Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Mikrotik firewall ochrana DOS
Mikrotik firewall ochrana DOS
Poradi mi nekdo s nastavenim mikrotik firewallu.. Potrebuju ochranu proti tem DDos utokum scanerum atd... Jaka pravidla nastavit? Mel jsem z wikipedie nejaka pravidla na ochranu ale brzdilo to hrozne otvirani stranek....
0 x
Nevím co máš za MT, proč zde není konfigurace FW, jak ti má někdo pomoci ?
Jjá jako člověk znalý sítí jen tak co potřebuji jsem vycházel z tohoto článku:
http://stavba.web-systemy.net/index.php ... nfigurace/ - jednotlivá pravidla jsou tam pěkně popsaná
+ mi zde jedem človíček doplnil FW o nějaká pravidla
Záleží co od toho chceš, ale je dobré to zabezpečit i vypnutím všeho nepotřebného:
- vypnout porty / služby co nepoužíváš
- já úplně vypnul uživatele admin (předtím vytvoř jiného s právy admina)
- administraci mám jen z Winboxu, na specifickém portu (ne na tom původním), zvenku vše blokováno (administrace atd.), z jedné IP, po specifickém VLANu
- zvenku se mohu připojit do sítě JEN po VPN, do MT nikdy
Je to pomalé ?
- špatně srovnaná pravidla ve FW "Jen efektivním seřazením pravidel lze RouterBoardu značně ulevit. Snahou dobře napsaného firewallu je, aby většina provozu byla vyřízena co nejméně pravidly. V případě výchozí konfigurace je např. až 99% příchozí komunikace (INPUT)vyřízeno jen dvěma pravidly."
viz. http://i4wifi.blog.cz/1606/top-10-nejca ... krotik-1-2
Jjá jako člověk znalý sítí jen tak co potřebuji jsem vycházel z tohoto článku:
http://stavba.web-systemy.net/index.php ... nfigurace/ - jednotlivá pravidla jsou tam pěkně popsaná
+ mi zde jedem človíček doplnil FW o nějaká pravidla
Záleží co od toho chceš, ale je dobré to zabezpečit i vypnutím všeho nepotřebného:
- vypnout porty / služby co nepoužíváš
- já úplně vypnul uživatele admin (předtím vytvoř jiného s právy admina)
- administraci mám jen z Winboxu, na specifickém portu (ne na tom původním), zvenku vše blokováno (administrace atd.), z jedné IP, po specifickém VLANu
- zvenku se mohu připojit do sítě JEN po VPN, do MT nikdy
Je to pomalé ?
- špatně srovnaná pravidla ve FW "Jen efektivním seřazením pravidel lze RouterBoardu značně ulevit. Snahou dobře napsaného firewallu je, aby většina provozu byla vyřízena co nejméně pravidly. V případě výchozí konfigurace je např. až 99% příchozí komunikace (INPUT)vyřízeno jen dvěma pravidly."
viz. http://i4wifi.blog.cz/1606/top-10-nejca ... krotik-1-2
0 x
Vím co je proud a napětí. Tudíž tuším co je "1" a co "0". Přečetl jsem si co je TCP/IP na wiki. Tak berte mé příspěvky podle toho :-)
RB760iGS, RBcAPGi-5acD2nD
RB760iGS, RBcAPGi-5acD2nD
Hlavně je potřeba si uvědomit, že ten mikrotik může zablokovat paket jen v případě, že ho přijme. No to je v případě DDoS už pozdě. Sice se ochrání síť, ale router ne. Ten to většinou neustojí. A pokud ustojí, tak to neustojí uplink.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
ludvik píše:Hlavně je potřeba si uvědomit, že ten mikrotik může zablokovat paket jen v případě, že ho přijme. No to je v případě DDoS už pozdě. Sice se ochrání síť, ale router ne. Ten to většinou neustojí. A pokud ustojí, tak to neustojí uplink.
Aha jak to mam teda udelat ochrana by tam mela byt mam poslat kofiguraci ?
0 x
Nijak. Stejně tomu nezabráníš. Na to nemáš výkon, ani možnosti. Jen si to zaplácáš tak, že tomu sám nebudeš rozumět a výkon půjde do pryč.
Spíš se soustřeď na to ostatní. Třeba jak se nestat součástí botnetu. Implementovat BCP38. Zakázat přístup z internetu na porty UDP 123 a 53 (samozřejmě kromě oprávněných případů) a pro jistotu i 17 a 19.
Ochraň si vlastní služby. Povolení jen z míst, odkud to má smysl (tedy ssh, winbox, snmp, api a obecně management komplet). Základní ochranu třeba SSH tu lze dohledat.
Spíš se soustřeď na to ostatní. Třeba jak se nestat součástí botnetu. Implementovat BCP38. Zakázat přístup z internetu na porty UDP 123 a 53 (samozřejmě kromě oprávněných případů) a pro jistotu i 17 a 19.
Ochraň si vlastní služby. Povolení jen z míst, odkud to má smysl (tedy ssh, winbox, snmp, api a obecně management komplet). Základní ochranu třeba SSH tu lze dohledat.
1 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
ludvik píše:Nijak. Stejně tomu nezabráníš. Na to nemáš výkon, ani možnosti. Jen si to zaplácáš tak, že tomu sám nebudeš rozumět a výkon půjde do pryč.
Spíš se soustřeď na to ostatní. Třeba jak se nestat součástí botnetu. Implementovat BCP38. Zakázat přístup z internetu na porty UDP 123 a 53 (samozřejmě kromě oprávněných případů) a pro jistotu i 17 a 19.
Ochraň si vlastní služby. Povolení jen z míst, odkud to má smysl (tedy ssh, winbox, snmp, api a obecně management komplet). Základní ochranu třeba SSH tu lze dohledat.
Nezabranim to je pravda protoze utoky se prave nedelaji zvenku ale zevnitr site. Ano mam blokovane porty co nechci at odesilaji info ale chci i ochranu proti prulomu zvenci. Dneska jakkykoliv maly cerv trojan naprogramovany, ze nic v pc nemaze otestuje sit otevrene porty zajisti komunikaci s utocnikem sam vyhleda otevrene spojeni a uz frci a odesila data vcetne citlivych dat hesel atd...TO je Obrovsky problem a antivir se tvari ze nic se nedeje jeste no pouzivam aspon trochu lepsi nez wind firewall tu comodo ta dokaze lepsi filtrovat provoz vcetne dat pro microsoft ktery pouziva podobny system k monitorovani svych ovecek ze tajne odesila potrebna data do microsoftu proto je tak jednoduche okna napadnou trojanem jenom pouziji uz spustene sluzby microsoftu...NO to je dlouhe povidani ale poradte co mam vtom mikrotiku aktivovat at mam aspon trochu ochranu a nebrzdi mi to otevirani stranek? Chlapy export uz jsem poslal
0 x
Asi bude nejlepší si zaplatit někoho kdo tomu rozumí ...
Já když si pořídil MT - jen jako domácí router, takže levný,
jsem ho testoval vedle mého starého routeru asi půl roku.
Ale jsou i střelci co to zfleku nasadí při poskytování internetu.
Já když si pořídil MT - jen jako domácí router, takže levný,
jsem ho testoval vedle mého starého routeru asi půl roku.
Ale jsou i střelci co to zfleku nasadí při poskytování internetu.
0 x
Vím co je proud a napětí. Tudíž tuším co je "1" a co "0". Přečetl jsem si co je TCP/IP na wiki. Tak berte mé příspěvky podle toho :-)
RB760iGS, RBcAPGi-5acD2nD
RB760iGS, RBcAPGi-5acD2nD
pavel1tu píše:Asi bude nejlepší si zaplatit někoho kdo tomu rozumí ...
Já když si pořídil MT - jen jako domácí router, takže levný,
jsem ho testoval vedle mého starého routeru asi půl roku.
Ale jsou i střelci co to zfleku nasadí při poskytování internetu.
Zaplatit a kde a koho mi ukaz?
0 x
U nikoho. Mikrotik nic takového neumí, něco umí různé IPS/UTM firewally, ovšem stejně to není všespásné a i pro domácí síť to budou náklady v desítkách tisíc.
Proti DDoS se lze ochránit jen těžko - jak už zde padlo, neustojí to router nebo linka, je to i dobrý důvod k tomu weby a podobné věci vystěhovat někde na hosting
Proti červům a útokům zevnitř se těžko brání routerem, moc se v tom nechytají ani ta enterprise řešení. Ideálně do sítě připojovat jen rozumně zabezpečená zařízení (a cizí zařízení do jiné vlan).
Proti DDoS se lze ochránit jen těžko - jak už zde padlo, neustojí to router nebo linka, je to i dobrý důvod k tomu weby a podobné věci vystěhovat někde na hosting
Proti červům a útokům zevnitř se těžko brání routerem, moc se v tom nechytají ani ta enterprise řešení. Ideálně do sítě připojovat jen rozumně zabezpečená zařízení (a cizí zařízení do jiné vlan).
1 x