В данной статье я хочу рассказать как повысить безопасность информационной инфраструктуры от внешних угроз.
Важно: предполагается что настройка производится "с нуля", поэтому выполняя данный перечень рекомендаций нужно учитывать уже имеющуюся конфигурацию, и разумеется сделать бэкап)
№0 Преднастройка
Для правильного функционирования сетевого экрана, вне зависимости от его конфигурации необходимо разрешить все соединения в состоянии ESTABLISHED, RELATED. Это поможет избежать проблем при выполнении данного перечня рекомендаций, а так же позволит снизить нагрузку на оборудование.
Для MikroTik необходимо создать два правила:
add action=accept chain=input connection-state=established,related
add action=accept chain=forward connection-state=established,related
Для iptables в таблицу filter добавить два правила:
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Важно! Данные правила должны быть всегда в самом верху, то есть обрабатываться самыми первыми.
№1 Заблокировать входящий трафик от потенциально опасных хостов и сетей
Если у вас уже есть список потенциально опасных хостов или сетей, необходимо произвести блокировку входящего трафика с данных адресов в цепочках INPUT и FORWARD
Для MikroTik:
Если имеется текстовый файл со списком адресов, то можно с помощью поточного текстового редактора sed сделать из него скрипт создания address list:
Далее необходимо загрузить файл blacklist.rsc в память маршрутизатора, в winbox выбрать File - Upload
Затем выполнить импорт адресного листа:
Теперь можно создать блокирующие правила:
add action=drop chain=input src-address-list=blacklist
add action=drop chain=forward src-address-list=blacklist
Для iptables:
Файл со списком адресов находится в /var/blacklist.txt
Необходимо создать bash-скрипт который поочередно поместит правила в цепочки INPUT и FORWARD:
blacklist=/var/blacklist.txt
IPT=/sbin/iptables
while IFS= read -r ip
do
$IPT -A INPUT -s $ip -j DROP
$IPT -A FORWARD -s $ip -j DROP
done < "$blacklist"
№2 Разрешить входящий трафик только от провайдеров РФ
Примечание: Только если не требуется доступ к ресурсам организации с территории иностранных государств
Скачать список в формате для MikroTik или Linux iptables accept соответственно, выбрав страну Russian Federation: https://www.ip2location.com/free/visitor-blocker
Для MikroTik:
Открыть файл текстовым редактором
Первой строкой прописать
add address=172.16.0.0/12 list=IP2Location
add address=192.168.0.0/16 list=IP2Location
Для этого необходимо удалить весь лист IP2Location, и затем выполнить его импорт заново
Создать два правила:add action=drop chain=input src-address-list=!IP2Location
add action=drop chain=forward src-address-list=!IP2Location
Данные правила следует поместить после правил в пункте №1
Для iptables:
В скачанном файле только правила для цепочки INPUT, поэтому создаем два скрипта и выполняем их:
chmod +x addinput.sh addforward.sh
./addinput.sh
./addforward.sh
№3 Настройка сетевого экрана по принципу: запрещено всё что не разрешено.
Для каждой организации должен быть индивидуальный подход относительно конфигурации сети. Поэтому главное понять сам принцип.
Необходимо провести исследование межсетевого взаимодействия в организации, выяснить из каких сетей в какие необходима маршрутизация, по каким протоколам и на какие порты (при необходимости), создать соответствующие разрешающие правила а в самом конце запретить всё двумя правилами:
Для MikroTik:
add action=drop chain=input
add action=drop chain=forward
-A FORWARD -j REJECT
В идеале у вас не должно быть запрещающих правил кроме описанных выше, а только разрешающие всё необходимое. Такой подход намного понятней, удобней и безопасней.
Приветствуются любые замечания и дополнения.