В какой точке настраивать Firewall в сети?

Question

[super-guest]

Здравствуйте.
Прошу подсказать, в каких точках имеет смысл настраивать firewall, а в каких наоборот - всё выключить (или настроить как-то по другому) - сеть представляет из себя следующее:

1) USB модем Huawei E3372 (lte)
2) Микротик в качестве шлюза (в него воткнут USB модем)
3) Микротик в качестве DHCP-сервера (этот стоит в другом месте, так нужно)
4) Другие микротики (точки доступа, свичи, пользователи)

Я запутался - где именно что нужно настроить в плане безопасности...

Answer 1

[АртемЪ]

В какой точке настраивать Firewall в сети?

1. Не имеет особого смысла ибо железо дохлое, да и вряд ли там серьезные возможности по настройки файервола.
2. Вот тут и надо, ибо весь трафик идет в сеть через него.
3. Не совсем понятно для чего это нужно, но я исхожу из того, что по DHCP он отдает в качестве шлюза адрес микротика в который воткнут USB модем.
4. Возможно и тут если вам нужно внутри своей сети ограничивать.

где именно что нужно настроить в плане безопасности...

Перед тем как что-нибудь настраивать в плане безопасности надо четко определиться что вы собираетесь защищать, и от каких опасностей.
А то безопасность понятие растяжимое...

Comments

[Ezhyg]

А то безопасность понятие растяжимое...

- У нас дыра в безопасности!!!11
- Ну хоть что-то у нас в безопасности.

Answer 2

[Дмитрий Шицков]

На шлюзе фаерволл для защиты от внешних угроз
На свитчах - изоляция vlan как минимум
На корневом маршрутизаторе - фильтрация и маршрутизация vlan

Comments

[super-guest]

Дмитрий Шицков спасибо, а можно чуть-чуть подробнее?

[Дмитрий Шицков]

super-guest, что именно? Тут все может быть сильно индивидуально. Лишь только одно всегда идентично - есть внешняя сеть и внутренняя. И они должны быть как можно более изолированы. Далее уже нужно разбираться по обстановке.
Есть ли необходимость во внутренней сети разделение по зонам?
Есть ли "гостевые" зоны?
Есть ли зоны требующие повышенной безопасности или изоляции, DMZ?
Нужно ли ограничивать неавторизованное использование точек подключения?
И т.д., и т.п.

[super-guest]

Дмитрий Шицков, подскажите, где найти статью с указанием минимальных настроек по безопасности для шлюза и для DHCP-сервера? версия RouterOS - самая свежая. Ну или сами подскажите, пожалуйста

[Дмитрий Шицков]

super-guest, статью найти в гугле, т.к. тема мусолилась миллион раз. К примеру, https://wiki.rtzra.ru/software/mikrotik/mikrotik-f...

От себя скажу лишь, что следует руководствоваться принципом - запрещено все, что не разрешено. И при настройках сети на Mikrotik обязательно использовать Safe Mode.

И чтобы больше не возникало вопросов по сетям - https://linkmeup.ru/blog/11.html