Правильно ли я обезопасил свой микротик?

Question

[DVoropaev]

Цель: запретить доступ к сервисам управления mikrotik из интернет, при этом оставив доступ из локальной сети. Микротик используется как домашний роутер, wifi запаролен, учетная запись тоже с паролем, поэтому из локальной сети угроз нет.
Для этого я настроил firewall следующим образом:

bridge-local - все интерфейсы локальной сети.
ethernet1 - через этот интерфейс идет подключение к провайдеру.

Answer 1

[Александр Карабанов]

Так то да, но если нет опыта настройки фаирвола логичнее использовать дефолтные, так как в свежих версиях RouterOS они хороши.

Comments

[DVoropaev]

А дефолтные это куда?

[Korben5E]

DVoropaev, это то, что устанавливается по умолчанию, при сбросе роутера, - заводские настройки
( и прошивку не плохо сразу обновить )

а правила настроены неверно, все входящие рубить можно, только если интернет не нужен :-)

[Ziptar]

Korben5E,

все входящие рубить можно, только если интернет не нужен

С какого перепою? Если автор сует клиентам в локали внешние dns, то даже в этом месте затычки не будет, потому что по forward'у пойдут.

[Korben5E]

Ziptar, а с того, что NAT сам по себе подразумевает входящие подключения, работает он так.
а форвард работать будет конечно, только внутренние адреса убьет провайдер :-)

[Ziptar]

Korben5E,
Собственно, смотрите packet flow diagram вместе с packet flow chains и прекращайте нести чушь. Для рассматриваемого случая NAT обратывается в конце prerouting, следующим действием идёт определение маршрута, и трафик закономерно уходит в forward, а не в input.

Answer 2

[CityCat4]

Нет.

Нет, поставленная задача решена - извне ничего не подключится. От слова совсем.

То есть:
- нет DNS на микротике
- нет обновлений
- нет VPN

ну то есть нет никакого трафика, приходящего снаружи в INPUT :) Примерно как "отрубить руку, обнаружив прыщ"

Отключите Ваше сверх-правило и сделайте что -то типа:

/ip service
set telnet disabled=yes
set ftp address=10.5.2.0/24 port=19701
set www disabled=yes
set ssh address=10.5.2.0/24
set www-ssl address=10.5.2.0/24 certificate="RB450G cert with key" disabled=no port=19703
set api disabled=yes
set winbox address=10.5.2.0/24
set api-ssl certificate="RB450G cert with key"

где вместо 10.5.2.0/24 ессно Ваша локалка и номера Ваших портов (хотя можете и эти оставить). Это отключит Вам telnet и http, закроет ssh, https и winbox. Кроме того ftp и https переместятся на порты 19701 и 19703 соответственно.

Comments

[DVoropaev]

извне ничего не подключится. От слова совсем.

Странно, сканировал свой роутер nmap'ом с внешней сети, все порты filtred.
Но при этом доступ к интернету из локальной сети есть.

[vtitans]

еще бы хорошо настроить Tool-MAC Server и IP-Neighbor, а то подключение извне по MAC все равно останется

[CityCat4]

vtitans, Согласен.

/ip neighbor discovery-settings
set discover-interface-list=none

Закрыться от мира - никого не обнаруживать и не давать обнаружить себя. Обнаружение показывает версию прошивки - а это огого как много!

/tool mac-server
set allowed-interface-list=none

Запретить подключение по telnet по mac адресу. Есть то же самое для mac-ping и mac-winbox, последнее я обычно не запрещаю - забудешь IP и привет, сброс настроек! Конечно, mac-ping вещь специфичная и работать будет только у того, кто в одной локалке с микротиком

[CityCat4]

DVoropaev, Супер-правило не блокирует FORWARD, оно ломает только трафик идущий на сам микротик - то есть работу DNS, если он там запущен, обновления, VPN...

[CityCat4]

poisons, Согласен, но лучше и там и там :) Можно сделать как - пропускать весь трафик из "привилегированных сетей" (если таковые есть, VPN например), потом весь трафик инициированный самим микротиком, а все остальное, что пришло снаружи - отправлять на хутор, бабочек ловить :) А защита на уровне сервиса - это второй уровень на тот случай, если правило нужно выключить или по какому-то недосмотру трафик на сервис попал

[vtitans]

CityCat4, ну я наверное чуть больше извращаюсь - добавляю порты WAN в WAN_list и запрещаю обнаружение только на нем. Внутри сети neighbor иногда полезен (если это не дом)

[CityCat4]

vtitans, Я рассчитывал именно на то, что это домашний роутер и нефиг всем прочим знать, что тут такое стоит. В корпоративной сети конечно он полезен - например запросто обнаружить что программисты опять что-то такое намутили и просят по щам :)

[Ziptar]

poisons,

Очень жду когда микротик сделает некое подобие объектно ориентированного фаервола, что бы можно было оперировать объектами, у них уже есть address list, interface list, осталось добавить некиий service list, в котором можно было бы описывать протоколы и порты, что бы не клепать однотипные правила.

Очень надеюсь, что если эту дичь сделают, то опционально.

[Ziptar]

poisons, против interface list я ничего не имею, а вот против сервисов имею - это сервисы "ненаглядно", а порты, напротив, очень даже. Наглядно и контролируемо. А от port list я бы и сам не отказался. Ну или конфигурируемых ручками "сервисов", представляющих из себя port list. Чёрные ящики же к чёрту.

[CityCat4]

Ziptar, от port list и я бы не отказался, а то вечно городишь какие-то чудовищные выражения...