadlo ci musim mat povoleny komplet input z "domacej" vlany? Nebolo by menej rizikove definovat konkretne IPs, ktore budu mat pristup do administracie MT? Alebo sa mylim a ide tam aj o nieco ine okrem samotnej administracie MT?

Netreba doplnit este bogon pravidla?

ludvik

googler2 Na začátečníka vymýšlíš zbytečné složitosti. Samozřejmě, že čím větší omezení si vymyslíš, tím teoreticky bezpečnější to bude. Bude existovat méně zdrojů, odkud se může něco stát. Jenže zároveň čím víc omezení si vymyslíš, tím víc si sám sobě podřezáváš větev.

Který bogon? Všechny IP na světě jsou rozdané ...

Ono pod bezpečnost patří i údržba firmware jako takového. Můžeš si udělat firewall jaký chceš, ale pokud bude firmware děravý, nemusí ti to být moc platné.

ludvik

radek_kovacik To pravidlo zní "DROP & LOG". Jaké další/větší omezení útočníka máš na mysli?

googler2

radek_kovacik Není lepší řešení, než pouze omezit zápis do logu, omezit přímo toho útočníka? Já mám tyhle problémy taky, ale nevím, jaká vlastnost ve firewallu by se na to dala použít a jak ji správně nastavit, aby pravidlo případně neblokovalo i regulérní požadavky. Jde to taky tím limitem nebo je na to něco jiného?

Aj mna by zaujimalo co tym myslis?

radek_kovacik

ludvik Nemyslel jsem větší omezení útočníka, ale omezení obecně. Ten tvůj příspěvek jsem totiž pochopil tak, že by se měl omezit pouze zápis těchto údajů do logu, aby nebyl nepřehledný. Z toho právě vzešel ten dotaz. Jde na to použít ta podmínka LIMIT? Jaké tam nastavit limity?

googler2

ludvik Ono pod bezpečnost patří i údržba firmware jako takového. Můžeš si udělat firewall jaký chceš, ale pokud bude firmware děravý, nemusí ti to být moc platné.

To chapem, ale deravy firmware nijako neovplyvnim (mozem ho len aktualizovat), ale firewall pripadne este ine nastavenia na zvysenie bezpecnosti ovplyvnit mozem.

Ten bogon sa spomina na viacerych weboch, ale napr.aj tu http://blog.d3d.org/mikrotik-a-zakladni-nastaveni/

ludvik

googler2 Tady je napsaný ještě docela minimalisticky, asi to ničemu neublíží. Jen musíš myslet na to, jaké IP se ti pohybují za WAN. Pokud tvůj ISP jede na privátních, tak bysis podřízl komunikaci.
A je dost dobře možné, že zrovna tohle ISP blokuje sám od sebe ...

To spíš ty nezapomeň na techniku BCP38. Je o filtrování tvé LAN strany, nesmí z ní přijít zfalšovaná SRC IP.

Dobré také je mít v routovací tabulce blackhole routy:
/ip route
add distance=1 dst-address=100.64.0.0/10 type=blackhole
add distance=1 dst-address=169.254.0.0/16 type=blackhole
add distance=1 dst-address=172.16.0.0/12 type=blackhole
add distance=1 dst-address=192.168.0.0/16 type=blackhole
add distance=1 dst-address=10.0.0.0/8 type=blackhole

Ale opět záleží na tom, jak funguje ISP. Pokud na privátních, ty tam tu blackhole mít nesmíš (pokud nedisponuješ plnou routovací tabulkou, což na 99.5 % nedisponuješ).
Minimálně tvůj LAN rozsah by ale měl být blackhole routou pokryt.

googler2

ludvik

Ked som sa pokusil nastavit tie blackhole routy tak mi prestal fungovat net takze som ich vymazal. Ako si to myslel ze minimalne tie moje dva lan rozsahy by mali byt blackhole? Vsak je ziaduce aby bola moja siet "recheable" alebo som nieco nepochopil?
Snazil som sa najst nieco o tom bcp38 ale moc som tomu nerozumel a nikde som nenasiel nejaky step by step navod - asi to je mimo mojich schopnosti

ludvik

To je tedy otázka: no přeci takový limit, abys toho neměl moc a přesto nepřišel o informace, když už je chceš.

Pro jistotu: předpokládá to rozdělení pravidla na dvě. Nejdřív jen LOG (s tím limitem) a pak DROP samostatně.

ludvik

Routovací tabulka je srovnaná podle velikosti segmentů. Takže pokud máš dva segmenty na LAN např. 192.168.0.0/24 a 192.168.1.0/24, můžeš mít blackhole routu 192.168.0.0/16, bude totiž až za těma dvěma. Ono to zabezpečí, že od tebe NIKDY neodejde paket s cílovou adresou 192.168.x.y. A tak podobně i s ostatními. Ty prostě tvůj privátní prostor nesmí opustit.

Pokud ti přestal fungovat net, tak to znamená, že jednu z těch sítí potřebuješ i za WAN (což jsem psal!). S tím ti neporadím ... musíš vědět která to je a tu prostě neblackholovat. A jelikož je vhodné blackhole na tvůj rozsah (viz předchozí odstavec), tak je vyloženě nevhodné abyste se shodli. Čili pokud tvůj ISP bude používat 192.168., ty nesmíš.
Kdybys to mazal po jedné, tak bys to snad i zjistil ...

BCP38 je naprosto jednoduchá věc. Z tvé LAN nesmí přijít nic jiného, než tvoje adresy. howg.
Tedy pokud tam máš např. 192.168.0.0/24, uděláš někde brzy na začátku forwardu (za established a invalid) pravidlo:

add action=drop chain=forward in-interface=LAN src-address=!192.168.0.0/24

A tak podobně pro všechny, máš-li jich víc.

googler2

ludvik
no bridge gateway ktoru mam od ISP zacina IP 192.168.x.y a moje lan rozsahy tiez zacinaju rovnako ale dalsie dva bloky mojich rozsahov sa odlisuju od blokov adresy tej gateway.
Ok skusim tie blackholes mazat po jednej a uvidim
Diky

ludvik

Doporučuji vybrat si nějaký jiný ... ušetříš si problémy. Je jich na výběr dost.

googler2

ludvik

no zistil som ze problem nie ani tak v blackhole ale skor v tom ze jedna blackhole routa sposobovala to ze MT nemohol komunikovat s DNS serverom od ISP. Ked som nastavil DNS Google vsetko ide.

ludvik

Jo, to je pořád ten samý problém. Používáte stejné segmenty, to snad nikdy nemůže být dobře a bez problémů. Nikdy nevíš, kdy ho napadne nastavit nějakou službu zrovna i do té tvé malé zabrané části.
Jeho neukecáš. Ale ty si to zvládneš změnit za pár minut.

googler2

Ok, na to staci zmenit vlastne rozsahy? V:
/ip address
/ip pool
/ip dhcp server
/ip firewall
a zmena statickych ip

Teraz mi napadlo ze ked zmenim vlastne rozsahy tak MT mozno nebude schopny komunikovat s tym gateway bridgeom co mam od ISP lebo bude mat nastavenu IP z uplne inych segmentov.

Vlastne mozno bude stacit ked potom tej gateway upravim adresu v MT cez ip address (ETH1) ale nie som si tym vobec isty

« Předchozí stránka