reklama

Firewall - Linux nebo Mikrotik

Firewall - Linux nebo Mikrotik
« kdy: 13. 01. 2020, 14:13:22 »
Zdravim
poridil jsem si Mikrotik hap ac2 na domaci wifi a premyslim, zda ho nepouzit jako firewall.
Po dlouha leta pouzivam Linux a iptables, ale vyhoda Mikrotiku je, ze bych se zbavil huciciho serveru.
Ale Linuxu a iptables nejak verim vice, server pravidelne zaplatuju a nejsem si jisty, jak je na tom v tomto ohledu Mikrotik a jak dlouho bude podporovat tento konkretni model. Navic Linux ma fail2ban.
Jake jsou jeste dalsi pro a proti obou reseni?
Dik

reklama


Re:Firewall - Linux nebo Mikrotik
« Odpověď #1 kdy: 13. 01. 2020, 14:47:17 »
Pouzivam doma Mikrotik, presel jsem z linuxu ze stejnych duvodu.

- z pohledu upgradu bych rekl ze to neni problem, Mikrotik FW podporuje cele architektury a ne dane modely, a novy verze vydava i na ty "stary" routerboardy. Tudiz zrejme to bude tak i nadale do budoucna. V tomhle ma mikrotik +

- z pohledu firewallu, presel jsem z iptables na Mikrotik a zadny problem jsem nezaznamenal (az na obcasny crash z duvodu layer7 filtru - pokud jsem dal vic regexpu a nastavil dst-nat (unaseni DNS dle pattern match domeny) - to uz je ale asi opraveno). Pro domaci pouziti bych rekl ze naprosto staci - jediny problem je s vykonem - pro velice rychle pripojky nemusi stihat NATovat - na strankach modelu je vetsinou nejaky test zverenen.

- Mikrotik ma nevyhodu ze nema vlastni DNS server, dokaze pouze forwardovat dotazy. A to jeste bych rekl ze nefunguje moc dobre (nebo aspon nefungoval, tuto ficuru nepouzivam).




Re:Firewall - Linux nebo Mikrotik
« Odpověď #2 kdy: 13. 01. 2020, 15:10:13 »
Taky hlas za Mikrotik. Updaty mi chodí i na dědečky 10+ let na střeše.

Fail2ban s ním lze propojit, když Vám bude někdo otravovat např. sshd na serveru v DMZ, tak fail2ban přidá pravidlo do Mikrotika (přes ssh a pubkey auth) a zařízne Brazilce už na firewallu.

Doporučuje se kvůli bezpečnosti vypnout Winbox a MAC servery a nechat tam jen sshd s klíčema. Nedávno se nějaké exploity Winboxu objevily.

https://wiki.mikrotik.com/wiki/Use_Mikrotik_as_Fail2ban_firewall

robac

Re:Firewall - Linux nebo Mikrotik
« Odpověď #3 kdy: 13. 01. 2020, 15:36:20 »
- Mikrotik ma nevyhodu ze nema vlastni DNS server, dokaze pouze forwardovat dotazy. A to jeste bych rekl ze nefunguje moc dobre (nebo aspon nefungoval, tuto ficuru nepouzivam).
Za posledních 6 let jsem žádné problémy (na desítkách RB) s forwardováním DNS nepozoroval. Server (on ho teda musí mít, když obsluhuje DNS  ;D) to nemá, ale lze vložit statické záznamy - což zpravidla pro malou domácí síť stačí...
https://linux-sys-adm.com/how-to-make-static-dns-in-mikrotik/

leten

Re:Firewall - Linux nebo Mikrotik
« Odpověď #4 kdy: 13. 01. 2020, 15:38:54 »
Mikrotik ma nevyhodu ze nema vlastni DNS server, dokaze pouze forwardovat dotazy. A to jeste bych rekl ze nefunguje moc dobre (nebo aspon nefungoval, tuto ficuru nepouzivam).

MikroTik nemá DNS server? Jak přesně to myslíte? https://wiki.mikrotik.com/wiki/Manual:IP/DNS#Static_DNS_Entries

reklama


Re:Firewall - Linux nebo Mikrotik
« Odpověď #5 kdy: 13. 01. 2020, 16:15:11 »
MikroTik nemá DNS server? Jak přesně to myslíte? https://wiki.mikrotik.com/wiki/Manual:IP/DNS#Static_DNS_Entries

mikrotik nedokáže fungovat jako dns rekurzor, ale pouze jako dns cache, do které je možné vložit statické záznamy

SB

Re:Firewall - Linux nebo Mikrotik
« Odpověď #6 kdy: 14. 01. 2020, 10:33:40 »
...ze bych se zbavil huciciho serveru.

„Hučící server“ pouze na firewall? Kolik to žere?

Navic Linux ma fail2ban.

Ten sice z podstaty přímo v Mikrotiku není, ale dá se vyrobit něco podobného. Zrovna nedávno mi nějaké roboty našly (nestandardní) port SSH a začaly do něj dlouhodobě a vydatně bušit. Ve firewallu Mikrotiku existuje pravidlo, které cokoliv do nějaké četnosti za jednotku času pustí (accept), při překročení následující pravidlo zařadí zdroj na seznam útočníků (třeba s vypršením). Ty je potom možno zahazovat (drop), nebo brzdit (tarpit), já je v NATu přesměrovávám na HAAS (ať z toho CZ.NIC něco taky má). (Mimochodem zde je vidět, že NAPT 1:1 pro IPv6 by se na rozdíl od masquerade hodil.)

Re:Firewall - Linux nebo Mikrotik
« Odpověď #7 kdy: 14. 01. 2020, 11:31:20 »
Mikrotik je pro malé použití podle mě super náhrada. Záloha konfigurace se dá automatizovat (odeslat na jiné místo), s malými obtížemi lze obnovit i na odlišné zařízení.

Router si mnozí pletou se serverem. Router nemá poskytovat DNS, maximálně jen jako rekurzor. Bezpečnostní rizika autoritativního DNS na routeru jsou poměrně rozsáhlá.

Fail2ban lze na Mikrotiku řešit buďto externím pumpováním access listu, nebo pomocí limitu na firewallu a zařazováním do listů s exspirací. Efekt je v praxi hodně podobný jako F2B.

Vilith

  • *****
  • 592
    • Zobrazit profil
Re:Firewall - Linux nebo Mikrotik
« Odpověď #8 kdy: 14. 01. 2020, 11:44:22 »
Pokud hledáš domácí firewall, mrkni na SG-1100 Security Gateway with pfSense® software

https://store.netgate.com/pfSense/SG-1100.aspx nebo jiné výkonnější varianty https://store.netgate.com/Desktop-Systems-C83.aspx

Re:Firewall - Linux nebo Mikrotik
« Odpověď #9 kdy: 14. 01. 2020, 13:38:53 »
Mikrotik je spíše router než firewall, ale na takové to domácí síťování stačí.

Fail2Ban se mi osobně nepodařilo rozchodit, ale skriptem (přímo na Mikrotiku) stahuju databázi "otravných" IP address ze blocklist.de, které dávám do drop pravidla. Počet bloknutých spojení je pár tisíc denně, počet blokovaných IP address někde okolo 30k. Dle logu hádání hesel se od té doby blíží 0. V budoucnu bych rád stahoval také adresy z Turris projektu, ty ale budu asi muset "předžvýkat" do správného formátu.

_Jenda

  • ***
  • 222
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Firewall - Linux nebo Mikrotik
« Odpověď #10 kdy: 14. 01. 2020, 18:52:31 »
Nainstalovat na Mikrotik OpenWRT, udělat firewall na něm. Výhody: kompletní linuxový ekosystém (trochu omezený dostupnou pamětí) a z toho vyplývající libovolná funkcionalita co si vymyslíš: již zmíněné DNS, UDP OpenVPN, fail2ban, nmap, tcpdump (ano, na Mikrotiku nemají nic podobného, je tam jenom věc co umí s dost primitivními filtry přeposílat pakety na jiný stroj), ale třeba i IRC bouncer, stahování obrázků z bezpečnostních kamer, řízení domácí automatizace, a prostě cokoli co si vymyslíš nejenom teď, ale i v budoucnu.

Re:Firewall - Linux nebo Mikrotik
« Odpověď #11 kdy: 14. 01. 2020, 18:55:14 »
Nainstalovat na Mikrotik OpenWRT, udělat firewall na něm. (...) přeposílat pakety na jiný stroj), ale třeba i IRC bouncer, stahování obrázků z bezpečnostních kamer, řízení domácí automatizace

Přesně toto vše na firewallu NEMÁ co dělat. Firewall má být nárazník, nikoliv vrata dovnitř. Potěš koště, co se šíří mezi lidmi.

Re:Firewall - Linux nebo Mikrotik
« Odpověď #12 kdy: 14. 01. 2020, 19:58:35 »
Diky za vsechny prispevky, vypada to ze MIkrotik je spravna volba a ze se rozloucim se svym serverem ze stareho desktopu, co bezi 9 let.

 

reklama