Настройка Firewall на домашнем MikroTik-е?

Question

[HeroFromEarth]

Озадачился безопасностью домашнего роутера. Увы, я могу не знать каких-то тонкостей, поэтому прошу помощи и советов касательно настройки. Экспорт из firewall-а:

/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
    established,related
add chain=forward connection-state=established,related
add chain=input connection-state=established,related in-interface=\
    ether1-gateway
add action=reject chain=input connection-state=new in-interface=ether1-gateway
add action=drop chain=input connection-state=invalid in-interface=\
    ether1-gateway
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-gateway

При этом доступ к роутеру есть только через Winbox (планирую закрыть) и SSH (по ключу) с внутренних IP:

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh address=192.168.0.0/26,192.168.56.0/24
set api disabled=yes
set winbox address=192.168.0.0/26,192.168.56.0/24
set api-ssl disabled=yes

Цель - максимальная скорость и чтобы в мою сеть никто извне не пролез. Есть какие-то замечания?

Answer 1

[Кирилл Васильев]

как обычно жесть в ответах, а теперь по существу, а именно по вашему конфигу

add action=fasttrack-connection chain=forward connection-state=established,related
add chain=forward connection-state=established,related

Если не уверенны, то лучше цепочку forward в фильтре не трогать, темболее что у вас скорее всего forward это только трафик попадающий под NAT
Отключите эти правила

add chain=input connection-state=established,related in-interface=ether1-gateway

Здесь всё правильно, весь трафик который будет попадать под следующие правила будет connection-state=new
Оставляем как есть

add action=reject chain=input connection-state=new in-interface=ether1-gateway

Указывая reject вы злоумышленнику даёте явно понять, что порты закрыты, reject лучше всего делать на внутреннюю сеть или в сторону партнёров, но точно не для трафика в сторону интернета!
Замените на drop
Читай пояснения для вышестоящего правила, убери connection-state=new, так на данном месте фаервола только и будет new

add action=drop chain=input connection-state=invalid in-interface=ether1-gateway

Данное правило, должно быть самым первым так как, это невалидный трафик, смысл напрягаться фильтру, если мы заранее знаем что этот трафик не нужен.
Переместить правило на самый верх
При таком настроенном фильтре, микротик находится в самом защищённом режиме.
если вам необходимо открыть порт для доступа к микротику, то вы создаёте правило над последним правилом.
Если вы будете открывать ssh к микротику, то прочитайте эту статью wiki.mikrotik.com/wiki/Bruteforce_login_prevention

Всё остальное, такие как /ip service - это всё от лукавого, в любой момент времени может получится так что вам потребуется доступ к по ssh из самого не предсказуемого места.
если уж хотите вообще не открывать всем порты, то читаем про port Knocking тут wiki.mikrotik.com/wiki/Port_Knocking

Comments

[Дмитрий]

И еще я не заметил там последнего правила на drop. Если не изменяет память, то в микротиках FIrewall работает по принципу "разрешено все, то не запрещено".

[Кирилл Васильев]

Дмитрий: "разрешено все, что не запрещено".

[Дмитрий]

Так ведь ни в оригинальном посте, ни в вашем комментарии нет последнего правила "drop all".

[Кирилл Васильев]

Дмитрий: мммм смотри самый последний блок кода в моём ответе, он и есть, а если делать как ты говоришь drop all, то тогда попадёт input output и forward цепочка

[Дмитрий]

Кирилл Васильев: В последнем блоке я вижу "connection-state=invalid" и я его обычно ставлю на самый верх.
Я для себя выбрал такой вариант:
add action=drop chain=input connection-state=invalid
add chain=input comment="Allow ICMP" protocol=icmp
add chain=input comment="Allow Established connections" connection-state=established
-- Далее разрешающие правила для ssh/winbox/etc, например:
add chain=input dst-port=22 protocol=tcp
---
add action=drop chain=input comment="Block DNS from outside" dst-port=53 in-interface=WAN1 protocol=tcp
add action=drop chain=input in-interface=WAN1
Или такой вариант неправильный и я что-то упустил?

[Кирилл Васильев]

Дмитрий: пардон в предпоследнем блоке кода. по поводу вашего, то releated тоже надо разрешать для сложных соединений ftp,sip и прочее. всё нормально, но зачем DNS блочить тем более tcp? tcp нужен только для реплики зон

[Дмитрий]

Кирилл Васильев: Спасибо, теперь понял.
Если не закрывать 53 порт и давать клиентам DNS через микротик "/ip dns set allow-remote-requests=yes", то будет шквал запросов из-вне на резолв адресов через мой DNS. Да, этот конфиг стоит переделать...

[Кирилл Васильев]

Дмитрий: нет не будет, в той конфигурации которую я описыл выше. да и не tcp а UDP

Answer 2

[paxlo]

Даем несловарное имя пользователя и пароль посложнее:

/user set 0 name=duvdifjavmyldat2 password="MekGoshliep&os9Grydbewsh~"

Отключаем у ssh устаревшую криптографию
/ip ssh set strong-crypto=yes

Отключаем все не-Ъ способы управления (включая винбокс) кроме ssh , они для мышковозов не осиливших быструю, безопасную и удобную cli. SSH переносим на нестандартный порт .

/ip service
disable [find where name!=ssh]
set ssh port=44531

Отключаем доступ по MACу - то еще решето (без этого роутер будет продолжать определяться в винбоксе).

/tool mac-server set disabled=yes [find]
/tool mac-server mac-winbox set disabled=yes [find]
/tool mac-server ping set enabled=no

Если не используем кошкины дискавери типа CDP, то обнаружение соседей тоже лучше отключить.
/ip neighbor discovery set discover=no [find]

Генерим ключ пожирнее.
ssh-keygen -t rsa -b 4096 -N '' -C '' -f routerkey
Если нужен пароль, то -N '' убрать. Лично я использую доступ по ключам без пароля для целей автоматизации через pssh управляяя большим кол-вом маршрутизаторов.

Запихиваем routerkey.pub в роутер и импортим.

/user ssh-keys import user=duvdifjavmyldat2 public-key-file=routerkey.pub

Если усиливать паранойю еще больше, то настраивайте port-knocking (порт на управление открывается после того как вы постучитесь в определенной последовательности, определенное кол-во раз в заданные левые порты). Здесь написано как предотвратить ssh брутофорс.

Если настроена вафля то конечно же сделайте на минимум tx-power и в /interface wireless access-list добавьте вручную маки ваших девайсов , и задав им signal-range такой, чтобы только близкие девайсы подрубались но не сосед за стенкой.

Это то что пришло во голову сходу, а вообще тема бесконечная.

Comments

[nimbo]

оставлять ssh но выключать winbox?) ну фиииииг знает. я лично предпочитаю убирать всё кроме винбокса. port-knocking если наружу управление смотрит, конечно, лучше делать сразу. доступ по маку вырубать не стоит, мало ли где ошибётесь, а вот ограничить интерфейсы куда ему смотреть - самое то. HeroFromEarth:

[paxlo]

Дело в том что ssh при включенном strong-crypto гораздо безопаснее и устойчивее, чем никому неизвестный проприетарный протокол winbox. Во-вторых помимо безопасности, winbox не дает той автоматизации который может дать ssh. В-третьих очевидно то что gui всегда ущербне cli.

Answer 3

[HeroFromEarth]

Всем огромное спасибо за ответы!
Что получилось в итоге (некоторая часть уже имелась, но может понадобиться для тех, кто будет искать здесь ответы на свои вопросы):
1. Логин - несловарная фамилия и 16-значный пароль.
2. Отключена устаревшая криптография для SSH.
3. Отключены все сервисы, кроме SSH, он разрешён только из внутренней сети. Доступ извне мне абсолютно точно не понадобится (если у Вас обратная ситуация - не делайте так :) ).
4. MAC-server Telnet выключен, для Winbox-а только локальные интерфейсы.
5. Для доступа по SSH сгенерировал ключ RSA-2048 (думаю, этого достаточно) без пароля.
6. На Wi-Fi стоит сложный и длинный пароль, который брутфорсом придётся ну очень долго подбирать. Все подключаемые устройства - известные, изредка проверяю.
7. Подправил Firewall. Кирилл, отдельное спасибо за развёрнутый ответ с комментариями!

Port Knocking настраивать не стал, но благодарю за информацию. Я не знал о его существовании, а на работе такая штука может быть очень полезной для безопасности.

Comments

[Ян]

Ну и /ip firewall filter print не помешал бы ;)

Answer 4

[Diman89]

Можно проще сделать: поднять на тике VPN-сервер, и разрешить доступ на тик только из внутренней сети и клиентам vpn. Но нужен белый ip, в случае динамики есть ip cloud