Příspěvky

16

Sítě / Re:Mikrotik a SYN flood útoky

« kdy: 06. 07. 2021, 11:46:12 »

Ahoj,
děkuji vám za odpovědi. Něco podobného s těmi black listy, kde se hlídá počet připojení na input a forward s akcí tarpit tam také mám, to bylo také někde na té Wiki. Pak ještě něco podobného proti port scanu. V podstatě používám default firewall od Mikrotiku doplněný pár podobnými pravidly. Služby jsem všechny zakázal kromě webu a winboxu a povolil si zvenku připojení do administrace routeru jen z jedné IP (to do budoucna půjde pryč a bude jenom připojení z LAN). Porty jsou samozřejmě změněné. V NATu mám přesměrovaných několik portů do vnitřní sítě, některé jen z whitelistu a pouze tři z celého internetu. Dále mám v NATU několik odchozích maškarád pro požadované vnitřní IP a požadované dst porty. Logy z Mikrotiku se odesílají na externí syslog server + tam mám nějaké grafíky na web rozhraní. To jsem zvládl nastavit sám, ale jako skoro vůbec tomu nerozumím....
Šlo mi hlavně o to, jak se to původní pravidlo chová ve spojení s tím defaultním pravidlem od Mikrotiku pod ním, kde se dropuje input mimo LAN... asi víte, které mám na mysli, je tam u něj input !LAN a drop. Právě na tomto pravidle končí skoro všechny pokusy o připojení od všech těch různých šmejdů, dotazy na DNS zvenku atd. Čistě teoreticky by na něm měly končit právě i ty útoky zvenku, nebo ne?
Zajímavé by bylo i rozebrat, jak by se to chovalo s tím input. Ten Rus ve svém článku píše, že během chvíle mu náporem zvenku kvůli accept v druhém řádku zamrzl router. Popravdě ale, přemýšlím, co by se mohlo stát? Router sice SYN paket příjme, ale co dál? Další případná komunikace stejně skončí na tom drop !LAN.
Možná se ptám blbě, možná do toho moc vrtám... ale popravdě chci mít firewall co nejkratší, co nejúčinnější a hlavně bych rád dokonale všem pravidlům rozuměl.

17

Sítě / Mikrotik a SYN flood útoky

« kdy: 05. 07. 2021, 18:32:30 »

Dobrý den,
na oficiální wiki Mikrotiku jsou tři jednoduchá pravidla jako prevence SYN flood útoků:

Kód: [Vybrat]

/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new \
action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=yes
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new \
action=accept comment="" disabled=no
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new \
action=drop comment="" disabled=no

První pravidlo nové forward syn pakety přehodí na druhé pravidlo, kde je limit / s, pokud vyhoví, tak accept, pokud nevyhoví, tak třetí pravidlo dropuje.
Vtipné je, že se to všude na internetu v návodech kopíruje i ze zakázaným prvním pravidlem a už bez původní poznámky, že se má místo 400 nastavit požadovaný limit potom první pravidlo povolit... jinak to nefunguje:-)
Zkusil jsem to použít a dát dopředu firewallu.

Hlavou mi ale vrtá to druhé pravidlo, které pakety pustí a už nejdou dalším zbytkem firewallu pod těmito třemi řádky. Narazil jsem na článek nějakého Rusa, kde právě toto také řeší. Místo forward dává input u prvního pravidla a místo accept dává return. Že prý se to tak vrátí k dalším pravidlům a puštěné pakety jdou ve firewallu dál. Podle něho je to prý důležité. Já si právě nejsem moc jistý, jestli to ten Rus dělá správně. Mám strach, že return to zacykluje v nějaké smyčce a input se mi moc nechce dávat, protože Mikrotik má už v defaultu pravidlo, že to dropuje všechno co přichází mimo LAN (tedy z WAN).... tudíž to dropuje třeba i požadavky na DNS zvenku a už není potřeba dávat port 53 drop atd...
Pokud to chápu správně, tak tato původní pravidla z wiki s forward fungují jenom na provoz z LAN do WAN (což ani nepotřebuji) a v případě z WAN do LAN to funguje jenom u přesměrovaných portů v NAT. Myslím si, že pokud příjdou "neznámé a špatné" pakety zvenku jako input, tak tato 3 pravidla na ně nefungují (není kam je přesměrovat) a jsou stejně dále ve firewallu zahozeny (viz drop všeho co není z LAN).

Uvažuji tak správně? Nemůže to druhé pravidlo s accept být nějakým ohrožením, když zmíněné pakety pustí a už neprocházejí dalším firewallem? Chápu, že při input by to byl velký problém... ale při forward? Dá se to ještě nějak jinak a lépe ochránit? Budu rád za všechny názory. A má to vůbec nějaký smysl? Beru to hlavně jako ochranu přesměrovaných portů. Mikrotik je na veřejné adrese. Používám jen IPV4. Balík IPV6 není ani nainstalován.
Děkuji

18

Sítě / Re:Routerboard 750r2 "blikání" Firewall Address List

« kdy: 23. 04. 2021, 19:13:42 »

Dobrý den,
mnohokrát vám děkuji za odpovědi. Omlouvám se pokud budu psát hlouposti, spíše než sítím rozumím té radiotechnice, anténám atd. tedy těm zařízením kvůli kterým tam ta datovka a router je. V podstatě je to můj první "trochu lepší" router, který jsem nakonfiguroval. Vytížení routeru jsem teď sledoval při současném připojení ke dvěma SDR přijímačům a při přenosu dat z nich. Je to 1-2 % zatížení CPU, volná paměť je 42 MB z celkových 64 MB.  S volnou flash pamětí je to horší, je to cca 3 MB z 16. Internet nevypadává. Při běhu až tří SDR přijímačů v režimech server - klient se přes router přenášejí data řádově max. v jednotkách Mbit/s. Někdy přes to tahám nahrávky širokého spektra, to jsou objemy v řádu stovek MB nebo GB a chodí to poměrně rychle a stabilně. Nějakou případnou vzdálenou plochu, či připojení přes SSH nebo k ovládacím web serverům nepočítám, to jsou zanedbatelné objemy dat. Myslím si, že duplicita v tom seznamu není, to mi router nedovolí tam přidat stejnou adresu, která tam už je. Připojení do routeru používám přes web. Winbox mohu zkusit až budu na místě z LAN. DNS používám veřejné - ty jsou nastavené v Mikrotiku a pro LAN zařízení je DNS server ten Mikrotik.
Ono v podstatě si myslím, že i kdyby tam ten blacklist nebyl, tak případný útočník by moc škody nenadělal. Na těch "nechráněných portech" jsou jen dvě monitorovací a ovládací webová rozhraní a občas jedna vzdálená plocha. Všechno ale chráněné přihlášením a hesly. Vše důležité - SDR přijímače, SSH servery a další vzdálená plocha je za tím whitelistem a jsou přístupné jen ze známých WAN IP. Mám tam myslím docela hezky udělané logování - log z Mikrotiku se odesílá na externí log server a tam jsou vidět všechny IP adresy z celého světa, co se tam pokoušely dostat, skenovaly port atd. a tato nevyžádaná připojení mě opravdu dost štvou. Proto mi to nastavení s tím blacklistem, na který tyto adresy můžu dávat, vyhovovalo....

19

Sítě / Routerboard 750r2 "blikání" Firewall Address List

« kdy: 23. 04. 2021, 12:48:22 »

Dobrý den,
chtěl bych poprosit o radu znalce Mikrotiků, co znamená, když položky v address list ve firewallu "problikávají"? Resp. na cca 0,3 s se místo položek přidaných např. 22.4 zobrazí adresy přidané 11.4 atd. Takto problikává celý list až dolu. Zkoušel jsem googlovat v angličtině a nic jsem nenašel. Začalo to dělat po přidání asi 250. položky. Přidání dalších položek se to ale nijak nebrání, tak snad počet adres není ničím omezen??

Router je na remote místě a je za ním různá radioamaterská SDR a jiná technika. Přístup přes veřejnou IP. Na některé porty a zařízení se chci dostat z celého internetu na většinu portů ale jenom ze známých WAN IP adres. Proto mám nadefinovaný whitelist (tam jsou známé adresy ze kterých přistupuji na "chráněné porty" a do administrace routeru) a blacklist (do něj sypu škodlivé adresy-viz např. kontrola na abuseipdb, které se pokoušely podle logu připojit k těm "nechráněným" portům). Právě blacklist se docela dost plní...

Děkuji za nápady