Помогите настроить безопасность микротика новичку-параноику

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
together8
Сообщения: 2
Зарегистрирован: 29 янв 2018, 21:07

Здравствуйте! Месяц назад куплен недорогой микротик. В процессе курения мануалов различных более опытных пользователей, настроил тырнет, локальную сеть, вифи. Разрешил трафик igmp для просмотра IPTV, заменил некоторые порты для подключения к микротику, ненужные - отключил. Пользователя тоже заменил и сделал сложный пароль. Сделал проброс порта до домашнего сервачка и настроил базовые правила контроля трафика в правилах фаервола. Вроде б все работает, но нет уверенности, что безопасность норм. Потому что в процессе поиска правил фаерволла видел немного разные реализации. Тут я тоже не нашел уверенного, никем не оспариваемого листинга правил фаервола. Братцы, опишите, пожалуйста, грамотные, правильные настройки фаервола.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

заводский правил в фильтрах более чем достаточно. А параноя она как правило от незнания...


Есть интересная задача и бюджет? http://mikrotik.site
o12k9ks
Сообщения: 1
Зарегистрирован: 24 фев 2018, 13:35

/del
Последний раз редактировалось o12k9ks 18 апр 2018, 14:39, всего редактировалось 21 раз.


anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

o12k9ks писал(а): 16 мар 2018, 09:34 1) если ICMP не надо то полностью отключить,
потенциально создаете проблему, которую еще и диагностировать неприятно:смотреть что такое MTU Discovery
o12k9ks писал(а): 16 мар 2018, 09:34 2) если знаешь какие порты надо, то остальные отключить + отключить те порты которые рекомендуется отключить, которые используют для взлома
3) все Invalid пакеты в дроп
ну все непонятное - да в дроп, но вот людей которые точно могут знать какие порты им нужны - маловато и это требует постоянного контроля установленного софта
o12k9ks писал(а): 16 мар 2018, 09:34 4) в настройках микротика TCP SynCoocies включить, RP filter включить
5) заблочить на вход 53 порт UDP для всех IP не своих DNS серверов

ага, правда это делается по умолчанию.
o12k9ks писал(а): 16 мар 2018, 09:34 6) заблочить TCP 53 оба конца
радость какая, 1 зачем, 2 е где потом искать подписи зон секьюрных, большие текстовые записи и так далее., все что длинее 512 байт в ответе может/рекомендованно отвечать TCP
o12k9ks писал(а): 16 мар 2018, 09:34 7) сделать блоклист и дропать всех кто опрашивает порты
8) дропаем bogon сети
плохие у вас апстримы, фильтр не принимать на входе src-net левые обычно ставят.
o12k9ks писал(а): 16 мар 2018, 09:34 9) меняем мак и оставляем вход только по маку, поиск микротика для всех интерфейсов отрубаем
управляем микротиком только из своей сети, при смене компа судорожно ищем "какой у него был мак", при смене мака радостно пишем мак который окажется локально администрируемым и мультикастным, потом ищем кто знает это такое чтобы понять "почему не работает" и "откуда трафик в локалке"
o12k9ks писал(а): 16 мар 2018, 09:34
10) Wifi делаем скрытым
чем создаем радость подключения принтеров и подобного, не достигнув ничего - сниферов никто не отменял, если начнут ломать цель

____
То есть Вашими рекомендациями вы рискуете создать проблемы тем, кому советуете.
Проще и правильнее, ну если не очень спец применение положиться на умолчания вида "настроил по быстрому конфигу", результат - очень прилично. Ну и .. выключить пользователя админ + не словарный пароль.


o12k9ks
Сообщения: 1
Зарегистрирован: 24 фев 2018, 13:35

/del
Последний раз редактировалось o12k9ks 18 апр 2018, 14:39, всего редактировалось 1 раз.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

o12k9ks писал(а): 16 мар 2018, 11:49 у меня логин admin переименован в логин на 30 символов и пароль чуть больше 40 символов , приблизительно такой: U5XV0u06V29wr1N97a0u99hx0aUwbx
C таким паролем он у вас или один везде или где-то сохранен, и худшее место для этого это Winbox.


Александр
o12k9ks
Сообщения: 1
Зарегистрирован: 24 фев 2018, 13:35

/del
Последний раз редактировалось o12k9ks 18 апр 2018, 14:40, всего редактировалось 1 раз.


anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

o12k9ks писал(а): 16 мар 2018, 11:49 5 лет без ICMP, проблем не замечал, испробовано на 4х операторах связи, как Российских так и Беларусских. Хз, может и есть черная кошка в черной комнате, но мне как-то на нее плевать) но если подробнее расскажете, буду признателен. Через ICMP ломают и ломают не слабо, оставлять все что не надо кроме UDP и TCP, если кроме них нам ничего не надо, считаю тоже лишним, в старых протоколах могут быть дыры, а т.к. мы их просто так пропускаем в свою систему, то получится что ломать нас проще простого. Да и основное правило "Оставь только то что используешь никто не отменял"
проблема есть, о взломах через ICMP я не слышал, но .. меня ваша винда вообще не волнует, хотите пользуйтесь. проблема именно в протоколе - я написал зачем эти пакеты нужны. В последнее время стандартный ответ у СТП был на "у меня не открываются некоторые сайты" , разрешите ICMP и проверьте вторично ( это всегда сайты "далеко" по меркам маршутов).
Общее - как по этому, так и по другим возражениям, мой опыт основывается на работе 5 лет в последней линии техподдержки крупного провайдера, когда очередной Админ что-нибудь настроил по рекомендациям в сети, а у него не видны сайты в Китае( это быстро ловится) или они дико тормозят ( что куда интереснее ловить ) , при этом с телефона сайт открывается ( это и MTU и закрытый порт 53 TCP на вход). А еще, не поверите но закытие на выход 53 TCP может СНИЗИТЬ безопасноть, потому что без получения ключей DNSsec оно как-то менее безопасно. (несколько корневых серверов отдают ключи только по TCP) Большей частью проблемы средний контор с "у вас плохой интернет, мы от Вас уйдем" решались нормальной настройкой оборудования, в котором, не понимая что это ,запретили лишнее или не разрешили нужное. И про мак - посмотрите, то же есть печальный опыт когда пользователь поставил себе на железо мак из единиц , просто потому что ему сказали изменить и запомнить. Ну и пользователи очень радуются когда не могут поднять PPtP, просто потому что TCP/UDP только и почему по инструкции не подключится TV, тоже ( iGMP же )..
Так же как и рекомендация запретить приватные сети на уровне пользователя приводит ( опять же опыт) - "не могу нормально подключиться к рабочей сети".
Общее - нельзя давать рекомендации подобного рода, тем более новичку, потому что потом понимать "почему не работает" оно куда сложнее. Но два запрета - просто вредные (ICMP и TCP 53).
Про оставляй только то, что знаешь используешь - соберете ядро freebsd ( даже не lin) не исключив лишнее, а оставив только нужное ( людей способных это сделать мне известны единицы). Так и с сетями - оно очень цепляется одно за другое .


o12k9ks
Сообщения: 1
Зарегистрирован: 24 фев 2018, 13:35

/del
Последний раз редактировалось o12k9ks 18 апр 2018, 14:40, всего редактировалось 1 раз.


anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

О господи, люди! занимайтесь только тем в чем что-от способны понять:
Вам сейчас соррудить сайт который при MTU 1450 не будет открываться если у Вас закрыто iCMP? Выравнивание MTU это в обе стороны и если у вас провайдер не догадался закрыть icmp , то (и это канальный MTU, то запросы пролезет ли к Вам не приходят - на них ответил роутер провайдера, а вот ответы " 1450 - не пролезет - уменьшай до " в ответ на ваши пакеты - надо бы обрабатывать.

С таким (" у Вас все криво а я гений, у меня дома работает, где только VK смотрю") мне однажды удалось поступить правильно - договориться что я меняю железку на настроенную мною, все начинает работать - админ пишет по собственному и уходит навсегда из помещения. До этого ему три раза писали что не так и что править, но он тоже вопил про безопасность.
Если Вы не видели , не значит что нет, если не понимаете когда будет выравнивание работать и когда нет если ICMP блокируете Вы ( подсказывают - пакеты к Вам не подпадают обычно под этот запрет, не отличаете протокол от порта ( GRE - протокол а не порт). а у провайдера в статистике на входных каналах примерно 10 типов IP протоколов активно бегает, но .. они же все, кроме двух - лишние
Скрытый канал через ICMP ему угроза ( который при нормальном мониторинге тут же засветится) , а через DNS нет, а через служебные сообщения SIP ( такие тунелли существуют давно) ? ( я ведь прочитал первые две страницы Гугла, только я их ПОНЯЛ)?
Идите защищайте Пентагон! ( тем более что там совсем другие подходы, а как работает DPI Вы уже вероятно знаете уже ).
Когда Пентагон будет спасен, подумайте почему приходится закрывать сервисы с использованием UDP значительно чаще, чем TCP, с этого стоит начать свои изыскание в сетевой безопасности.
Отвечать более Вам не намерен, потому что - вместо того чтобы прочесть на что ссылаются - убивают черную кошку и пока не завелась новая говорят - ее тут и не было.


Ответить