Налаштування фільтраціїтрафіку на Mikrotik

З моменту появи мережі Інтернет багаторазово зросла. Також багаторазово збільшилися такі показники мережі, як ресурси, швидкості обміну інформацією, швидкості підключення. Однак разом із зростанням корисних ресурсів багаторазово зросли ризики крадіжки інформації, використання ресурсів не за призначенням та інші небезпеки. Таким чином, кожен системний адміністратор щодня стикається з питаннями захисту ресурсів, що обслуговуються.

Особливості роботи файрвола

Для базового розуміння роботи файрвола необхідно ознайомитися з поняттями ланцюжка (chain), стану з'єднання (connection state), умови та дії (action).

Ланцюжки (chain)

При фільтрації трафік, залежно від свого призначення, потрапляє в один з ланцюжків (chain) обробки трафіку. У фільтрі визначено три основні ланцюжки:

  • input вхідний трафік призначений для маршрутизатора. Наприклад, коли ви підключаєтеся до маршрутизатора за допомогою winbox, трафік якраз потрапляє в цей ланцюжок.
  • output Вихідний трафік. Трафік, який створюється самим маршрутизатором. Наприклад, якщо ви виконаєте команду ping безпосередньо з самого маршрутизатора, трафік потрапить у цей ланцюжок.
  • forward Трафік, що йде через маршрутизатор. Наприклад, якщо комп'ютер з локальної мережі встановив з'єднання із зовнішнім сайтом, цей трафік потрапляє в ланцюжокforward.

Таким чином ми бачимо, що для захисту самого маршрутизатора необхідно використовувати ланцюжокinput, а для захисту та фільтрації трафіку між мережами необхідно використовувати ланцюжокforward.

Крім того, адміністратор має можливість створювати свої власні ланцюжки обробки трафіку, до яких можна звертатися.основних ланцюжків. Ця можливість буде розглянута надалі.

Стан з'єднання (connection state)

Кожне з мережевих з'єднань Mikrotik відносить до одного із 4 станів:

  • New – Нове з'єднання. Пакет, що відкриває нове з'єднання, не пов'язане з вже наявними мережевими з'єднаннями, оброблюваними зараз маршрутизатором.
  • Established – Існуюче з'єднання. Пакет відноситься до вже встановленого з'єднання, що обробляється в даний момент маршрутизатором.
  • Related – Пов'язане з'єднання. Пакет, який пов'язаний із існуючим з'єднанням, але не є його частиною. Наприклад, пакет, який починає з'єднання передачі даних у FTP-сесії (він буде пов'язаний з керуючим з'єднанням FTP), або пакет ICMP, що містить помилку, що надсилається у відповідь на інше з'єднання.
  • Invalid – Маршрутизатор не може співвіднести пакет з жодним з перерахованих вище станів з'єднання.

Виходячи з вищевикладеного, ми бачимо, що хорошим варіантом налаштування фільтрації пакетів буде наступний набір умов:

  • 1. Обробляти нові з'єднання (connection state = new), приймаючи рішення про пропуск або блокування трафіку.
  • 2. Завжди пропускати з'єднання в стані established і related, оскільки рішення про пропуск цього трафіку було прийнято на етапі обробки нового з'єднання.
  • 3. Завжди блокувати трафік, для якого стан з'єднання дорівнює invalid, тому що цей трафік не відноситься до жодного з з'єднань і фактично є паразитним.

При проходженні пакета через фільтр маршрутизатор послідовно перевіряє відповідність пакета заданим умовам, починаючи від правила, розташованого першим. і послідовноперевіряючи пакет на відповідність правилам номер два, три і так далі, доки не відбудеться одна з двох подій:

1.Пакет відповідатиме заданій умові. При цьому спрацює відповідне правило, в якому ця умова була задана, після чого обробку пакета буде завершено.

2.Закінчиться всі умови і пакет не буде визнаний відповідним жодному з них. При цьому за умовчанням його буде пропущено далі.

З п.2, не можна не відзначити, що є дві стратегії побудови фільтра пакетів:

1.Нормально відкритий файрвол. Цей тип налаштування можна визначити як «Все дозволено, що не заборонено». При цьому ми забороняємо проходження лише деяких типів трафіку. Якщо пакет не відповідає цим типам, він буде пропущений. Зазвичай даний тип файрвола характерний для місць, де не висуваються високі вимоги до безпеки користувачів, а трафік може бути найрізноманітнішим і не піддається жорсткій кваліфікації. Таке налаштування характерне для операторів зв'язку (Інтернет-провайдерів), відкритих точок доступу, домашніх маршрутизаторів.

2.Нормально закритий файрвол. Цей тип налаштування можна визначити як «Все заборонено, що не дозволено». При цьому дозволяється проходження лише певних типів трафіку, а останнім правилом у файрволі є правило, що забороняє проходження будь-якого типу трафіку. Такий тип налаштування файрволу характерний для корпоративного використання, де є жорсткі вимоги до безпеки.

Не можу сказати, що якась із стратегій є правильною, а якась неправильною. Обидві стратегії мають право на життя, але кожна – за певних умов.

Тепер розпишемо всі варіанти умов, на підставі яких ми можемо приймати рішення про дію.