VLANy - Mikrotik kontrola FW

googler2 · 2020-04-19T19:03:02+00:00

caute, robil som 2 vlany (hostia a domaca siet) a nahodil som podla jedneho navodu aj komplet nove pravidla na firewall pretoze uz predtym mi padal net. Od V...

googler2

este mi napadlo ci musim mat povoleny komplet input z "domacej" vlany? Nebolo by menej rizikove definovat konkretne IPs, ktore budu mat pristup do administracie MT? Alebo sa mylim a ide tam aj o nieco ine okrem samotnej administracie MT?

Netreba doplnit este bogon pravidla?

ludvik

googler2 Na začátečníka vymýšlíš zbytečné složitosti. Samozřejmě, že čím větší omezení si vymyslíš, tím teoreticky bezpečnější to bude. Bude existovat méně zdrojů, odkud se může něco stát. Jenže zároveň čím víc omezení si vymyslíš, tím víc si sám sobě podřezáváš větev.

Který bogon? Všechny IP na světě jsou rozdané ...

Ono pod bezpečnost patří i údržba firmware jako takového. Můžeš si udělat firewall jaký chceš, ale pokud bude firmware děravý, nemusí ti to být moc platné.

radek_kovacik

ludvik Není lepší řešení, než pouze omezit zápis do logu, omezit přímo toho útočníka? Já mám tyhle problémy taky, ale nevím, jaká vlastnost ve firewallu by se na to dala použít a jak ji správně nastavit, aby pravidlo případně neblokovalo i regulérní požadavky. Jde to taky tím limitem nebo je na to něco jiného?

ludvik

radek_kovacik To pravidlo zní "DROP & LOG". Jaké další/větší omezení útočníka máš na mysli?

googler2

radek_kovacik Není lepší řešení, než pouze omezit zápis do logu, omezit přímo toho útočníka? Já mám tyhle problémy taky, ale nevím, jaká vlastnost ve firewallu by se na to dala použít a jak ji správně nastavit, aby pravidlo případně neblokovalo i regulérní požadavky. Jde to taky tím limitem nebo je na to něco jiného?

Aj mna by zaujimalo co tym myslis?

radek_kovacik

ludvik Nemyslel jsem větší omezení útočníka, ale omezení obecně. Ten tvůj příspěvek jsem totiž pochopil tak, že by se měl omezit pouze zápis těchto údajů do logu, aby nebyl nepřehledný. Z toho právě vzešel ten dotaz. Jde na to použít ta podmínka LIMIT? Jaké tam nastavit limity?

googler2

ludvik Ono pod bezpečnost patří i údržba firmware jako takového. Můžeš si udělat firewall jaký chceš, ale pokud bude firmware děravý, nemusí ti to být moc platné.

To chapem, ale deravy firmware nijako neovplyvnim (mozem ho len aktualizovat), ale firewall pripadne este ine nastavenia na zvysenie bezpecnosti ovplyvnit mozem.

Ten bogon sa spomina na viacerych weboch, ale napr.aj tu http://blog.d3d.org/mikrotik-a-zakladni-nastaveni/

ludvik

googler2 Tady je napsaný ještě docela minimalisticky, asi to ničemu neublíží. Jen musíš myslet na to, jaké IP se ti pohybují za WAN. Pokud tvůj ISP jede na privátních, tak bysis podřízl komunikaci.
A je dost dobře možné, že zrovna tohle ISP blokuje sám od sebe ...

To spíš ty nezapomeň na techniku BCP38. Je o filtrování tvé LAN strany, nesmí z ní přijít zfalšovaná SRC IP.

Dobré také je mít v routovací tabulce blackhole routy:
/ip route
add distance=1 dst-address=100.64.0.0/10 type=blackhole
add distance=1 dst-address=169.254.0.0/16 type=blackhole
add distance=1 dst-address=172.16.0.0/12 type=blackhole
add distance=1 dst-address=192.168.0.0/16 type=blackhole
add distance=1 dst-address=10.0.0.0/8 type=blackhole

Ale opět záleží na tom, jak funguje ISP. Pokud na privátních, ty tam tu blackhole mít nesmíš (pokud nedisponuješ plnou routovací tabulkou, což na 99.5 % nedisponuješ).
Minimálně tvůj LAN rozsah by ale měl být blackhole routou pokryt.

googler2

ludvik

Ked som sa pokusil nastavit tie blackhole routy tak mi prestal fungovat net takze som ich vymazal. Ako si to myslel ze minimalne tie moje dva lan rozsahy by mali byt blackhole? Vsak je ziaduce aby bola moja siet "recheable" alebo som nieco nepochopil?
Snazil som sa najst nieco o tom bcp38 ale moc som tomu nerozumel a nikde som nenasiel nejaky step by step navod - asi to je mimo mojich schopnosti

ludvik

To je tedy otázka: no přeci takový limit, abys toho neměl moc a přesto nepřišel o informace, když už je chceš.

Pro jistotu: předpokládá to rozdělení pravidla na dvě. Nejdřív jen LOG (s tím limitem) a pak DROP samostatně.

ludvik

Routovací tabulka je srovnaná podle velikosti segmentů. Takže pokud máš dva segmenty na LAN např. 192.168.0.0/24 a 192.168.1.0/24, můžeš mít blackhole routu 192.168.0.0/16, bude totiž až za těma dvěma. Ono to zabezpečí, že od tebe NIKDY neodejde paket s cílovou adresou 192.168.x.y. A tak podobně i s ostatními. Ty prostě tvůj privátní prostor nesmí opustit.

Pokud ti přestal fungovat net, tak to znamená, že jednu z těch sítí potřebuješ i za WAN (což jsem psal!). S tím ti neporadím ... musíš vědět která to je a tu prostě neblackholovat. A jelikož je vhodné blackhole na tvůj rozsah (viz předchozí odstavec), tak je vyloženě nevhodné abyste se shodli. Čili pokud tvůj ISP bude používat 192.168., ty nesmíš.
Kdybys to mazal po jedné, tak bys to snad i zjistil ...

BCP38 je naprosto jednoduchá věc. Z tvé LAN nesmí přijít nic jiného, než tvoje adresy. howg.
Tedy pokud tam máš např. 192.168.0.0/24, uděláš někde brzy na začátku forwardu (za established a invalid) pravidlo:

add action=drop chain=forward in-interface=LAN src-address=!192.168.0.0/24

A tak podobně pro všechny, máš-li jich víc.

googler2

ludvik
no bridge gateway ktoru mam od ISP zacina IP 192.168.x.y a moje lan rozsahy tiez zacinaju rovnako ale dalsie dva bloky mojich rozsahov sa odlisuju od blokov adresy tej gateway.
Ok skusim tie blackholes mazat po jednej a uvidim
Diky

ludvik

Doporučuji vybrat si nějaký jiný ... ušetříš si problémy. Je jich na výběr dost.

googler2

ludvik

no zistil som ze problem nie ani tak v blackhole ale skor v tom ze jedna blackhole routa sposobovala to ze MT nemohol komunikovat s DNS serverom od ISP. Ked som nastavil DNS Google vsetko ide.

ludvik

Jo, to je pořád ten samý problém. Používáte stejné segmenty, to snad nikdy nemůže být dobře a bez problémů. Nikdy nevíš, kdy ho napadne nastavit nějakou službu zrovna i do té tvé malé zabrané části.
Jeho neukecáš. Ale ty si to zvládneš změnit za pár minut.

googler2

Ok, na to staci zmenit vlastne rozsahy? V:
/ip address
/ip pool
/ip dhcp server
/ip firewall
a zmena statickych ip

Teraz mi napadlo ze ked zmenim vlastne rozsahy tak MT mozno nebude schopny komunikovat s tym gateway bridgeom co mam od ISP lebo bude mat nastavenu IP z uplne inych segmentov.

Vlastne mozno bude stacit ked potom tej gateway upravim adresu v MT cez ip address (ETH1) ale nie som si tym vobec isty

ludvik

Proboha ... na adresu, kterou ti přidělil ISP nesaháš! Ta je jeho! Ne tvoje ...

export file=nazev
Výsledek najdeš mezi Files, stáhni si ho a prozkoumej, kde všude se ti ty adresy objevují.

A možná ho sem vlož, protože naprosto netuším, co myslíš pojmem "gateway bridge".

https://www.youtube.com/watch?v=S0iSXruroxQ

googler2

ludvik

diky, tie rozsahy zmenim cez vikend lebo cez tyzden potrebujem funkcny server. BTW ked som pouzil pravidlo

add action=drop chain=forward in-interface=LAN src-address=!192.168.0.0/24

tak mi prestal fungovat net na koncovych zariadeniach ale na MT fungoval. Napadlo mi ze mozno je to tym ze este pouzivam rovnake segmenty ako moj ISP a vznika konflikt ale keby bol problem medzi mnou a ISP tak by logicky nemal fungovat net ani na MT ale na MT funguje aj ked povolim tom pravidlo no dalej net z MT na koncove zariadenia uz neprechadza

ludvik

Mám problém ti rozumět ... Ale rozlišuj provoz INPUT/OUTPUT od FORWARD, to jsou dvě vlastně nezávislé trasy. To přidané pravidlo ti input ani output neovlivnilo. Notabene, když je pověšené na LAN a ne na WAN.

googler2

ludvik
sorry moja chyba. problem bol v tom ze som tu IP z tvojho prikladu BCP38 zabudol upravit podla svojej siete (predposledny segment "0" som zmenil) a uz to ide. Cez vikend zmenim tie rozsahy a potom tu postnem final firewall pretoze chcem este VPN (ak sa mi ju podari nastavit).

« Předchozí stránka