Povšiml jsem si, že při nakonfigurování mikrotiku jako běžný router LAN->WAN + maškaráda nefunguje NAT zcela dle zažitých představ a už vůbec ne podle toho, co je uvedeno v manuálu (3.7). Při provozu z LAN do WAN je vše OK, ale klient připojený na WAN se dopingá na všechny stroje v LAN a klidně si i otevře na těchto PC služby.
Skoro se mi to nechce ani věřit, ale je to tak. Další modelový případ: několik firem, které jsou umístěny na různých adaptérech ETH LAN z důvodu zabezpečení, se vidí navzájem a klidně si můžou studovat data konkurence (pokud samozřejmě nemají dostatečně zabezpečené své PC) !!!
V každém případě jde o bezpečnostní hazard, který se asi musí řešit odděleně, v manuálu však o tomto nebezpečí není ani zmínka, spíše naopak, je zde jednoznačné ujištění, že tento NAT je jednosměrný.
Očekával bych však implicitně blokaci a pak teprve povolování požadovaných funkcí.
Může tohle někdo potvrdit nebo vyvrátit a event. dát srozumitelné a ověřené řešení, když už se tím manuál od Sergeje nehodlá nějak solidně zabývat?
Děkuji.
mpcz
02/05/2008
No ano, je to router + firewall, ale jak jsem již řekl, manuál říká jasně něco o implicitní jednosměrnosti po zapnutí NATU, což tedy není pravda a naopak nic pořádného o nastavení, jak té vzniklé dvousměrnosti zabránit. Takže prosím spíše o konkrétní řešení. Tohle musel řešit každý, kdo nechce mít velkou díru do sítě, takže by se objevit mohlo. Navíc, někdy tu máme i NAT mezi ETH adaptéry privátní sitě, což situaci dále komplikuje.
Děkuji.
03/05/2008
mpcz
03.05.2008 v 09:36
petr_bear
Senior Member
Registrován: 07.12.2003
Příspěvků: 674
Re: Mikrotik routeros - firewall - bezpečnostní díra (?)
NAT (maskarada) neni firewall. Jedine co nat dela je to, ze podle nejakych pravidel vybrany packet vezme a prepise mu zdrojovou adresu (a zpet prichazejicim odpovedim zmeni zase cilovou) - nic vic, nic min.
Na zabezpeceni je treba pouzit nejake filtrovani:
- povolit smerem dovnitr pouze navazana spojeni
- pokud mame na ruznych eth. porech mikrotika ruzne firmy, nastavit pravidla ktera zarazi provoz mezi temito eth
Stejne se to bude chovat na Linuxu (mikrotik je taky linux)...
Mikrotik neni ten druh firewallu kde das WAN a LAN adresu a vyberes sercurity LOW, MEDIUM, HIGH ;-)
__________________
Lide v CZFree se dělí na tři skupiny: 1) deu; netdave 2) ti co znají jejich čísla 3) ti ostatní
Manuál Mikrotiku, sekce NAT:
All outgoing connections from the network 192.168.0.0/24 will have source address 10.5.8.109 of the router and source port above 1024.
No access from the Internet will be possible to the Local addresses.
Asi jsem si špatně vyložil sdělení v manuálu...
mpcz
04/05/2008