воскресенье, 8 января 2017 г.

Защита Mikrotik. Часть 2: Мания преследования.

  В дополнение к основной статье Защита WAN-интерфейса в Mikrotik хочется отметить несколько важных моментов в безопасности вашего маршрутизатора. Описанные тут пункты не имеют критически важное значение в защите роутера Mikrotik, но, в комплексе, помогают защитить маршрутизатор еще лучше. Я специально буду продолжать пункты, описанные в предыдущем материале, что бы подчеркнуть - эта статья является продолжением и дополнением первой и отдельно рассматриваться не может.
  Не смотря на запрещающее правило в пункте 13 ("add action=drop chain=input comment=Drop_all_WAN in-interface=ether1-velton")  в конце первой статьи, рекомендую проверить активность сервисов. Если какой-то сервис не используется - в целях безопасности его отключить.

14) Проверяем сервис SNMP в IP/SNMP. По-умолчанию он выключен. Если мы его не используем - проследите что-бы не стояла галочка Enabled. Если используем - позаботитесь о его защите.



15) Аналогично с сервисом RoMon (Tools/RoMon) - нечего светить лишнее в сети. По-умолчанию он тоже отключен.


16) Если вы используете  NTP-сервер, проследите что-бы порт 123/UDP снаружи был закрыт. Если вы используете общее запрещающее правило как в пункте 13 - доп. правило для этого порта писать не нужно.

17) Если вы не используете общее запрещающее правило, то при включении галочки Allow Remote Requests в DNS Settings ваш роутер будет отвечать на все ДНС-запросы со всех интерфейсов. Именно поэтому очень часто многие админы сталкиваются с днс-флудом на внешнем интерфейсе. Обязательно используем запрещающее правило для закрытия этой уязвимости:
/ip firewall filter
add chain=input action=drop protocol=udp in-interface=ether1 dst-port=53


18) Если вы используете доступ на веб-интерфейс из-вне, вы ОБЯЗАТЕЛЬНО должны ограничить по подсетям или отключить сервис http - как не безопасный протокол. Вместо него нужно использовать https с самоподписанным SSL-сертификатом и нестандартным портом. Как это реализовать описано в статье Подключение к веб-интерфейсу Mikrotik используя ssl протокол.




  Нужно помнить - если вы добавите графики и не ограничите их отображение по подсетям, то любой человек сможет увидеть движение трафика по интерфейсам.





19) В Tools/MAC Server отключаем Mac Ping Server. Это отключит отклик устройства при пинге через MAC-ping.
/tool mac-server ping set enabled=no




20) MAC-адрес содержит информацию о производителе устройства. В первых шести символах  MAC-адреса имеется информация о вендоре (производителе) устройства. Определив производителя злоумышленник может подобрать метод взлома. Например, 00:00:0C - Cisco Systems, Inc. Поэтому рекомендуется изменить MAC-адрес нашего роутера на внешнем интерфейсе.
/interface ethernet set ether1 mac-address=XX:XX:XX:XX:XX:XX
  Следует помнить, что изменяя MAC вы можете спровоцировать конфликт, поэтому будьте осторожны. Я использую MAC устройств, которые врятли появятся у меня в сети, например 9C:93:4E - Xerox Corporation. Посмотреть информацию по физическим адресам  разных вендоров можно тут:
  Изменив MAC-мы запутаем взломщика, а значит это плюс к безопасности. В сети есть материал, где человек придумал скрипт, который периодически меняет MAC на WAN-интерфейсе. Эта схема будет работать, если у вашего провайдера нет привязки на физический адрес.

21) Что-бы защитится от "подмены аплинка", а именно, защитить свой маршрутизатор от злоумышленника, который вмешается в сеть L2 между вами и провайдером и захочет "хакнуть" ваше устройство можно на WAN-порту поставить опцию опцию ARP "reply only" и занести MAC-адрес провайдерского конечного устройства в таблицу ARP интерфейса. Тем самым злоумышленнику будет не достаточно просто ввести IP, ему нужно будет еще подобрать MAC для связи с вашим роутером. Это делается командой
/interface ethernet set ether1 arp=reply-only
  Стоит учитывать - при такой схеме, если провайдер поменяет оборудование - вам придется внести новый MAC провайдера в ARP-таблицу WAN-интерфейса, иначе связи не будет.


22) Периодически делайте ревизию Discovery-интерфейсов (смотри пункт 3 первой статьи). Дело в том, что созданные новые интерфейсы (pptp, l2tp и любые другие) автоматически попадают в Neighbor Discovery - и остаются там активные, пока вы их не отключите. А это - информация всем на интерфейсе о модели устройства, о версии OS, о MAC и IP адресах,об UpTime, наличии IPv6 и прочее.



23) Если говорить о Neighbor, то при отключении Discovery-интерфейсов невозможно посмотреть информацию об других устройствах на этом интерфейсе. А очень бы хотелось свою информацию скрыть, а информацию об соседних устройствах иметь. Для этого не достаточно добавить запрещающее правило udp с портом 5678 на ван-интерфейс
/ip firewall filter add chain=output action=drop protocol=udp dstport=5678 out-interface=ether1 
  Neighbor использует не только UDP, но и L2 протокол CDP/VDP, а это значит заблочить его Firewall невозможно.


Нужно либо полностью отключать службу Neighbors на интерфейсе командой
 /ip neighbor discovery set ether1 discover=no
 либо фильтровать исходящий L2 трафик на предмет MNDP-пакетов с помощью bridge filters. Например, вот так:
/interface bridge filter add action=drop chain=output disabled=no dst-mac-address=01:00:0C:CC:CC:CC/FF:FF:FF:FF:FF:FF out-interface=ether1

Так же в 6.38 наконец-то добавлена поддержка открытого протокола LLDP. Поэтому если не хотим отключать Discovery на WAN - рассылку мультикаст на MAC, согласно картинке, тоже запрещаем.

24) Не используйте службу FTP, встроенную в Mikrotik без ограничений по подсетям! При Telnet-подключении все наблюдают такое приглашение: "220 MikroTik-951 FTP server (MikroTik 6.38) ready". А это значит мы можем показать злоумышленнику производителя, модель устройства и его версию RouterOS. Кроме того, при взломе ftp-аккаунта злоумышленник сможет скопировать бекап и вытянуть пароль, выполнить файл  типа rsc.auto, загрузить свои пакеты типа "system" и прочее.

25) Если роутер стоит в помещении, где могут находится посторонние люди и в нем есть LCD-дисплей с сенсорным вводом (например как в RB2011), то желательно его отключить - дабы не смущать своим видом людей, мало-ли кто-то захочет потыкать туда пальчиком.




26) Последний пункт является информационным. В Mikrotik есть возможность спрятать информацию о системе которая передается в пакетах TCP - заголовках пакета, опциях, информации об ОС ваших компьютеров и т.д. Это можно сделать и для транзитного трафика проходящего от вашего компьютера через Mikrotik в Интернет. Тем самым мы можем запутать злоумышленника. Для этого в Firewall есть несколько инструментов.



  • change-dscp - изменение значение поля DSCP (точка кода дифференцированных услуг), другим параметром new-dscp;
  • change-mss - изменение максимального размера сегмента пакета на значение, определенное параметром new-mss;
  • change-ttl - изменение значения "время жизни пакета" на значение, определенное параметром new-ttl;
  • clear-df - очищение флага "не фрагментировать";
  • strip-ipv4-options - очищение IPv4-опций из IP пакета.
  Настройка довольно тонкая и зависит от конкретного случая - материал отдельной статьи.



Используемый материал:

Подписаться на новые статьи.

Комментариев нет:

Отправить комментарий