Mikrotik - jaké porty povolit ve firewallu

Mikrotik - jaké porty povolit ve firewallu
« kdy: 22. 01. 2022, 14:08:44 »
Dobrý den,
Mám veřejnou IP, která je poskytovatelem nasměrovaná na můj Mikrotik. Používám to pro přístup zvenku k určitým zařízením a službám, které běží na různých portech v rámci vnitřní LAN. Na routeru pak je přesměrování a NAT.
Přemýšlím o tom, jak zatočit (opravdu účinně) se všemi skenovači, zkoušeči hesel a dalšími šmejdy, co mi tam neustále dorážejí. Takové ty návody na různé chytré blacklisty, co jsou na internetu na port scan, syn flood atd. úplně dokonale nefungují, vždycky je potřeba tam nastavit nějaký limit počtu připojení, času atd. a i přes to vždycky něco projde. Povolení přístupu z jedné WAN, to také moc neřeší, zvlášť když chci přistupovat z více míst, nebo např. i přes data od mobilního operátora, který IP pořád mění.
Proto přemýšlím, jak všechny ty polofunkční pravidla nahradit jedním a opravdu rázným. Porty na které se potřebuji připojovat jsou až někde v rozsahu 26xxx tedy hodně vysoké. Říkám si, že bych udělal pravidlo s negací (!) těchto portů a všechno ostatní by se hodilo do blacklistu, pod to hned pravidlo drop z toho blacklistu a stejný drop i do RAW tabulky.  Uvažuji tak, že nějaký šmejd zkusí jeden (jakýkoliv) port mimo ty definované, hned ho to zapíše na blacklist, pravidlo pod tím to hned z toho blaclistu dropne a pokud by si nedal pokoj a zkusil jiný port, tak ho to z blaclistu, kde už je zapsán zabije hned v té RAW a ani se nedostane do stromečku s pravidly.
Na blacklistu by byl třeba tři dny.... více asi nemá cenu i s ohledem na přeplnění toho blacklistu.
Mělo by to zlikvidovat všechno a všechny útoky, jakmile to jednou zkusí, tak konec.... jedině, že by se trefil zrovna hned napoprvé do toho definovaného NATovaného portu. To je ale velká nepravděpodobnost. Musel by hned napoprvé zkusit třeba 26438, ale jakmile by zkusil třeba druhý o jednotku vedle, stejně by ho to zabilo.
Jediné riziko pro mě, že se uklepnu a sám se zkusím připojit na špatný port, potom by to hodilo na blacklist i mě...ale toto riziko jsem ochotný podstoupit:-)
Já sám si myslím, že toto by mohlo být opravdu účinné a nahradilo by to všechna ostatní pravidla a všechny ty návody s limity vč. např. defaultního pravidla Mikrotiku, kde s příznakem input dropoval pod estabilished všechno co není LAN.
Otázka je, jestli mohu zakázat opravdu všechny porty? Nejspíše by se to pravidlo pak muselo dát až pod estabilished, related... a pokud by se dalo nahoru, jaké porty bych tam měl ještě povolit? 123 UDP na čas? a co nějaké aktualizace Mikrotiku? Abych mu je tím také nezaříznul? Zvenku na administraci Mikrotiku chodit nemusím. To dělám třeba přes vzdálenou plochu z místní LAN.
Děkuji moc


Re:Mikrotik - jaké porty povolit ve firewallu
« Odpověď #1 kdy: 22. 01. 2022, 15:08:59 »
pokud mas jako prvni established/related, tak nemusis resit odpovedi na dotazy vznesene z tvy site/mikrotiku.
pak budou dst naty pro portforwarding
a pak firewalling.

a pokud se bojis, ze se odriznes, tak si prihod jeden port, na kterej staci zaklepat a adresa ze ktery na nej zaklepes se z firewallu vykopne. (to pravidlo musi bejt samozrejme na zacatku firewallu)

samozrejme to bude chtit poladit, odzkouset, ale melo by to makat.

Re:Mikrotik - jaké porty povolit ve firewallu
« Odpověď #2 kdy: 22. 01. 2022, 17:46:45 »
Ahoj, díky moc.
Zkusil jsem to dát pod defaultní pravidla Mikrotiku accept - estabilished, related, untracked a drop - invalid. Zdá se, že to funguje. Až na to, že blacklist se docela rychle plní. Ještě zvažuji, že bych to rozdělil na porty 1 - 10000 a tam dal jen drop. A pod to ten zbytek - ten by se dával do blacklistu, aby pokud by se někdo začal vrtat v těch vyšších portech postupně nedošel k těm NATovaným. Odmítne ho to pak hned v Raw po prvním pokusu.
Dal bych tam 1 - 10000 TCP i UDP. To co by náhodou prošlo, se pak chytne na drop negace LAN od Mikrotiku.

Re:Mikrotik - jaké porty povolit ve firewallu
« Odpověď #3 kdy: 23. 01. 2022, 09:37:48 »
Tak jsem nakonec udělal Blaclisty dva (A a B). Do A se dávají IP s TCP porty 0-19000, 29000-65535 a úplně všechny UDP (já UDP jenom odesílám, nikoliv přijímám) a v blaclistu je to jen pár minut - hodin (odladí se). Do blaclistu B se dávají všechny porty mezi tím kromě definovaných. To je ohroženější, tak v něm adresy budou 3 dny.
Mám ale ještě jeden dotaz, všiml jsem si, že na můj Mikrotik pravidelně chodí UDP na 5678 z nadřazeného routeru (vnitřní adresy) na vysílači poskytovatele a pak ještě jeden z defaultní adresy 192.168.88... to je odněkud ze sousedství.
Dočetl jsem se, že to je nějaké hledání sousedů Mikrotiku. Chci se zeptat, můžu to s klidným svědomím zařezávat? Souseda klidně, ale jde mi hlavně o tu adresu vysílače poskytovatele. Aby nebyl problém s tím, že celá adresa nadřazeného routeru poskytovatele se dropne hned v Raw:-))

Vilith

  • *****
  • 658
    • Zobrazit profil
Re:Mikrotik - jaké porty povolit ve firewallu
« Odpověď #4 kdy: 23. 01. 2022, 09:55:32 »
Osobně bych si udělal VPNKu zvenku dovnitř a nic zevnitř nemapoval ven.

Pak už stačí zvenku povolit jen port VPNky a nějaké porty typu SSH/HTTP/HTTPS - pokud jsou potřeba - a vše ostatní zahazovat

Nebo potřebuješ analyzovat kdo na tebe "útočil"?


Re:Mikrotik - jaké porty povolit ve firewallu
« Odpověď #5 kdy: 23. 01. 2022, 12:45:39 »
Ahoj, děkuji za názor. Analyzovat nepotřebuji nic, útočí kdekdo a na jakýkoliv router na internetu téměř neustále:-)
Zabezpečení, tak jak to mám vymyšlené mi příjde dostatečné. Skenovač by opravdu musel začít a trefit se napoprvé zrovna do toho definovaného portu. Jakmile zkusí jakýkoliv jiný, zahodí ho to a dá na blacklist. A díky Raw ho to zahodí i kdyby se hned na druhý pokus trefil do čísla toho NATovaného portu. To je několikanásobně vyšší zabezpečení než třeba PIN k bankovní kartě:-)
VPN - zkoušel jsem Open VPN, asi dělám něco špatně ale i se všemi certifikáty apod. se mi to nepovedlo rozchodit tak, aby to bylo naprosto a trvale bez chyb (chybové hlášky, vypadávání spojení atd...). Navíc, stejně by byl otevřený ten port VPN a jsme zase u toho původního.... opět stejný firewall, jako mám teď... navíc, svoje zařízení a i jejich další zabezpečení (hesla apod.), která jsou na těch portech už znám. Vím co od nich mohu čekat, kde je nějaká slabost. O VPN a jeho dírách nevím naprosto nic....a určitě také nějaké budou, díry má všechno... Za druhé, nepřipadá mi moc bezpečné se zvenku do vnitřní sítě připojovat třeba NTB, kterým se leze všude možně po netu...i když občas to na tom místě také dělám, ale moc košér to není. Takhle se připojím jen k jednomu danému portu / službě.  Opět, aby ta VPN byla bezpečná musely by se nadefinovat další pravidla kam všude VPN host může atd...  tím je firewall jenom složitější a složitější... Už teď tam na routeru mám dvě oddělené LAN, teď by musela být ještě třetí.
Dobrý je prý WireGuard VPN...ale ten je u Mikrotiku jenom ve vývojové verzi SW.. nechce se mi moc ze stable (kterou pravidelně aktualizuji) přecházet na vývojovou. 

Re:Mikrotik - jaké porty povolit ve firewallu
« Odpověď #6 kdy: 23. 01. 2022, 20:08:20 »
No, já mám na svém serveru u poskytovatele (kde mám svoe Weby a mail) i VPNku (SSTP) - ale lze i OpenVPN, na Linuxu chodí bezvadně, jen ty certifikáty ..

No a na MK pak mám povolen přístup z venku právě jen z té svojí IP adresy serveru.
Takže, chci-li něco dělat na MK, vytočím svojí VPN a už mě bude MK akceptovat, bez VPN mám nějakou IP a tak to vesele zahazuje ... to se mi zatím jeví jako nejbezpečněší způsob, než něco otevírat do internetu, co nepotřebuju ... hlavně ne port 8291!

Re:Mikrotik - jaké porty povolit ve firewallu
« Odpověď #7 kdy: 26. 01. 2022, 20:37:27 »
Ahoj, díky za reakci. Já nepotřebuji přistupovat zvenku do Mikrotiku (8291), jde mi o dstnat do LAN.

Ten firewall (pravidla) jak jsem psal už celkem po odladění běhá... v blaclistu je permanentně asi 350 adres a router to ani nijak nevytěžuje. Ještě zvažuji místo "prvního" dropování při zápisu na blacklist nastavit trápit:-) (tarpit), prý to útočníka navíc trochu zpomalí, protože router chvilku paket drží, než ho zahodí. To by mohlo být dobré při útoku - zahlcení spoustou požadavků najednou. Druhé dropování při dalších pokusech v Raw už by bylo normálně drop.
Co si o tom myslíte?

A dále, na router mi stále chodí ty UDP pakety z vysílače poskytovatele - je to na portech 5678 - to je to hledání sousedů Mikrotiku a na 67 > 68. To je DHCP? Můj router je u poskytovatele jako DHCP klient, ale on mu přiděluje stále stejnou adresu a směruje na ní tu veřejnou IP. Všechny tyto pakety zatím končí drop (defaultní pravidlo MIkrotiku), ale nevím, jestli bych to neměl povolit, aby to prošlo? Je zvláštní, že i přesto to DHCP funguje a i poskytovatel mi říkal, že tam můj router vidí... tak nevím...