[uanog] mikrotik enough firewall rules

Volodymyr Litovka doka at xlit.one
Wed Feb 13 09:45:10 EET 2019 

В конечном итоге, имеет смысл творчески осмыслить дефолтные правила, а также

https://wiki.mikrotik.com/wiki/Drop_port_scanners
https://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking

и можно делать отстрел неудачных попыток установления соединения (для 
постоянных соединений) типа такого (ну и обязательно менять стандартные 
порты на любые другие)

add comment="5 rules to drop ssh brute forcers" chain=input action=drop 
protocol=tcp src-address-list=ssh_blacklist dst-port=22 log=no log-prefix=""
add chain=input action=add-src-to-address-list connection-state=new 
protocol=tcp src-address-list=ssh_stage3 address-list=ssh_blacklist 
address-list-timeout=1w3d dst-port=22 log=no log-prefix=""
add chain=input action=add-src-to-address-list connection-state=new 
protocol=tcp src-address-list=ssh_stage2 address-list=ssh_stage3 
address-list-timeout=1m dst-port=22 log=no log-prefix=""
add chain=input action=add-src-to-address-list connection-state=new 
protocol=tcp src-address-list=ssh_stage1 address-list=ssh_stage2 
address-list-timeout=1m dst-port=22 log=no log-prefix=""
add chain=input action=add-src-to-address-list connection-state=new 
protocol=tcp address-list=ssh_stage1 address-list-timeout=1m dst-port=22 
log=no log-prefix=""
add comment="Accept SSH" chain=input action=accept protocol=tcp 
dst-port=22 log=no log-prefix=""

On 12/17/18 5:30 PM, Victor Cheburkin wrote:
> Hi!
>
> Вот так чтобы best practice чтобы оно охватывало, по сути, трафик кучи 
> openvpn (который на mikrotik кастрирован), боюсь что и не будет.
> Самый best practice, по-моему (хотя я не очень специалист) - 
> дефолтовый конфиг + набор разрешающих правил и адрес-листов к ним, 
> остальное отсечется правилами 7 и 11. Думаю, конкретно в твоем случае, 
> возможно, нужен адрес лист для 5 правила.
> Еще, возможно, стоит посмотреть в настройках IP на тему RP Filter, 
> accept redirect, tcp syn cookies.
> И учти, что некоторые фишки с fasttrack несовместимы, к примеру -- 
> ограничение траффика.
> Думаю, ты и сам все это уже сделал, но раз очень просишь, то вот ;-)
>
>> 17 дек. 2018 г., в 15:26, Volodymyr Litovka <doka.ua at gmail.com 
>> <mailto:doka.ua at gmail.com>> написал(а):
>>
>> Привіт,
>>
>> Що, немає best practices?
>>
>> On Sat, Dec 15, 2018, 01:00 Volodymyr Litovka <doka.ua at gmail.com 
>> <mailto:doka.ua at gmail.com> wrote:
>>
>>     Привет,
>>
>>     подскажите, пожалуйста, свои best practices для защиты локальной
>>     сети на
>>     _пакетном уровне_. Есть микрот, подключенный к инету, который строит
>>     несколько VPN-линков к удаленным площадкам. Локальная сеть ходит в
>>     интернет через WAN (ether1) и на удаленные площадки - через
>>     VPN-линки.
>>     NAT настроен на out-interface:ether1, трафик по VPN-линкам не
>>     натится.
>>
>>     На микроте есть вот такие правила фильтров (бОльшая их часть -
>>     default
>>     rules, я добавил только правила 4,5,6) и у меня вопрос -
>>     достаточно-ли
>>     этого, чтобы быть более-менее спокойным относительно пакетной
>>     безопасности локальной сети? То есть, фактически: input безусловно
>>     разрешает только ICMP и SSH, ограничивает winbox внутренними
>>     портами,
>>     остальное - рубится. Форвард на WAN-интерфейсе - только для
>>     соединений,
>>     инициированных изнутри. Форвард с VPN-линков не регулируется.
>>     Посоветуйте, нужно-ли и, если да, то как эти правила можно
>>     допараноить
>>     :) Мне оно выглядит вроде достаточным, но я херовый безопасник :)
>>
>>     Спасибо.
>>
>>       0  D ;;; special dummy rule to show fasttrack counters
>>            chain=forward action=passthrough
>>
>>       1    ;;; defconf: accept established,related,untracked
>>            chain=input action=accept
>>     connection-state=established,related,untracked
>>
>>       2    ;;; defconf: drop invalid
>>            chain=input action=drop connection-state=invalid
>>
>>       3    ;;; defconf: accept ICMP
>>            chain=input action=accept protocol=icmp
>>
>>       4    ;;; Allow SSH from everywhere
>>            chain=input action=accept protocol=tcp dst-port=[...] log=no
>>     log-prefix=""
>>
>>       5    ;;; Allow OSPF on VPN links only
>>            chain=input action=accept protocol=ospf in-interface-list=VPN
>>     log=no log-prefix=""
>>
>>       6    ;;; Allow Winbox on LAN/VPN only
>>            chain=input action=accept protocol=tcp in-interface-list=LAN
>>     dst-port=[...] log=no log-prefix=""
>>
>>       7    ;;; defconf: drop all
>>            chain=input action=drop log=no log-prefix=""
>>
>>       8    ;;; defconf: fasttrack
>>            chain=forward action=fasttrack-connection
>>     connection-state=established,related
>>
>>       9    ;;; defconf: accept established,related, untracked
>>            chain=forward action=accept
>>     connection-state=established,related,untracked
>>
>>     10    ;;; defconf: drop invalid
>>            chain=forward action=drop connection-state=invalid
>>
>>     11    ;;; defconf:  drop all from WAN not DSTNATed
>>            chain=forward action=drop connection-state=new
>>     connection-nat-state=!dstnat in-interface-list=WAN
>>
>>
>>     -- 
>>     Volodymyr Litovka
>>        "Vision without Execution is Hallucination." -- Thomas Edison
>>
>> _______________________________________________
>> uanog mailing list
>> uanog at uanog.kiev.ua <mailto:uanog at uanog.kiev.ua>
>> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>
> -- 
> Victor Cheburkin
> VC319-RIPE, VC1-UANIC
>

-- 
Volodymyr Litovka
   "Vision without Execution is Hallucination." -- Thomas Edison

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20190213/4b36d75b/attachment.html>

More information about the uanog mailing list