<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body text="#000000" bgcolor="#FFFFFF">
В конечном итоге, имеет смысл творчески осмыслить дефолтные правила,
а также<br>
<br>
<a class="moz-txt-link-freetext"
href="https://wiki.mikrotik.com/wiki/Drop_port_scanners">https://wiki.mikrotik.com/wiki/Drop_port_scanners</a><br>
<a class="moz-txt-link-freetext"
href="https://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking">https://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking</a><br>
<br>
и можно делать отстрел неудачных попыток установления соединения
(для постоянных соединений) типа такого (ну и обязательно менять
стандартные порты на любые другие)<br>
<br>
add comment="5 rules to drop ssh brute forcers" chain=input
action=drop protocol=tcp src-address-list=ssh_blacklist dst-port=22
log=no log-prefix=""<br>
add chain=input action=add-src-to-address-list connection-state=new
protocol=tcp src-address-list=ssh_stage3 address-list=ssh_blacklist
address-list-timeout=1w3d dst-port=22 log=no log-prefix=""<br>
add chain=input action=add-src-to-address-list connection-state=new
protocol=tcp src-address-list=ssh_stage2 address-list=ssh_stage3
address-list-timeout=1m dst-port=22 log=no log-prefix=""<br>
add chain=input action=add-src-to-address-list connection-state=new
protocol=tcp src-address-list=ssh_stage1 address-list=ssh_stage2
address-list-timeout=1m dst-port=22 log=no log-prefix=""<br>
add chain=input action=add-src-to-address-list connection-state=new
protocol=tcp address-list=ssh_stage1 address-list-timeout=1m
dst-port=22 log=no log-prefix=""<br>
add comment="Accept SSH" chain=input action=accept protocol=tcp
dst-port=22 log=no log-prefix=""<br>
<br>
<div class="moz-cite-prefix">On 12/17/18 5:30 PM, Victor Cheburkin
wrote:<br>
</div>
<blockquote type="cite"
cite="mid:FC394C19-FF2D-4C40-884B-ABC7EB4D3D3E@vc.org.ua">
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
Hi!
<div class=""><br class="">
</div>
<div class="">Вот так чтобы best practice чтобы оно охватывало, по
сути, трафик кучи openvpn (который на mikrotik кастрирован),
боюсь что и не будет.</div>
<div class="">Самый best practice, по-моему (хотя я не очень
специалист) - дефолтовый конфиг + набор разрешающих правил и
адрес-листов к ним, остальное отсечется правилами 7 и 11. Думаю,
конкретно в твоем случае, возможно, нужен адрес лист для 5
правила.</div>
<div class="">Еще, возможно, стоит посмотреть в настройках IP на
тему RP Filter, accept redirect, tcp syn cookies.</div>
<div>И учти, что некоторые фишки с fasttrack несовместимы, к
примеру -- ограничение траффика.</div>
<div class="">Думаю, ты и сам все это уже сделал, но раз очень
просишь, то вот ;-)<br class="">
<div><br class="">
</div>
<div>
<blockquote type="cite" class="">
<div class="">17 дек. 2018 г., в 15:26, Volodymyr Litovka
<<a href="mailto:doka.ua@gmail.com" class=""
moz-do-not-send="true">doka.ua@gmail.com</a>>
написал(а):</div>
<br class="Apple-interchange-newline">
<div class="">
<div dir="auto" class="">
<div class="">Привіт,</div>
<div dir="auto" class=""><br class="">
</div>
<div dir="auto" class="">Що, немає best practices?<br
class="">
<br class="">
<div class="gmail_quote" dir="auto">
<div dir="ltr" class="">On Sat, Dec 15, 2018, 01:00
Volodymyr Litovka <<a
href="mailto:doka.ua@gmail.com" class=""
moz-do-not-send="true">doka.ua@gmail.com</a>
wrote:<br class="">
</div>
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">Привет,<br
class="">
<br class="">
подскажите, пожалуйста, свои best practices для
защиты локальной сети на <br class="">
_пакетном уровне_. Есть микрот, подключенный к
инету, который строит <br class="">
несколько VPN-линков к удаленным площадкам.
Локальная сеть ходит в <br class="">
интернет через WAN (ether1) и на удаленные
площадки - через VPN-линки. <br class="">
NAT настроен на out-interface:ether1, трафик по
VPN-линкам не натится.<br class="">
<br class="">
На микроте есть вот такие правила фильтров
(бОльшая их часть - default <br class="">
rules, я добавил только правила 4,5,6) и у меня
вопрос - достаточно-ли <br class="">
этого, чтобы быть более-менее спокойным
относительно пакетной <br class="">
безопасности локальной сети? То есть, фактически:
input безусловно <br class="">
разрешает только ICMP и SSH, ограничивает winbox
внутренними портами, <br class="">
остальное - рубится. Форвард на WAN-интерфейсе -
только для соединений, <br class="">
инициированных изнутри. Форвард с VPN-линков не
регулируется. <br class="">
Посоветуйте, нужно-ли и, если да, то как эти
правила можно допараноить <br class="">
:) Мне оно выглядит вроде достаточным, но я
херовый безопасник :)<br class="">
<br class="">
Спасибо.<br class="">
<br class="">
0 D ;;; special dummy rule to show fasttrack
counters<br class="">
chain=forward action=passthrough<br
class="">
<br class="">
1 ;;; defconf: accept
established,related,untracked<br class="">
chain=input action=accept <br class="">
connection-state=established,related,untracked<br
class="">
<br class="">
2 ;;; defconf: drop invalid<br class="">
chain=input action=drop
connection-state=invalid<br class="">
<br class="">
3 ;;; defconf: accept ICMP<br class="">
chain=input action=accept protocol=icmp<br
class="">
<br class="">
4 ;;; Allow SSH from everywhere<br class="">
chain=input action=accept protocol=tcp
dst-port=[...] log=no <br class="">
log-prefix=""<br class="">
<br class="">
5 ;;; Allow OSPF on VPN links only<br
class="">
chain=input action=accept protocol=ospf
in-interface-list=VPN <br class="">
log=no log-prefix=""<br class="">
<br class="">
6 ;;; Allow Winbox on LAN/VPN only<br
class="">
chain=input action=accept protocol=tcp
in-interface-list=LAN <br class="">
dst-port=[...] log=no log-prefix=""<br class="">
<br class="">
7 ;;; defconf: drop all<br class="">
chain=input action=drop log=no
log-prefix=""<br class="">
<br class="">
8 ;;; defconf: fasttrack<br class="">
chain=forward action=fasttrack-connection <br
class="">
connection-state=established,related<br class="">
<br class="">
9 ;;; defconf: accept established,related,
untracked<br class="">
chain=forward action=accept <br class="">
connection-state=established,related,untracked<br
class="">
<br class="">
10 ;;; defconf: drop invalid<br class="">
chain=forward action=drop
connection-state=invalid<br class="">
<br class="">
11 ;;; defconf: drop all from WAN not DSTNATed<br
class="">
chain=forward action=drop
connection-state=new <br class="">
connection-nat-state=!dstnat in-interface-list=WAN<br
class="">
<br class="">
<br class="">
-- <br class="">
Volodymyr Litovka<br class="">
"Vision without Execution is Hallucination." --
Thomas Edison<br class="">
<br class="">
</blockquote>
</div>
</div>
</div>
_______________________________________________<br
class="">
uanog mailing list<br class="">
<a href="mailto:uanog@uanog.kiev.ua" class=""
moz-do-not-send="true">uanog@uanog.kiev.ua</a><br
class="">
<a class="moz-txt-link-freetext" href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a></div>
</blockquote>
</div>
<br class="">
<div class="">
-- <br class="">
Victor Cheburkin<br class="">
VC319-RIPE, VC1-UANIC
</div>
<br class="">
</div>
</blockquote>
<br>
<pre class="moz-signature" cols="72">--
Volodymyr Litovka
"Vision without Execution is Hallucination." -- Thomas Edison</pre>
</body>
</html>