Содержание статьи
- Неиспользуемые интерфейсы
- Discovery-протоколы
- Безопасность Winbox на L2
- DHCP Snooping
- Настройка файрвола
- Корректная обработка трафика
- Аккуратная работа с ICMP
- TTL Shift
- Риск DNS-флуда
- Drop All Other
- Динамическая маршрутизация
- Пассивные интерфейсы
- Криптографическая аутентификация
- Безопасность системы резервирования VRRP
- Проблема псевдобалансировки
- Безопасность дерева STP
- Осторожность при выборе STP Root
- Безопасность панели управления (MGMT)
- Защита RMI
- Защита учетных записей на оборудовании
- Выводы
info
Это ни в коем случае не полноценный мануал по безопасности сетей с MikroTik, и наоборот — не все из приведенных примеров применишь на другом оборудовании.
Надежно защитить сеть получится, только если понимать всю ее картину и уметь интегрировать функции безопасности так, чтобы они работали корректно и не нарушали нормальную работу. В этом и есть сложность сетевой безопасности. Сети — основа любых современных организаций, и к работе с ними нужно подходить осторожно.
Неиспользуемые интерфейсы
Одно из главных правил хорошего тона — выключать неиспользуемые интерфейсы. Это снижает вероятность несанкционированного подключения. Соблюсти это правило очень просто:
info
Все примеры я буду демонстрировать на RouterOS версии 7, последней на момент написания статьи.
Discovery-протоколы
Discovery-протоколы (DP) уязвимы к двум offensive-векторам:
- Information Gathering — атакующий может извлечь чувствительную информацию против оборудования, рассылающего DP в свои порты;
- Neighbor Table Overflow — атакующий может выполнить переполнение таблицы соседей в контексте протоколов CDP/LLDP, что перегружает процессор устройства, а это приводит к DoS. Атака основана на создании ложных DP-кадров и массовой рассылке с прицелом на порт RouterOS.
Лучшая практика — ограничить работу этих протоколов, то есть оставить их только на тех интерфейсах, где это необходимо. Тогда оборудование не будет лишний раз распространять информацию о себе там, где это не нужно.
Безопасность Winbox на L2
Winbox может работать на уровне L2, то есть сетевой инженер может обратиться к RouterOS, минуя сетевой уровень. За это отвечает именно MAC Winbox Server, позволяющий подключиться к Winbox без IP-адресации.
По умолчанию MAC Winbox Server доступен на всех интерфейсах, и это нехорошо. Для повышения безопасности рекомендуется разрешить использовать его только на определенных интерфейсах.
Пример: я разрешаю MAC Winbox Server только на внутреннем LAN-листе, где находится LAN-мост для работы внутри сети.
Разрешай MAC Winbox Server там, где тебе нужно.
DHCP Snooping
DHCP Snooping — это функция безопасности, которая предотвращает атаку DHCP Spoofing. Атака работает следующим образом: злоумышленник внутри сети поднимает ложный DHCP-сервер для последующей MITM-атаки. По DHCP может передаваться адрес шлюза по умолчанию, и этим адресом может быть хост атакующего.
DHCP Snooping работает по принципу доверенных и недоверенных портов. На недоверенных портах будут отслеживаться все DHCP-сообщения. Цель в том, чтобы проверить, сгенерированы ли они DHCP-сервером. Ведь если в пользовательском сегменте мы будем видеть сообщения вроде DHCPLEASEQUERY, DHCPOFFER и DHCPACK, то это однозначно аномалия и в пользовательской сети находится DHCP-сервер. На доверенных же портах все DHCP-сообщения будут считаться легитимными. Обычно доверенные порты настраиваются на соединениях между коммутаторами и маршрутизаторами, а недоверенные конфигурируются на портах, куда подключаются конечные станции (например, компьютер, принтер, точки доступа, VoIP).
info
Подробнее о защите от спуфинга ты найдешь в моей статье «Save Me. Защищаем сети от спуфинг‑атак».
В RouterOS DHCP Snooping включается именно на bridge, где все порты устройства уже будут считаться недоверенными. Но чтобы переключить нужный порт, тебе понадобится переходить в настройки самого интерфейса. DHCP Snooping требует вдумчивой настройки, в ходе которой нужно будет отталкиваться от особенностей инфраструктуры.
info
В DHCP Snooping может использоваться Option 82. Это возможность протокола DHCP, которая применяется для оповещения сервера DHCP о том, с какого порта поступил DHCP-запрос. Также передается информация об использовании DHCP Relay. Некоторые специфические сценарии требуют Option 82, так что при необходимости включай ее. На сайте MikroTik есть страница о настройке Snooping, где учтен сценарий с использованием «Опции 82».
Включаем DHCP Snooping на bridge:
Назначаем доверенный порт в контексте DHCP Snooping:
На этом конфигурация DHCP Snooping завершена, на недоверенных портах будут отсекаться служебные DHCP-сообщения, которые обычно используются именно DHCP-сервером. Поскольку при атаке злоумышленник должен навязать свой адрес в качестве шлюза сообщением DHCPOFFER, эти настройки помогают полностью предотвратить ее. Однако будь осторожен с настройками, чтобы не вызвать непреднамеренный DoS.
Настройка файрвола
Firewall в RouterOS — это подсистема, которая отвечает за обработку и фильтрацию всех пакетов. К настройке файрвола, на мой взгляд, должно быть особое отношение, потому что от нее зависит и производительность устройства, и уровень безопасности.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»
