Re: [uanog] mikrotik enough firewall rules

13 Feb 2019


      В конечном итоге, имеет смысл творчески осмыслить дефолтные правила, а также

https://wiki.mikrotik.com/wiki/Drop_port_scanners
https://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking

и можно делать отстрел неудачных попыток установления соединения (для 
постоянных соединений) типа такого (ну и обязательно менять стандартные 
порты на любые другие)

add comment="5 rules to drop ssh brute forcers" chain=input action=drop 
protocol=tcp src-address-list=ssh_blacklist dst-port=22 log=no log-prefix=""
add chain=input action=add-src-to-address-list connection-state=new 
protocol=tcp src-address-list=ssh_stage3 address-list=ssh_blacklist 
address-list-timeout=1w3d dst-port=22 log=no log-prefix=""
add chain=input action=add-src-to-address-list connection-state=new 
protocol=tcp src-address-list=ssh_stage2 address-list=ssh_stage3 
address-list-timeout=1m dst-port=22 log=no log-prefix=""
add chain=input action=add-src-to-address-list connection-state=new 
protocol=tcp src-address-list=ssh_stage1 address-list=ssh_stage2 
address-list-timeout=1m dst-port=22 log=no log-prefix=""
add chain=input action=add-src-to-address-list connection-state=new 
protocol=tcp address-list=ssh_stage1 address-list-timeout=1m dst-port=22 
log=no log-prefix=""
add comment="Accept SSH" chain=input action=accept protocol=tcp 
dst-port=22 log=no log-prefix=""

On 12/17/18 5:30 PM, Victor Cheburkin wrote:
...
Hi!
Вот так чтобы best practice чтобы оно охватывало, по сути, трафик кучи 
openvpn (который на mikrotik кастрирован), боюсь что и не будет.
Самый best practice, по-моему (хотя я не очень специалист) - 
дефолтовый конфиг + набор разрешающих правил и адрес-листов к ним, 
остальное отсечется правилами 7 и 11. Думаю, конкретно в твоем случае, 
возможно, нужен адрес лист для 5 правила.
Еще, возможно, стоит посмотреть в настройках IP на тему RP Filter, 
accept redirect, tcp syn cookies.
И учти, что некоторые фишки с fasttrack несовместимы, к примеру -- 
ограничение траффика.
Думаю, ты и сам все это уже сделал, но раз очень просишь, то вот ;-)
...
17 дек. 2018 г., в 15:26, Volodymyr Litovka mailto:doka.ua@gmail.com> написал(а):
Привіт,
Що, немає best practices?
On Sat, Dec 15, 2018, 01:00 Volodymyr Litovka mailto:doka.ua@gmail.com wrote:
Привет,
подскажите, пожалуйста, свои best practices для защиты локальной
    сети на
    _пакетном уровне_. Есть микрот, подключенный к инету, который строит
    несколько VPN-линков к удаленным площадкам. Локальная сеть ходит в
    интернет через WAN (ether1) и на удаленные площадки - через
    VPN-линки.
    NAT настроен на out-interface:ether1, трафик по VPN-линкам не
    натится.
На микроте есть вот такие правила фильтров (бОльшая их часть -
    default
    rules, я добавил только правила 4,5,6) и у меня вопрос -
    достаточно-ли
    этого, чтобы быть более-менее спокойным относительно пакетной
    безопасности локальной сети? То есть, фактически: input безусловно
    разрешает только ICMP и SSH, ограничивает winbox внутренними
    портами,
    остальное - рубится. Форвард на WAN-интерфейсе - только для
    соединений,
    инициированных изнутри. Форвард с VPN-линков не регулируется.
    Посоветуйте, нужно-ли и, если да, то как эти правила можно
    допараноить
    :) Мне оно выглядит вроде достаточным, но я херовый безопасник :)
Спасибо.
  0  D ;;; special dummy rule to show fasttrack counters
           chain=forward action=passthrough
  1    ;;; defconf: accept established,related,untracked
           chain=input action=accept
    connection-state=established,related,untracked
  2    ;;; defconf: drop invalid
           chain=input action=drop connection-state=invalid
  3    ;;; defconf: accept ICMP
           chain=input action=accept protocol=icmp
  4    ;;; Allow SSH from everywhere
           chain=input action=accept protocol=tcp dst-port=[...] log=no
    log-prefix=""
  5    ;;; Allow OSPF on VPN links only
           chain=input action=accept protocol=ospf in-interface-list=VPN
    log=no log-prefix=""
  6    ;;; Allow Winbox on LAN/VPN only
           chain=input action=accept protocol=tcp in-interface-list=LAN
    dst-port=[...] log=no log-prefix=""
  7    ;;; defconf: drop all
           chain=input action=drop log=no log-prefix=""
  8    ;;; defconf: fasttrack
           chain=forward action=fasttrack-connection
    connection-state=established,related
  9    ;;; defconf: accept established,related, untracked
           chain=forward action=accept
    connection-state=established,related,untracked
10    ;;; defconf: drop invalid
           chain=forward action=drop connection-state=invalid
11    ;;; defconf:  drop all from WAN not DSTNATed
           chain=forward action=drop connection-state=new
    connection-nat-state=!dstnat in-interface-list=WAN
-- 
    Volodymyr Litovka
       "Vision without Execution is Hallucination." -- Thomas Edison
_______________________________________________
uanog mailing list
uanog@uanog.kiev.ua mailto:uanog@uanog.kiev.ua
https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
-- 
Victor Cheburkin
VC319-RIPE, VC1-UANIC
-- 
Volodymyr Litovka
   "Vision without Execution is Hallucination." -- Thomas Edison