Mikrotik — Защита по внешнему периметру. (пара не явных кейсов)


Решил я тут на досуге немного заняться безопасностью домашнего Mikrotik’а, несколько кейсов этого процесса решил поведать Вам. фаерволы на ESTABLISHED, RELATED наверное пожалуй умеют все настраивать, по этому в такие мелочи вдаваться не буду. Осветим сегодня несколько не явный функционал:

Задача 1: Скрыть оборудование от посторонних глаз.
После непродолжительного анализа пакетов на внешнем интерфейсе микротика, легко обнаружить, что это очень общительное устройство которое готово дать каждому мимо проходящему всю информацию о себе.

 

Чтобы не «палить» модель устройства, используемый порт, версию ОС и т.п. во внешку, обязательно надо отключить на внешние интерфейсы Neighbor. Ну действительно, зачем соседям по свичу это знать?

Заодно неплохо-бы сменить на внешнем интерфейсе MAC:

/interface ethernet set ether2-xxxx mac-address=xxx

Помимо этого в последних версиях RourerOS есть службы администрирования железки по L2 — MAC Server (winbox, telnet, ping), их неприменно нужно отключать на внешних интерфейсах! т.к. они работают в обход фаерфола и им не контролируются.

Задача 2: Проверить состав трафика на внешнем интерфейсе.

Как показывает практика, мало кто действительно досконально изучает исходящий от системы трафик, а зря! Пакет-флоу у Микротика не идеален, и ему порой свойственны глюки.

Недавно анализируя трафик я обнаружил что брутальное правило:

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether2-****

попросту не работает на некоторые пакеты, и в интерфейс ether2-**** порой сыпят пакеты с адресами внутренней сети. В процессе бессонной красноглазной ночи глюк был локализован, и странно то, что он заключался в том что некоторые пакеты два раза маркировались метками роутинга в таблице Mangle Prerouting, которая по логике вещей никак не должна влиять на правила SRC-NAT в Postrouting.

Проводить анализ на внешних интерфейсах удобно утилитой Wireshark. Микротики уже некоторое время как умеют снифить пакеты на интерфейсе, упаковывать их в обертку Tazmen Sniffer Protocol, и высылать на указанный IP адрес в настройках хедер или целиком весь пакет.
Причем, если стрим запущен, он будет работать до тех пор, пока его не остановят. Открыт ли при этом Winbox не имеет значения… при этом можно настроить фильтры на трафик посылаемый для анализа очень удобно!

В результате в Wireshark мы получаем все необходимые, и анализируем их так-как будто мы злоумышленник пытающийся получить данные о системе и трафике.
Я по причине своей параноидальности, стараюсь не передавать во внешний мир никаких открытых данных. Весь передаваемый трафик сугубо зашифрован, тунели проложены до защищенных зон, которые занимаются маршрутизацией моего трафика.

Как результат, мой трафик не представляет для кулхацкеров никакого интереса:

Конечно такой безопасности канала зачастую добиться сложно, по этому-как часть трафика приходится выпускать открыто. Я смог сократить список открытого трафика до всего одного вида: торрентов в Российском сегменте. Перехват этого вида трафика ничем опасным не грозит, а MITM-атаки и подавно поскольку у каждого параноика торрент-клиент находится в изолированной виртуалке  dash

И очень удобно то что Wireshark сразу де-инкапсулирует трафик до той степени насколько это вообще возможно:

На этом фоне засилия ESP и небольшого числа торрент пакетов, очень весело смотрятся попытки соседских маршрутизаторов подружится и сообщить о себе разные данные  laugh

Запомните: канал параноика отличается не-читабельностью его трафика!  crazy Хорошей практикой является количество открытых данных без шифрования — менее 1%.

Добавить комментарий