Die MikroTik Firewall ist ein leistungsfähiges Werkzeug, mit dem Sie den Zugriff auf verschiedene Protokolle und Dienste auf das Netzwerk beschränken können. Eines der wichtigsten Protokolle, die von der Firewall gesteuert werden, ist ICMP (Internet Control Message Protocol).
ICMP ist Teil des TCP/IP-Protokollstapels und wird verwendet, um Informationen über den Netzwerkstatus zwischen Hosts auszutauschen. Es enthält Operationen wie Echo-Anfragen (Ping) und Fehlermeldungen. Eine Besonderheit des ICMP-Protokolls ist seine Einfachheit und Transparenz, was es anfällig für verschiedene Angriffe macht.
Aus Gründen der Sicherheit und Stabilität des Netzwerks empfiehlt MikroTik die Konfiguration von Firewall-Regeln, um den ICMP-Datenverkehr zu filtern. Mithilfe von Firewallregeln können Sie den Zugriff auf bestimmte Arten von ICMP-Nachrichten einschränken oder die Anzahl der ICMP-Nachrichten einschränken. Sie können beispielsweise nur Echo-Anfragen (Ping) zulassen und alle anderen ICMP-Nachrichtentypen blockieren.
Es ist wichtig zu verstehen, dass das Blockieren von ICMP-Nachrichten dazu führen kann, dass einige Netzwerkdienste und -anwendungen möglicherweise nicht ordnungsgemäß funktionieren oder nicht verfügbar sind. Bevor Sie Firewallregeln für ICMP konfigurieren, müssen Sie die potenziellen Auswirkungen bewerten und die Kompatibilität mit einer bestimmten Netzwerkumgebung überprüfen.
Grundprinzipien der ICMP-Filterung in der MikroTik-Firewall
Die Grundprinzipien der ICMP-Filterung in der MikroTik-Firewall umfassen Folgendes:
- Blockieren unerwünschter ICMP-Nachrichten: Die MikroTik-Firewall bietet die Möglichkeit, Regeln anzuwenden, mit denen bestimmte Arten von ICMP-Nachrichten blockiert werden können. Dazu gehören Firewall-Regeln zum Blockieren von ICMP-Nachrichten wie Echo Request und Time Exceeded, die von Angreifern zum Ausführen von Angriffen verwendet werden können.
- Aktivieren nützlicher ICMP-Nachrichten: Einige Arten von ICMP-Nachrichten sind nützlich und für den normalen Netzwerkbetrieb notwendig. Beispielsweise wird die ICMP-Nachricht Destination Unreachable verwendet, um Informationen über einen Paketzustellungsfehler zu senden. Es ist wichtig, solche nützlichen ICMP-Nachrichten in der MikroTik-Firewall zu aktivieren, um Probleme bei der Paketzustellung und damit verbundene Leistungseinbußen im Netzwerk zu vermeiden.
- Blockieren von ICMP-Antworten auf Broadcast-Anfragen: ICMP-Antworten auf Broadcast-Anfragen können von Angreifern verwendet werden, um das Netzwerk anzugreifen. Daher ist es wichtig, die ICMP-Antworten auf Broadcast-Anfragen in der MikroTik-Firewall zu blockieren.
Das Filtern von ICMP-Nachrichten in der MikroTik-Firewall hilft Ihnen, die Sicherheit Ihres Netzwerks zu gewährleisten und Angriffe im Zusammenhang mit dem ICMP-Protokoll zu verhindern. Dies ist besonders wichtig, um sich vor Angriffen wie "Ping of Death" und "Schlumpfangriff" zu schützen, die ICMP-Nachrichten aktiv verwenden. Die Anwendung entsprechender ICMP-Filterregeln in der MikroTik-Firewall gewährleistet einen effektiven Schutz des Netzwerks und verbessert die Leistung des Netzwerks.
Anwenden von Regeln zur Auflösung von ICMP-Paketen in der MikroTik-Firewall
Die Regeln für die Auflösung von ICMP-Paketen können in verschiedenen Fällen nützlich sein. Zum Beispiel können sie verwendet werden, um:
- Überprüfen der Verfügbarkeit von Remote-Hosts mithilfe des Befehls ping;
- Debuggen des Netzwerks und Erkennen von Routing- und Kommunikationsproblemen;
- Berechtigungen oder Sperren bestimmter Arten von ICMP-Datenverkehr, abhängig von den Sicherheitsanforderungen des Netzwerks.
Um die MikroTik-Firewall-Regeln für die Auflösung von ICMP-Paketen zu konfigurieren, benötigen Sie Folgendes:
- MikroTik-Konsole öffnen und in den Firewallregel-Bearbeitungsmodus wechseln;
- Erstellen Sie eine neue Regel mit dem Befehl /ip firewall filter add;
- Legen Sie aussagekräftige Parameter für die Regel fest, z. B. Quelle und Zuweisung von IP-Adressen, Protokoll und Typ von ICMP-Paketen;
- Eine Aktion für eine Regel festlegen, z. B. ICMP-Pakete zulassen oder drop (sperren);
- Wenden Sie die Regel mit dem Befehl /ip firewall filter enable an.
Nach der Anwendung der Regeln wird die MikroTik-Firewall ICMP-Pakete gemäß den festgelegten Regeln zulassen oder blockieren. Dies ermöglicht die Überwachung und Verwaltung des ICMP-Datenverkehrs im Netzwerk, was die Sicherheit und die Qualität des Netzwerks verbessern kann.
| Parameter | Die Beschreibung |
|---|---|
| /ip firewall filter add | Erstellt eine neue Firewall-Regel |
| /ip firewall filter enable | Aktiviert die Firewall-Regel |
Konfigurieren von Regeln zum Blockieren von ICMP-Paketen in der MikroTik-Firewall
ICMP-Pakete werden zum Senden von Fehlermeldungen, zur Überprüfung der Verfügbarkeit von Netzwerkknoten und anderen Netzwerkvorgängen verwendet. In einigen Fällen ist es jedoch möglicherweise erforderlich, ICMP-Pakete zu blockieren, um die Netzwerksicherheit zu verbessern.
Um die Regeln für das Blockieren von ICMP-Paketen in der MikroTik-Firewall zu konfigurieren, führen Sie die folgenden Schritte aus:
- Öffnen Sie die Webschnittstelle der MikroTik Firewall, indem Sie die IP-Adresse der Webschnittstelle in die Adressleiste des Browsers eingeben und sich anmelden.
- Wählen Sie im linken Menü die Registerkarte "IP" und gehen Sie zum Abschnitt "Firewall".
- Klicken Sie auf die Schaltfläche "Filterregeln", um die Liste der Filterregeln zu öffnen.
- Klicken Sie auf "Add New", um eine neue Filterregel zu erstellen.
- Wählen Sie im Feld Chain die Kette aus, auf die die Regel angewendet werden soll. Zum Beispiel "input" für eingehende Pakete oder "forward" für die Weiterleitung von Paketen.
- Wählen Sie im Feld "Protocol" die Option "icmp" aus, um die ICMP-Pakete zu filtern.
- Wählen Sie im Feld "Aktion" die Option "drop" aus, um ICMP-Pakete zu sperren.
- Passen Sie bei Bedarf zusätzliche Regeleinstellungen an und klicken Sie zum Speichern auf "OK".
- Wiederholen Sie die Schritte 4 bis 8 für jeden ICMP-Pakettyp, den Sie blockieren möchten.
Nachdem Sie die Regeln zum Blockieren von ICMP-Paketen in der MikroTik-Firewall konfiguriert haben, werden alle eingehenden oder weitergeleiteten ICMP-Pakete blockiert und verworfen, um die Netzwerksicherheit zu erhöhen.
Arten von ICMP-Paketen und Sperren in der MikroTik-Firewall
Einige Arten von ICMP-Paketen können jedoch von Angreifern genutzt werden, um Angriffe auf das Netzwerk durchzuführen oder nach Schwachstellen zu suchen. Um Ihr Netzwerk vor solchen Angriffen zu schützen, bietet die MikroTik Firewall die Möglichkeit, bestimmte Arten von ICMP-Paketen zu blockieren.
Hier sind einige der häufigsten Arten von ICMP-Paketen:
- ICMP Echo Request (Typ 8) - auch bekannt als Ping-Anfrage, wird verwendet, um die Verfügbarkeit eines Remote-Hosts zu überprüfen. Wenn Sie eine Sperrregel für diese Art von ICMP-Paketen festlegen, können Sie unerwünschte Pingversuche im Netzwerk verhindern.
- ICMP Echo Reply (Typ 0) - dies ist die Antwort auf die ICMP Echo Request. Wenn Sie keine Pinganforderungen von einem externen Netzwerk zulassen möchten, können Sie diese Art von ICMP-Paketen in der Firewall blockieren.
- ICMP Destination Unreachable (Typ 3) – solche Pakete werden gesendet, wenn das IP-Paket nicht an das Ziel geliefert werden kann. Das Blockieren dieser Art von ICMP-Paketen kann das Netzwerk vor einigen Arten von Angriffen wie ICMP-Flut schützen.
- ICMP Time Exceeded (Typ 11) - solche Pakete werden gesendet, wenn die Lebensdauer (TTL) des IP-Pakets abgelaufen ist. Das Blockieren dieser Art von ICMP-Paketen kann dazu beitragen, Angriffe zu verhindern, die auf Überlaufzeiten von IP-Paketen basieren.
- ICMP Redirect (Typ 5) – solche Pakete werden vom Router gesendet, um dem Host mitzuteilen, dass eine andere Route verwendet werden kann. Das Blockieren dieser Art von ICMP-Paketen kann dazu beitragen, zu verhindern, dass der Datenverkehr im Netzwerk umgeleitet wird.
Bevor Sie ICMP-Pakettypen blockieren, sollten Sie ihre Funktionalität sorgfältig prüfen und sicherstellen, dass die Blockierung die erforderlichen Netzwerkvorgänge und -funktionen nicht beeinträchtigt.
Beispiele für die Konfiguration von ICMP-Regeln in der MikroTik-Firewall
Im Folgenden finden Sie Beispiele für die Konfiguration von ICMP-Regeln in der MikroTik-Firewall:
-
Alle ICMP-Pakete blockieren:
/ip firewall filter add chain=input protocol=icmp action=drop
/ip firewall filter add chain=input protocol=icmp icmp-options=8:0 action=accept
/ip firewall filter add chain=input protocol=icmp icmp-options=8:0 dst-address=192.168.0.1,192.168.0.2 action=drop
/ip firewall filter add chain=input protocol=icmp icmp-options=8:0 limit=10/1s action=accept
/ip firewall filter add chain=forward in-interface=ether1 out-interface=ether2 protocol=icmp action=accept
Die folgenden Beispiele zum Konfigurieren von ICMP-Regeln in der MikroTik-Firewall helfen Ihnen, den ICMP-Datenverkehr in Ihrem Netzwerk zu überwachen und zu verwalten, um Sicherheit und Leistung zu gewährleisten.