конспект к курсу

УПРАВЛЕНИЕ ТРАФИКОМ
НА MIKROTIK
конспект к видеокурсу
Версия 1.03
support@kursy-po-it.ru
Оглавление
Обозначения в курсе ................................................................................................................................... 5
Обозначения в графическом интерфейсе ............................................................................................. 5
Обозначения в консоли .......................................................................................................................... 5
Модуль 1. Схема прохождения трафика ................................................................................................... 5
Схемы прохождения пакетов ................................................................................................................. 5
Простейшая схема прохождения пакетов............................................................................................. 6
Содержимое цепочек.............................................................................................................................. 7
Простая схема прохождения трафика ................................................................................................... 8
Трафик адресован маршрутизатору .................................................................................................. 8
Трафик исходит из маршрутизатора .................................................................................................. 9
Трафик проходит через маршрутизатор ........................................................................................... 9
Этапы обработки ...............................................................................................................................10
Распространенные ошибки ..................................................................................................................10
Модуль 2. Брандмауэр..............................................................................................................................10
=== Тема: Отслеживание соединений === ..........................................................................................10
Назначение ............................................................................................................................................10
=== Тема: Брандмауэр === ....................................................................................................................11
Что не умеет брандмауэр MikroTik ......................................................................................................11
Теория сетей ..........................................................................................................................................11
Установление соединения TCP .........................................................................................................11
Сокет ...................................................................................................................................................11
Порт.....................................................................................................................................................12
Принцип действия .................................................................................................................................12
Firewall Filter, описание опций .............................................................................................................13
Вкладка “General” ..............................................................................................................................13
Вкладка “Advanced”...........................................................................................................................14
Вкладка “Extra” ..................................................................................................................................15
Вкладка “Action” ................................................................................................................................17
Firewall Filter и Connection Tracker .......................................................................................................18
Настройка правил для оптимизации производительности ...............................................................18
Брандмауэр в реальной жизни ............................................................................................................18
Рекомендации по настройкам .........................................................................................................19
Гостевая сеть ..........................................................................................................................................19
Конспект к видеокурсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф

Страница 1 из 68
Bridge Firewall.........................................................................................................................................20
DMZ .........................................................................................................................................................20
Список адресов ......................................................................................................................................22
Основы сетевой и информационной безопасности ...........................................................................22
Три концепции безопасности ...........................................................................................................22
Анализ эффективности затрат ..........................................................................................................22
Классификация активов ....................................................................................................................22
Протокол Traffic Light ........................................................................................................................23
Классификация уязвимостей ............................................................................................................23
Классификация контрмер .................................................................................................................24
Потенциальные атакующие ..............................................................................................................24
Методы атак .......................................................................................................................................24
Направление атаки ............................................................................................................................24
Распространенные атаки ......................................................................................................................24
Классификация атак ..........................................................................................................................24
Краткое описание некоторых сетевых атак ....................................................................................27
Технологии обнаружения атак .........................................................................................................30
Социальная инженерия ....................................................................................................................32
Исключения............................................................................................................................................36
Защита от DoS атак с помощью Connection Limit ................................................................................36
Дополнительная защита от SYN-flood атаки .......................................................................................37
Пользовательские цепочки ..................................................................................................................37
Защита от DoS атаки с помощью Destination Limit .............................................................................37
Защита от сканирования портов ..........................................................................................................38
WHOIS и IP Lookup .................................................................................................................................38
RAW Filter ...............................................................................................................................................38
FastTrack .................................................................................................................................................39
Layer 7 Filter ............................................................................................................................................40
Блокировка сайтов, торрентов и Tor....................................................................................................40
Поиск ошибок в файрволе ....................................................................................................................41
Дополнительные способы защиты ......................................................................................................42
=== Тема: NAT ===..................................................................................................................................43
Основы NAT ............................................................................................................................................43
Возможные настройки ..........................................................................................................................44
Firewall NAT, описание опций...............................................................................................................44
Вкладка “Gerenal” ..............................................................................................................................44
Вкладка “Advanced”...........................................................................................................................45
Вкладка “Extra” ..................................................................................................................................45
Вкладка “Action” ................................................................................................................................45
Destination NAT ......................................................................................................................................46
Destination NAT. Проброс портов .........................................................................................................47
Source NAT ..............................................................................................................................................48
Hairpin NAT .............................................................................................................................................48
Netmap....................................................................................................................................................49
NAT helpers .............................................................................................................................................50
NAT и IP-телефония ...............................................................................................................................50
NAT, 2 WAN и IP-телефония ..................................................................................................................50
=== Тема: Mangle === ............................................................................................................................50
Назначение ............................................................................................................................................50
Firewall Mangle, описание опций .........................................................................................................51
Вкладка «General» .............................................................................................................................51
Вкладка «Advanced» ..........................................................................................................................51
Вкладка «Extra»..................................................................................................................................52
Вкладка «Action» ...............................................................................................................................52
Маркировка трафика.............................................................................................................................53
Выбор цепочки ......................................................................................................................................54
Порядок обработки правил ..................................................................................................................54
Лучшие практики по маркировке трафика..........................................................................................54
Маркировка трафика для IP-телефонии ..............................................................................................55
Применимость ...................................................................................................................................55
Модуль 3. QOS ...........................................................................................................................................55
Введение в QoS ......................................................................................................................................55
Simple Queue ..........................................................................................................................................57
Queue Tree..............................................................................................................................................57
Манипуляции со скоростью .................................................................................................................58
Режим «Вспышка» (Burst) .....................................................................................................................58
Приоритезация трафика .......................................................................................................................59
Hierarchical Token Bucket (HTB) .............................................................................................................59
Расчеты в HTB .........................................................................................................................................60
Типы очередей.......................................................................................................................................61
PCQ ..........................................................................................................................................................62
Настройка правил для оптимизации производительности ...............................................................63
Распространенные ошибки ..................................................................................................................63
DSCP ........................................................................................................................................................63
Гарантированная переадресация ....................................................................................................65
Быстрая переадресация ....................................................................................................................65
Приложение ...............................................................................................................................................66
Простейшая схема сети .........................................................................................................................66
Содержимое цепочек............................................................................................................................66
Простая схема сети .................................................................................................................................. 0

Обозначения в курсе
Обозначения в графическом интерфейсе
Обозначение IP => Firewall => NAT равносильно действиям, показанным на картинке:
Обозначения в консоли
 Лиловым цветом выделяются команды, которую надо ввести в консоли.
 красным цветом (возможно с курсивом) указываются аргументы для которых надо указать
реальные значения.
 С помощью вертикальной черты (|) разделяются альтернативные, взаимоисключающие
элементы.
 В квадратных скобках ([ ]) указываются необязательные элементы.
 В фигурных скобках ({ }) указываются обязательные элементы.
 В фигурных скобках, помещенных в квадратные скобки ([ { } ]), указываются обязательные
элементы в пределах необязательного элемента.
Модуль 1. Схема прохождения трафика

Схемы прохождения пакетов
Traffic Flow = Packet Flow = схема прохождения пакетов = схема прохождения трафика.
Схема прохождения пакетов нужна для понимания того, как трафик движется в маршрутизаторе.
Существует большое количество разных схем прохождения трафика от разных авторов. Эти схемы
содержат одну и ту же информацию в разных разрезах.
Написание сложных конфигураций возможно только при понимании Traffic Flow диаграммы.

Простейшая схема прохождения пакетов
Точки входа и выхода:
 INPUT INTERFACE – входная точка в которой пакеты начинают маршрут. Интерфейс может
быть физическим или виртуальным.
 OUTPUT INTERFACE – выходная точка в которой пакеты заканчивают маршрут. Интерфейс
может быть физическим или виртуальным.
 Local Process IN – финальная точка на пути пакетов, адресованных маршрутизатору.
 Local Process OUT – начальная точка пакетов, которые сгенерировал маршрутизатор.
 Routing Decision – решение о маршрутизации.
Все порты маршрутизатора равны. Не существуют WAN/LAN/DMZ или какие-то другие

интерфейсы.
Цепочки:
 Input – трафик, направленный к маршрутизатору.

 Output – трафик, исходящий из маршрутизатора.
 Forward – трафик, проходящий через маршрутизатор.
 Prerouting – трафик уже вошел в порт, но еще не принято решение о маршрутизации.
 Postrouting – последний этап перед достижением выходного порта.

Содержимое цепочек
К автоматизированным процессам и решениям относятся: BRIDGE DECISION, TTL и ROUTING

ADJUSTMENT. Все остальные объекты являются настраиваемыми объектами.
 HOTSPOT-IN и HOTSPOT-OUT относятся к возможностям Hotspot.

 RAW PREROUTING и RAW OUTPUT – это частный случай файрвола, который служит для
снижения нагрузки на ЦП во время DOS-атак.
 CONNECTION TRACKING – отслеживание соединений.
 MANGLE PREROUTING, MANGLE INPUT, MANGLE FORWARD, MANGLE OUTPUT и MANGLE
POSTROUTING служат для маркировки трафика.
 DST-NAT и SRC-NAT – служат для настройки NAT.
 FILTER INPUT, FILTER FORWARD и FILTER OUTPUT – брандмауэр.
 HTB GLOBAL (QUEUE TREE) и SIMPLE QUEUS служат для манипуляций с трафиком:
назначение приоритета, ограничений скоростей и др.
 BRIDGE DECISION – решение об обработке в мостовом соединении.
 TTL – это TTL.
 ACCOUNTING – возможности RADIUS-сервера.
 ROUTING ADJUSTMENT – донастройка маршрутизации.

Простая схема прохождения трафика
Несмотря на то, что эта схема не является полной ее понимание дает возможность правильного
написание сложных конфигураций в более чем в 95% случаев.
Изначально схема была разработана для 5-ой версии RouterOS польскими тренерами Jaromir
Cihak и Valens Riyadi. Позже доработана тренером из Санкт-Петербурга Князевым Ильей.
Трафик адресован маршрутизатору

Трафик исходит из маршрутизатора
Трафик проходит через маршрутизатор

Этапы обработки
Распространенные ошибки
Самыми распространённые ошибки, связанные со схемой прохождения трафика, являются:
 Выбор неверной цепочки.

 Не учитывается порядок прохождения объектов.
 Ошибки, количество которых ограничено только фантазией того, кто не понимает схему
прохождения пакетов.
Модуль 2. Брандмауэр
=== Тема: Отслеживание соединений ===
Назначение
Connection Tracker:
 отвечает за управление соединениями;

 содержит информацию о всех активных соединениях;
 отвечает за дефрагментацию пакетов;
 сильно влияет на производительность процессора.
Если отключить Connection Tracker, то не будут работать: отслеживание состояния соединений,

NAT и большая часть функционала брандмауэра.
Любое соединение будет находиться в одном из следующих состояний:
 new – новое;
 established – установленное;
 related – связанное;
 invalid – не идентифицированное;
 notrack – не передавать в Connection Tracker и не фрагментировать пакеты.
Соединение RELATED может быть признано таковым, когда оно относится к уже имеющемуся
ESTABLISHED соединению. Соединение ESTABLISHED создаст новое соединение вне основного
соединения. Новое ответвленное соединение будет признано RELATED, если Connection Tracker
будет в состоянии признать его таковым.
Состояние соединения “notrack” минует объект Connection Tracker и не фрагментирует пакеты.

Состояние соединения (connection state) не совпадает с TCP state. Любой одиночный пакет UDP –
это новое подключение до тех пор, пока не будет отправлен пакет в обратном направлении.
Основная информация, которая может быть получена из Connection List:
 Src. Address & Port;

 Dst. Address & Port;
 Protocol;
 Connection Mark;
 Timeout;
 TCP State: established, time-wait, close, syn-sent, syn-received.
=== Тема: Брандмауэр ===

Что не умеет брандмауэр MikroTik
 Фильтрация сайтов по категориям.
 Сканирование на вирусы на лету.
 Создание отчетов.
 Биллинг.
 Интеграция с Active Directory.
Теория сетей
Установление соединения TCP
Для протокола TCP соединение устанавливается после 3-х уровневого рукопожатия (3 Way
Handshake), которое состоит из следующих этапов:
1. SYN (синхронизация);
2. SYN-ACK (синхронизация/подтверждение);
3. ACK (подтверждение).
Сокет
 Со́ кет (англ. socket — разъём) — название программного интерфейса для обеспечения
обмена данными между процессами.
 Сокет = IP-адрес + номер порта.
 Формат записи: IP-адрес:номер_порта.
 Например: 192.168.34.15:443.

Порт
Порт (англ. port) - число, записываемое в заголовках протоколов транспортного уровня модели
OSI (TCP, UDP и др.). Используется для определения процесса-получателя пакета в пределах
одного хоста. Порты TCP не пересекаются с портами UDP.
Количество портов 65536 (это 216, начало — «0»). Порты разделены на три диапазона:
 общеизвестные (системные): 0—1023;

 зарегистрированные (пользовательские: 1024—49151;
 динамические (частные): 49152—65535.
Для установки соединения между двумя процессами необходимы:
 протокол;
 два IP-адреса (адрес хоста-отправителя и адрес хоста-получателя для построения
маршрута между ними);
 два номера порта (порт процесса-отправителя и порт получателя).
Принцип действия
Слова: файрвол, брандмауэр и межсетевой экран являются синонимами.
Брэндмауэр на Traffic Flow:
Назначение брандмауэра: на основе правил разрешать или запрещать передачу данных из одной
сети в другую и на оборот.
Принцип действия брандмауэра:
 Работают по принципу «если …, то …» и как результат состоят из двух частей:

I. условие (если …);
II. действие (то …);

 Могут содержать несколько условий. В таком случае должны быть выполнены все условия.
 Должны состоять в цепочке (chain):
o одной из трех предопределенных: Input, Output, Forward;
o или пользовательской (action=jump).
 Могут быть терминирующие и не терминирующие:
o терминирующие: accept, drop, fasttrack, reject, tarpit;
o не терминирующие: add dst to address list, add source to address list, jump, log,
return, passthrough.
 Обрабатываются по порядку:
o обработка начинается сразу с нужной цепочки;
o обработка заканчивается после первого совпадения с терминирующим правилом.
Если совпадения нет, то пакет отправляется на следующий этап обработки по
Traffic Flow.
Файрвол имеет 3 предопределенные цепочки:
 Input – траффик, направленный маршрутизатору.

 Output – траффик, исходящий из маршрутизатора.
 Forward – траффик, проходящий через маршрутизатор.
Есть два способа организации файрвола:
 Нормально открытый: все разрешено, что не запрещено.

 Нормально закрытый: все запрещено, что не разрешено.
Firewall Filter, описание опций

Вкладка “General”
 Chain - выбор цепочки:
o input – трафик, направленный к маршрутизатору;
o output – трафик, исходящий из маршрутизатора. Инициатором такого трафика
является сам маршрутизатор;
o forward – трафик, проходящий через маршрутизатор;
o пользовательская – цепочка, созданная администратором.
 Src. Address – адрес источника пакета. Можно указать:
o адрес – 192.168.88.1
o сеть – 192.168.88.0/24
o диапазон адресов – 192.168.88.1-192.168.88.100
Нельзя указывать несвязанный диапазон адресов.
 Dst. Address – адрес назначения пакета. Способы указания, как у “Src. Address”.
 Protocol – выбор протокола (TCP, UDP, GRE, ICMP и др.)
 Src. Port – порт с которым пришел пакет. Поле доступно, только, если в качестве протокола
выбран TCP или UDP. Можно указать:
o порт – 80 или 443
o диапазон портов – 3389-4000 или 5600-5645
o перечисление портов – 80,443
o перечисление диапазонов портов – 3389-4000,5600-5645
o комбинации перечисления – 80,443,3389-4000,5600-5645
 Dst. Port – порт на который пришел пакет. Поле доступно, только, если в качестве
протокола выбран TCP или UDP. Способы заполнения, как у “Src. Port”.
 Any. Port – любой порт. Или Src. Port или Dst. Port Способы заполнения, как у “Src. Port”.

 P2P – возможность указать Peer-to-Peer протокол: bit-torrent, blubster, direct-connect,
edonkey и др. Не работает с шифрованными соединениями. Удалено начиная с версии
RouterOS 6.39.
 In Interface – интерфейс на который пришел пакет. Не применимо, если chain=output, т.к.
источник трафика - сам маршрутизатор.
 Out Interface – интерфейс на который будет отправлен пакет. Не применимо, если
chain=input, так как трафик предназначен для маршрутизатора и дальше передан быть не
может.
 In. Interface List – список интерфейсов, указанный в “/interface list”. Работает аналогично
“In Interface”. Не применимо, если chain=output, т.к. источник трафика - сам
маршрутизатор.
 Out. Interface List – список интерфейсов, указанный в “/interface list”. Работает аналогично
“Out Interface”. Не применимо, если chain=input, так как трафик предназначен для
маршрутизатора и дальше передан быть не может.
 Packet Mark – совпадение с маркировкой пакета, выполненной с помощью правил для
манипуляции с пакетами (/ip firewall mangle).
 Connection Mark – совпадение с маркировкой соединения, выполненной с помощью
правил для манипуляции с пакетами (/ip firewall mangle).
 Routing Mark – совпадение с маркировкой маршрута, выполненной с помощью правил для
манипуляции с пакетами (/ip firewall mangle).
 Routing Table – адрес назначения обрабатывается определенной таблицей
маршрутизации.
 Connection Type – совпадение с соединением, основываясь на информации из NAT-helpers
(/ip firewall service-port).
 Connection State – состояние соединения (new, established, related, invalid).
 Connection NAT State – состояние соединения NAT.
Вкладка “Advanced”
 Src. Address List – адресный список в котором указаны адреса источники пакета.
 Dst. Address List – адресный список в котором указаны адреса назначения пакета.
 Layer7 Protocol – совпадение с фильтром, указанным в L7-фильтре (/ip firewall layer7-
protocol).
 Content – пакет содержит определенный текст.
 Connection Bytes – совпадение с пакетами после того, как через соединение прошло
заданное количество Байт. 0 – бесконечность. Например, connection-bytes=2000000-0
значит, что правило начнет работать после того, как через соединение пройдет более 2Мб
трафика. Т. к. речь идет о соединении, которое является двунаправленным, то
учитываются данные, проходящие в обе стороны. Работает только с протоколами TCP и
UDP.
 Connection Rate – совпадение на основании заданной скорости соединения. Например,
connection-rate=0-256000, значит, что правило сработает, когда скорость соединения будет
менее 256 Кб/с. При задании значения через WinBox могут использоваться только цифры.
Аббревиатуры – k и M могут использоваться только при задании значений через консоль.
Т. к. речь идет о соединении, которое является двунаправленным, то учитываются данные,
проходящие в обе стороны. Работает только с протоколами TCP и UDP.
 Per Connection Classifier – позволяет разделить трафик на несколько потоков с
возможностью держать пакеты с определенным набором опций в одном потоке.
Числитель – суммарное количество потоков, знаменатель – конкретный субпоток. Отсчет
знаменателя начинается с 0.
 Src. MAC Address – MAC-адрес источника. Применимо, только если источник находится в
одном Ethernet-сегменте с маршрутизатором.
 Out. Bridge Port – интерфейс типа “bridge” с которого пакет должен уйти, если исходящий
интерфейс это bridge. Применимо только, если опция “use-ip-firewall” включена в
настройках Bridge.
 In. Bridge Port – интерфейс типа “bridge” на который пакет должен прийти, если входящий
интерфейс это bridge. Применимо только, если опция “use-ip-firewall” включена в
настройках Bridge.
 In. Bridge Port List – список интерфейсов типа “bridge” с которых пакет должен уйти, если
входящий интерфейс это bridge.
 Out. Bridge Port List – список интерфейсов типа “bridge” на которые пакет должен прийти,
если исходящий интерфейс это bridge.
 IPsec Policy – совпадение с политикой IPSec. Задается в формате: направление, политика.
Направление используется для выбора совпадения с политикой, которая используется для
декапсуляции или политикой, которая используется для инкапсуляции.
o in – применимо для цепочек Prerouting, Input и Forward;
o out – применимо для цепочек Postrouting, Output и Forward;
o ipsec – совпадает, если пакет является предметом обработки IPSec;
o none – совпадает, если пакет не является предметом IPSec обработки. Например,
транспортный IPSec пакет.
 Ingress Priority – приоритет пакета, который может быть получен из VLAN, WMM или MPLS
EXP bit.
 Priority – приоритет пакета.
 DSCP (TOS) – DSCP, указанный в заголовке пакета.
 TCP MSS – значение MSS пакета TCP.
 Packet Size – размер пакета.
 Random – совпадение в случайном порядке. Может иметь значение от 1 до 99. Что
соответствует вероятности срабатывания правила от 1% до 99%. Обычно используется,
когда надо изобразить случайную потерю пакетов.
 TCP Flags – флаги TCP соединения.
 ICMP Options – типы сообщений ICMP.
o IPv4 Options – IPv4 опции.
o TTL – значение TTL.
Вкладка “Extra”
Для активации условий на этой вкладке достаточно развернуть их. Для правил с использованием
некоторых условий с вкладки “Extra” рекомендуется делать исключения для «белого списка»
адресов. Так же рекомендуется блокировать не сразу, а через список адресов для того, чтобы
можно было отследить каким правилом и какие узлы были заблокированы.
 Connection Limit – максимальное количество соединений для адреса или подсети. Условие
срабатывает при превышении заданного значения. Рекомендуется использовать вместе с
connection-state=new и/или с tcp-flags=syn потому, что правило является очень
ресурсоемким.
o Limit – значение максимально количества соединений.
o Netmask – маска подсети. Для одного адреса надо указать 32.
Практическое применение: возможность ограничить количество одновременных

подключений от одного узла. Например, для отражения атаки типа “SYN Flood”. Так же
можно ограничить кол-во одновременных подключений к конкретному узлу внутри сети от

разных источников снаружи. Например, не более 10 одновременных подключений к веб-
серверу внутри локальной сети.
 Limit – максимальное количество передаваемых пакетов или бит. Условие работает до тех
пор, пока не будет достигнуто заданное значение. Может быть указано значение пакетов
или бит. В консоли параметр указывается в следующем формате: count[/time],burst:mode.
o rate – значение (count) пакетов или бит за заданный временной интервал (time).
o burst – количество не учитываемых пакетов (пакетов не входящих в packet rate).
Значение обнуляется каждые 10 мс. Таким образом значение должно быть не
менее 1/100 значения rate в секунду.
o mode – режим «пакеты» или «биты».
 Dst. Limit – максимальное количество передаваемых пакетов или бит. В отличие от
параметра “Limit” учет ведется для каждого соединения в отдельности. Условие работает
до тех пор, пока не будет достигнуто заданное значение. В отличии от “Limit”, учитываются
пакеты для каждого адреса или адреса/порта в зависимости от выбранных опций. В
консоли параметр указывается в следующем формате: count[/time],burst,mode[/expire].
o rate – значение (count) пакетов за заданный временной интервал (time). По
умолчанию time=1s.
o burst – количество неучитываемых пакетов (пакетов не входящих в packet rate).
Значение обнуляется каждые 10 мс. Таким образом значение должно быть не
менее 1/100 значения “rate” в секунду.
o limit By (mode) – критерий по которому будут учитываться пакеты (addresses-and-
dst-port | dst-address | dst-address-and-port | src-address | src-and-dst-addresses).
o expire – промежуток времени через который запомненный адрес/порт будут
удалены.
 Nth – совпадение с каждым N-ым пакетом. Параметр часто используют при балансировке
нагрузки между каналами.
o Every – из какого числа пакетов (числитель дроби)
o Packet – сколько пакетов (знаменатель дроби)
Например, Every=10, Packet=3 (nth=10,3 в консоли) значит, каждый 3-ий пакет из 10-ти.
Именно третий из десяти, а не 3 из 10.
 Time – период работы правила. Можно указать время и дни недели. Для корректной
работы правила на маршрутизаторе должны быть правильно настроены часы.
o Time – время.
o Days – дни недели.
 Src. Address Type – тип адреса источника. Возможные значения:
o unicast – IP-адрес используется для передачи типа точка-точка.
o local – один из интерфейсов маршрутизатора.
o broadcast – пакет отправлен всем устройствам в сети.
o multicast – пакет перенаправлен определенной группе устройств.
 Dst. Address Type - тип адреса назначения. Возможные значения такие же, как и у “Src.
Address Type”.
 PSD (Port Scan Detect) – попытка определить сканирование портов TCP и UDP. Условие
срабатывает при достижении заданного значения. В консоли указывается в формате:
WeightThreshold, DelayThreshold, LopPortWeight, HighPortWeight
o Weight Threshold – количество TCP/UDP пакетов от одного хоста с различающимся
портом назначения после которого будет считаться, что производится
сканирование портов.

o Delay Threshold – максимальная задержка, между пакетами от одного хоста с
различающимся портом назначения, при которой будет считаться, что
производится сканирование портов.
o Low Port Weight – относительный «вес» пакетов с портом назначения 0 – 1024. Что
бы понять реальное количество пакетов на это число надо разделить Weight
Threshold.
o High Port Weight – относительный «вес» пакетов с портом назначения > 1024. . Что
бы понять реальное количество пакетов на это число надо разделить Weight
Threshold.
Пример для WeightThreshold=21, DelayThreshold=3s, LowPortWeight=3 и

HighPortWeight=1. Если будет просканировано 7 и более портов в привилегированном
диапазоне; Или 21 и более портов в непривилегированном диапазоне. При этом пауза
между пакетами с одного IP-адреса, направленными на разные порты должна быть не
более 3 секунд.
 Hotspot – опции ((auth | from-client | http | local-dst | to-client), связанные с hotspot, если он
используется.
 IP Fragment – пакет является фрагментом другого пакета. Первый фрагмент не
учитывается. Если отслеживание соединений (Connection Tracking) включено, то
фрагментированных пакетов не будет, т. к. система автоматически собирает все пакеты.
Вкладка “Action”
Для всех действий возможны следующие опции:
 Log – сделать запись в журнале.

 Log Prefix – префикс записи в журнале.
Выпадающий список “Action”:
 accept – разрешить. Терминирующее правило.

 add dst to address list – добавить адрес назначения пакета с список адресов (address list).
Не терминирующее правило. При выборе появляются опции:
o Address List – выбор списка адресов или создание нового
o Timeout – время жизни записи. По истечении времени запись будет удалена.
 add src to address list – добавить адрес источника пакета с список адресов (address list). Не
терминирующее правило. При выборе появляются опции:
o Address List – выбор списка адресов или создание нового
o Timeout – время жизни записи. По истечении времени запись будет удалена.
 fasttrack connection – обработка с помощью функции “Fast Track”. Функция увеличивает
возможную пропускную способность, но при этом игнорируется большинство логических
блоков в схеме прохождения пакетов. Подходит только для TCP и UDP. Терминирующее
правило.
 drop – удалить пакет и ничего далее не делать. Терминирующее правило.
 jump – перенаправить пакет на собственную цепочку. Цепочку, в которую надо сделать
перенаправление надо указать в опции “Jump Target”. Не терминирующее правило.
 log – сделать запись в журнале. Не терминирующее правило.
 passthrough – передать пакет на следующее правило и ничего не предпринимать. Как
правило, используется для статистики, т. к. счетчики при этом работают. Не
терминирующее правило.
 reject – запретить прохождение пакета и отправить в ответ сообщение об ошибке. При
выборе появляются варианты сообщения об ошибке. Терминирующее правило.
 return – прервать выполнение собственной цепочки и перейти на правило следующее за
правилом, которое перенаправило в пользовательскую цепочку (правило action=jump). Не
терминирующее правило.
 tarpit – дать согласие на установку соединения, но при этом выставить нулевое окно
передачи. Работает только с протоколом TCP. Терминирующее правило.
Firewall Filter и Connection Tracker

Новое правило может не начать работать из-за того, что оно уже помечено, как установившее
соединение в отслеживании соединений. Что бы это исправить надо либо вручную удалить
соединение в Connection Tracker, либо перезагрузить маршрутизатор, что приведет к разрыву
соединения.
Настройка правил для оптимизации производительности

Производительность измеряется в пакетах в секунду (pps – packet per second) или в битах в
секунду (bps – bytes per second). На производительность маршрутизатора влияет количество
правил, через которые прошел пакет, а не суммарное количество правил, которое имеется.
Для снижения нагрузки на процессор рекомендуется:
 Минимизировать количество правил через которое пройдет пакет

o Первое правило – разрешить “established” и “related” траффик.
o Второе правило – запретить неидентифицированный трафик.
o Объединять правила в одно, если их можно сгруппировать логически. Но не
рекомендуется объединять правила, которые логически не связаны друг с другом.
 Правила с большим трафиком помещать выше.
 L7-фильтр использовать через маркировку трафика.
Брандмауэр в реальной жизни

Есть два способа организации файрвола:
 Нормально открытый: все разрешено, что не запрещено.

 Нормально закрытый: все запрещено, что не разрешено.
Сравнение нормально открытого и нормально закрытого файрвола:
Нормально открытый Нормально закрытый

Большие затраты на решение, что запрещать Надо понимать, что должно быть разрешено
Большое количество правил снижает
производительность маршрутизатора
Рекомендации по выбору схемы использования файрвола:
Нормально закрытый Нормально открытый

Forward из WAN в LAN, Guest, DMZ и т. д. все остальное
Input из WAN
При проектировании правил рекомендуется придерживаться следующих правил:
 Выбрать тип файрвола (нормально открытый или закрытый).

 Делать комментарии к правилам.
 Располагать частные правила выше общих.
 Располагать друг за другом правила одной цепочки.
 Минимизировать количество правил, через которые должен пройти пакет.
Рекомендации по настройкам
Цепочка “Output”: ничего не запрещать.
Цепочка “Input”:
 Разрешить “established” и “related” траффик.

 Запретить неидентифицированный траффик (“invalid”).
 Разрешить новые соединения:
o Ping;
o управляющий траффик (WinBox, SSH, http://, https:// и др.);
o другие виды траффика (SNMP и т. д.);
o разрешить DNS-запросы из гостевой сети.
 Запретить все из WAN.
С помощью такого правила можно запретить все, что не из LAN (WAN, гостевая сеть и др. сети,
если они есть):
/ip firewall filter

add action=drop chain=input in-interface=!bridge-local
Цепочка “Forward”:
 Разрешить “established” и “related” траффик.

 Запретить неидентифицированный траффик (“invalid”).
 Разрешить или запретить новые соединения:
o запретить траффик из гостевой сети в локальную и наоборот.
 Разрешить NAT-траффик.
 Запретить все из WAN.
С помощью такого правила можно запретить все из WAN кроме трафика dst-nat:
/ip firewall filter

add action=drop chain=forward connection-nat-state=!dstnat in-interface=ether1-WAN1
Гостевая сеть
Как правило при использовании гостевой сети запрещается прохождение адреса из рабочей сети
в гостевую и наоборот. Хотя бывают случаи, когда запрещено прохождение трафика из гостевой
сети в рабочую, а из рабочей в гостевую разрешено.
Для создания правил для блокировки трафика между гостевой и основной сетью необходимо
создать два правила, которые будут блокировать трафик из основной сети в гостевую и обратно
(LAN => Guest и Guest => LAN). В качестве условия можно использовать адреса подсетей либо
интерфейсы.
 chain=forward
 action=drop
 in-interface или src-address
 out-interface или dst-address
Пример:
/ip firewall filter

add action=drop chain=forward in-interface=LAN out-interface=Guest
add action=drop chain=forward in-interface=Guest out-interface=LAN
Bridge Firewall
Bridge Firewall и Transparent Firewall – это синонимы. Для того, чтобы Bridge Firewall работал
требуется включение на уровне Bridge’а. Bridge Firewall не требует IP-адрес.
DMZ
DMZ (англ. Demilitarized Zone — демилитаризованная зона, ДМЗ) — сегмент сети, содержащий
общедоступные сервисы и отделяющий их от частных. В качестве общедоступного может
выступать, например, веб-сервис: обеспечивающий его сервер, который физически размещён в
локальной сети (Интранет), должен отвечать на любые запросы из внешней сети (Интернет), при
этом другие локальные ресурсы (например, файловые серверы, рабочие станции) необходимо
изолировать от внешнего доступа.
Цель DMZ — добавить дополнительный уровень безопасности в локальной сети, позволяющий

минимизировать ущерб в случае атаки на один из общедоступных сервисов: внешний
злоумышленник имеет прямой доступ только к оборудованию в DMZ.
Название происходит от военного термина «демилитаризованная зона» — территория между

враждующими государствами, на которой не допускаются военные операции. Иными словами,
доступ в DMZ открыт для обеих сторон при условии, что посетитель не имеет злого умысла. По
аналогии, концепция DMZ (например, при построении шлюза в публичный Интернет) состоит в
том, что в локальной сети выделяется область, которая не безопасна как оставшаяся часть сети
(внутренняя) и не опасна как публичная (внешняя).
Системы, открытые для прямого доступа из внешних сетей, как правило, являются главными
целями злоумышленников и потенциально подвержены проявлению угроз. Как следствие, эти
системы не могут пользоваться полным доверием. Поэтому необходимо ограничить доступ этих
систем к компьютерам, расположенным внутри сети.
Предоставляя защиту от внешних атак, ДМЗ, как правило, не имеет никакого отношения к атакам
внутренним, таким как перехват трафика.
Схема прохождения трафика

Итого:
 LAN => WAN - разрешен

 LAN => DMZ - разрешен
 DMZ => LAN - запрещен
 DMZ => WAN - разрешен
 WAN => LAN - запрещен
 WAN => DMZ – разрешен
Как правило трафик между DMZ и гостевой сетью запрещают. Если нужно сделать исключения, то
есть следующие варианты:
1. Сделать исключение для DST-NAT

2. Получать доступ через WAN. Как правило гости имеют доступ на общих основаниях, т. е.
через WAN
Разрешающие и запрещающие правила аналогичны правилам для гостевой сети.
Пример:
add action=drop chain=forward comment="Drop LAN => Guest" in-interface=ether2-LAN out-

interface=ether3-Guest
add action=drop chain=forward comment="Drop Guest => LAN" in-interface=ether3-Guest out-

interface=ether2-LAN
add action=drop chain=forward comment="Drop DMZ => LAN" in-interface=ether4-DMZ out-

interface=ether2-LAN
add action=drop chain=forward comment="Drop Guest => DMZ" in-interface=ether3-Guest out-

interface=ether4-DMZ
add action=drop chain=forward comment="Drop DMZ => Guest" in-interface=ether4-DMZ out-

interface=ether3-Guest
Список адресов
В списке адресов возможно добавление: адресов, диапазонов адресов, подсетей и доменных
имен. Возможно указать таймаут списка. Возможна фильтрация группы адресов одним правилом
и автоматическое добавление адресов в заданные списки адресов, в т. ч. на заданный
промежуток времени. В правилах можно указать имя несуществующего списка адресов, который
будет создан позднее.
Основы сетевой и информационной безопасности

Три концепции безопасности
Три основные концепции безопасности это: конфиденциальность, целостность и доступность.
Конфиденциальность. Есть два вида данных: данные, которые перемещаются по сети и данные,
которые находятся на одном месте (файлы на файловом хранилище, в облаке и др.).
Конфиденциальность значит, что только люди, имеющие на это полномочия, имеют доступ к
важной или классифицированной информации. Как результат неавторизованные люди не должны
иметь никакой доступ к такой информации. Информация, которая перемещается по сети должна
быть зашифрована перед передачей. Так же можно разделить сети, предназначенные для
передачи разной конфиденциальной информации.
Целостность. Целостность данных значит, что изменения в информацию вносятся только

авторизованными людьми или системами.
Доступность. Это понятие применяется к системам и информации. Может случиться, что

информация недоступна авторизованному персоналу вовремя DoS атаки или сбое на сетевом
оборудовании.
Анализ эффективности затрат

Актив– это что-то имеющее ценность для организации. Актив может быть материальным и не
материальным. К материальным активам относятся люди, компьютеры и т. д. К нематериальным
активам относятся интеллектуальная собственность, база данных клиентов и др.
Уязвимость – это слабое место в системе или ее дизайне. Уязвимость может быть найдена в
протоколах, операционных системах, приложениях и других объектах. Каждый день открываются
новые уязвимости.
Угроза – это потенциальная опасность для актива. Если имеется уязвимость, которая до сих пор не
была использована или до сих пор не известна, то такая уязвимость называется скрытой
(латентной). Неизвестная уязвимость является более опасной чем известная. Если кто-то успешно
атаковал систему и получил доступ к чему-либо или скомпрометировал безопасность актива, то
такая угроза является реализованной.
Риск – вероятность неавторизованного доступа, компрометации, повреждения или удаления

актива.
Контрмера – это способ защиты с помощью которого уменьшается потенциальный риск. Это
может быть достигнуто с помощью уменьшения либо полного удаления уязвимости или хотя бы
снижения вероятности использования уязвимости.
Классификация активов
Правительство:
 Не классифицированная
 Чувствительная, но не классифицировано

 Конфиденциальная
 Секретная
 Сверхсекретная
Частное применение:
 Публичная
 Чувствительная
 Частная
 Конфиденциальная
Критерии классификации:
 Значение
 Возраст
 Стоимость замены
 Время полезного использования
Роли классификации:
 Владелец (например, топ менеджеры компании)

 Комендант (лица ответственные за применение политик безопасности)
 Пользователь
Протокол Traffic Light

Протокол Traffic Light (англ. Traffic Light Protocol (TLP), дословно: «Протокол Светофор») — набор
обозначений для маркировки конфиденциальной информации с целью указать аудиторию её
дальнейшего распространения. Информация маркируется одним из четырёх цветов, её «цвет»
обычно указывается в колонтитулах документа при помощи надписи вида: «TLP: Цвет»
Всего используется 4 цвета:
КРАСНЫЙ – крайне конфиденциальная информация, только для конечного получателя. К

примеру, информация должна быть доступна только участникам встречи или заседания. В
большинстве случаев информация передается лично.
ЖЕЛТЫЙ – Ограниченное распространение. Получатель может поделиться «ЖЕЛТОЙ»

информацией только в рамках своей организации, при условии, что этой информацией нужно
поделиться. Автор конкретной информации может установить пределы, в которых разрешается
ею делиться.
ЗЕЛЕНЫЙ – широкое распространение. Информация этой категории может быть широко

распространена в пределах определенного сообщества. Тем не менее, информация не может
быть опубликована в СМИ, Интернете или где бы то ни было, за пределами сообщества.
БЕЛЫЙ — неограниченное распространение. Распространяется свободно, но не должна нарушать

авторские права.
Классификация уязвимостей
Понимание мест потенциальной угрозы – это большой шаг на пути к их исправлению.
 Изъяны политик безопасности

 Ошибки дизайна
 Уязвимости протоколов
 Некорректная настройка
 Уязвимости в ПО
 Человеческий фактор
 Вредоносное ПО
 Уязвимости в аппаратной составляющей
 Физический доступ к активам
Классификация контрмер
Административные контрмеры состоят из письменных политик (правил безопасности) процедур,
стандартов и др.
Физические контрмеры – это обеспечение ограничения физического доступа к серверам,

маршрутизаторам и другим активам. Использование источников бесперебойного питания или
второго блока питания на устройствах так же является контрмерой.
Логические контрмеры – это пароли, файрволы, списки доступа VPN-туннели.
Потенциальные атакующие
 Террористы
 Преступники
 Силовые структуры
 Хакеры
 Рассерженные сотрудники
 Конкуренты
 Любой, кто имеет доступ к ПК
Методы атак
 Разведка
 Социальный инжиниринг
 Повышение полномочий
 Задняя дверь (backdoor)
 Выполнение кода
Направление атаки
 Извне
 Изнутри (bring your own device (BYOD)
Распространенные атаки
Классификация атак
По характеру воздействия
 пассивное
 активное
Пассивное воздействие на распределённую вычислительную систему (РВС) представляет собой

некоторое воздействие, не оказывающее прямого влияния на работу системы, но в то же время
способное нарушить её политику безопасности. Отсутствие прямого влияния на работу РВС
приводит именно к тому, что пассивное удалённое воздействие (ПУВ) трудно обнаружить.
Возможным примером типового ПУВ в РВС служит прослушивание канала связи в сети.
Активное воздействие на РВС — воздействие, оказывающее прямое влияние на работу самой

системы (нарушение работоспособности, изменение конфигурации РВС и т. д.), которое нарушает
политику безопасности, принятую в ней. Активными воздействиями являются почти все типы
удалённых атак. Связано это с тем, что в саму природу наносящего ущерб воздействия включается
активное начало. Явное отличие активного воздействия от пассивного — принципиальная
возможность его обнаружения, так как в результате его осуществления в системе происходят
некоторые изменения. При пассивном же воздействии, не остается совершенно никаких следов
(из-за того, что атакующий просмотрит чужое сообщение в системе, в тот же момент не изменится
собственно ничего).
По цели воздействия
 нарушение функционирования системы (доступа к системе)
 нарушение целостности информационных ресурсов (ИР)
 нарушение конфиденциальности ИР
Этот признак, по которому производится классификация, по сути есть прямая проекция трех
базовых разновидностей угроз — отказа в обслуживании, раскрытия и нарушения целостности.
Главная цель, которую преследуют практически при любой атаке — получение

несанкционированного доступа к информации. Существуют два принципиальных варианта
получения информации: искажение и перехват. Вариант перехвата информации означает
получение к ней доступа без возможности её изменения. Перехват информации приводит,
следовательно, к нарушению её конфиденциальности. Прослушивание канала в сети — пример
перехвата информации. В этом случае имеется нелегитимный доступ к информации без
возможных вариантов её подмены. Очевидно, что нарушение конфиденциальности информации
относится к пассивным воздействиям.
Возможность подмены информации следует понимать либо как полный контроль над потоком
информации между объектами системы, либо возможность передачи различных сообщений от
чужого имени. Следовательно, понятно, что подмена информации приводит к нарушению её
целостности. Такое информационное разрушающее воздействие есть характерный пример
активного воздействия. Примером же удалённой атаки, предназначенной для нарушения
целостности информации, может послужить удалённая атака (УА) «Ложный объект РВС».
По наличию обратной связи с атакуемым объектом

 с обратной связью
 без обратной связи (однонаправленная атака)
Атакующий отправляет некоторые запросы на атакуемый объект, на которые ожидает получить

ответ. Следовательно, между атакующим и атакуемым появляется обратная связь, позволяющая
первому адекватно реагировать на всяческие изменения на атакуемом объекте. В этом суть
удалённой атаки, осуществляемой при наличии обратной связи с атакующим объектом. Подобные
атаки наиболее характерны для РВС.
Атаки без обратной связи характерны тем, что им не требуется реагировать на изменения на
атакуемом объекте. Такие атаки обычно осуществляются при помощи передачи на атакуемый
объект одиночных запросов. Ответы на эти запросы атакующему не нужны. Подобную УА можно
назвать также однонаправленной УА. Примером однонаправленных атак является типовая УА
«DoS-атака».
По условию начала осуществления воздействия

Удалённое воздействие, также, как и любое другое, может начать осуществляться только при
определённых условиях. В РВС существуют три вида таких условных атак:
 атака по запросу от атакуемого объекта

 атака по наступлению ожидаемого события на атакуемом объекте
 безусловная атака
Воздействие со стороны атакующего начнётся при условии, что потенциальная цель атаки
передаст запрос определённого типа. Такую атаку можно назвать атакой по запросу от атакуемого
объекта. Данный тип УА наиболее характерен для РВС. Примером подобных запросов в сети
Интернет может служить DNS- и ARP-запросы, а в Novell NetWare — SAP-запрос.
Атака по наступлению ожидаемого события на атакуемом объекте. Атакующий непрерывно

наблюдает за состоянием ОС удалённой цели атаки и начинает воздействие при возникновении
конкретного события в этой системе. Атакуемый объект сам является инициатором начала атаки.
Примером такого события может быть прерывание сеанса работы пользователя с сервером без
выдачи команды LOGOUT в Novell NetWare.
Безусловная атака осуществляется немедленно и безотносительно к состоянию операционной

системы и атакуемого объекта. Следовательно, атакующий является инициатором начала атаки в
данном случае.
При нарушении нормальной работоспособности системы преследуются другие цели и получение

атакующим незаконного доступа к данным не предполагается. Его целью является вывод из строя
ОС на атакуемом объекте и невозможность доступа для остальных объектов системы к ресурсам
этого объекта. Примером атаки такого вида может служить «DoS-атака».
По расположению субъекта атаки относительно атакуемого объекта

 межсегментное
 внутрисегментное
Некоторые определения:
Источник атаки (субъект атаки) — программа (возможно оператор), ведущая атаку и

осуществляющая непосредственное воздействие.
Хост (host) — компьютер, являющийся элементом сети.
Маршрутизатор (router) — устройство, которое обеспечивает маршрутизацию пакетов в сети.
Подсетью (subnetwork) называется группа хостов, являющихся частью глобальной сети,

отличающихся тем, что маршрутизатором для них выделен одинаковый номер подсети. Так же
можно сказать, что подсеть есть логическое объединение хостов посредством маршрутизатора.
Хосты внутри одной подсети могут непосредственно взаимодействовать между собой, не
задействовав при этом маршрутизатор.
Сегмент сети — объединение хостов на физическом уровне.
С точки зрения удалённой атаки крайне важным является взаимное расположение субъекта и
объекта атаки, то есть находятся ли они в разных или в одинаковых сегментах. Во время
внутрисегментной атаки, субъект и объект атаки располагаются в одном сегменте. В случае
межсегментной атаки субъект и объект атаки находятся в разных сетевых сегментах. Этот
классификационный признак дает возможность судить о так называемой «степени удалённости»
атаки.
Далее будет показано, что практически внутрисегментную атаку осуществить намного проще, чем
межсегментную. Отметим так же, что межсегментная удалённая атака представляет куда
большую опасность, чем внутрисегментная. Это связано с тем, что в случае межсегментной атаки
объект её и непосредственно атакующий могут находиться на расстоянии многих тысяч
километров друг от друга, что может существенно воспрепятствовать мерам по отражению атаки.

По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие
 физический
 канальный
 сетевой
 транспортный
 сеансовый
 представительный
 прикладной
Международной организацией по стандартизации (ISO) был принят стандарт ISO 7498, который
описывает взаимодействие открытых систем (OSI), к которым принадлежат также и РВС. Каждый
сетевой протокол обмена, также, как и каждую сетевую программу, удаётся так или иначе
спроецировать на эталонную 7-уровневую модель OSI. Такая многоуровневая проекция даёт
возможность описать в терминах модели OSI использующиеся в сетевом протоколе или
программе функции. УА — сетевая программа, и логично рассматривать её с точки зрения
проекции на эталонную модель ISO/OSI [2].
Краткое описание некоторых сетевых атак

Фрагментация данных
При передаче пакета данных протокола IP по сети может осуществляться деление этого пакета на
несколько фрагментов. Впоследствии, при достижении адресата, пакет восстанавливается из этих
фрагментов. Злоумышленник может инициировать посылку большого числа фрагментов, что
приводит к переполнению программных буферов на приемной стороне и, в ряде случаев, к
аварийному завершению системы.
Атака Ping flooding

Данная атака требует от злоумышленника доступа к быстрым каналам в Интернет.
Программа ping посылает ICMP-пакет типа ECHO REQUEST, выставляя в нем время и его
идентификатор. Ядро машины-получателя отвечает на подобный запрос пакетом ICMP ECHO
REPLY. Получив его, ping выдает скорость прохождения пакета.
При стандартном режиме работы пакеты высылаются через некоторые промежутки времени,
практически не нагружая сеть. Но в «агрессивном» режиме поток ICMP echo request/reply-пакетов
может вызвать перегрузку небольшой линии, лишив её способности передавать полезную
информацию.
Нестандартные протоколы, инкапсулированные в IP

Пакет IP содержит поле, определяющее протокол инкапсулированного пакета (TCP, UDP, ICMP).
Злоумышленники могут использовать нестандартное значение данного поля для передачи
данных, которые не будут фиксироваться стандартными средствами контроля информационных
потоков.
Атака smurf
Атака smurf заключается в передаче в сеть широковещательных ICMP запросов от имени
компьютера-жертвы. В результате компьютеры, принявшие такие широковещательные пакеты,
отвечают компьютеру-жертве, что приводит к существенному снижению пропускной способности
канала связи и, в ряде случаев, к полной изоляции атакуемой сети. Атака smurf исключительно
эффективна и широко распространена.
Противодействие: для распознавания данной атаки необходимо анализировать загрузку канала и

определять причины снижения пропускной способности.

Атака DNS spoofing
Другое название: Атака Каминского
Результатом данной атаки является внесение навязываемого соответствия между IP-адресом и

доменным именем в кэш DNS сервера. В результате успешного проведения такой атаки все
пользователи DNS сервера получат неверную информацию о доменных именах и IP-адресах.
Данная атака характеризуется большим количеством DNS пакетов с одним и тем же доменным
именем. Это связано с необходимостью подбора некоторых параметров DNS обмена.
Противодействие: для выявления такой атаки необходимо анализировать содержимое DNS

трафика либо использовать DNSSEC.
Атака IP spoofing
Большое количество атак в сети Интернет связано с подменой исходного IP-адреса. К таким
атакам относится и syslog spoofing, которая заключается в передаче на компьютер-жертву
сообщения от имени другого компьютера внутренней сети. Поскольку протокол syslog
используется для ведения системных журналов, путём передачи ложных сообщений на
компьютер-жертву можно навязать информацию или замести следы несанкционированного
доступа.
Противодействие: выявление атак, связанных с подменой IP-адресов, возможно при контроле

получения на одном из интерфейсов пакета с исходным адресом этого же интерфейса или при
контроле получения на внешнем интерфейсе пакетов с IP-адресами внутренней сети.
Навязывание пакетов
Злоумышленник отправляет в сеть пакеты с ложным обратным адресом. С помощью этой атаки
злоумышленник может переключать на свой компьютер соединения, установленные между
другими компьютерами. При этом права доступа злоумышленника становятся равными правам
того пользователя, чье соединение с сервером было переключено на компьютер
злоумышленника.
Sniffing — прослушивание канала

Возможно только в сегменте локальной сети.
Практически все сетевые карты поддерживают возможность перехвата пакетов, передаваемых по

общему каналу локальной сети. При этом рабочая станция может принимать пакеты,
адресованные другим компьютерам того же сегмента сети. Таким образом, весь
информационный обмен в сегменте сети становится доступным злоумышленнику. Для успешной
реализации этой атаки компьютер злоумышленника должен располагаться в том же сегменте
локальной сети, что и атакуемый компьютер.
Перехват пакетов на маршрутизаторе

Сетевое программное обеспечение маршрутизатора имеет доступ ко всем сетевым пакетам,
передаваемым через данный маршрутизатор, что позволяет осуществлять перехват пакетов. Для
реализации этой атаки злоумышленник должен иметь привилегированный доступ хотя бы к
одному маршрутизатору сети. Поскольку через маршрутизатор обычно передается очень много
пакетов, тотальный их перехват практически невозможен. Однако отдельные пакеты вполне могут
быть перехвачены и сохранены для последующего анализа злоумышленником. Наиболее
эффективен перехват пакетов FTP, содержащих пароли пользователей, а также электронной
почты.

Навязывание хосту ложного маршрута с помощью протокола ICMP
В сети Интернет существует специальный протокол ICMP (Internet Control Message Protocol), одной
из функцией которого является информирование хостов о смене текущего маршрутизатора.
Данное управляющее сообщение носит название redirect. Существует возможность посылки с
любого хоста в сегменте сети ложного redirect-сообщения от имени маршрутизатора на
атакуемый хост. В результате у хоста изменяется текущая таблица маршрутизации и, в
дальнейшем, весь сетевой трафик данного хоста будет проходить, например, через хост,
отославший ложное redirect-сообщение. Таким образом возможно осуществить активное
навязывание ложного маршрута внутри одного сегмента сети Интернет.
WinNuke
Наряду с обычными данными, пересылаемыми по TCP-соединению, стандарт предусматривает
также передачу срочных (Out Of Band) данных. На уровне форматов пакетов TCP это выражается в
ненулевом urgent pointer. У большинства ПК с установленным Windows присутствует сетевой
протокол NetBIOS, который использует для своих нужд три IP-порта: 137, 138, 139. Если
соединиться с Windows машиной по 139 порту и послать туда несколько байт OutOfBand данных,
то реализация NetBIOS-а, не зная, что делать с этими данными, попросту вешает или
перезагружает машину. Для Windows 95 это обычно выглядит как синий текстовый экран,
сообщающий об ошибке в драйвере TCP/IP, и невозможность работы с сетью до перезагрузки ОС.
NT 4.0 без сервис-паков перезагружается, NT 4.0 с ServicePack 2 паком выпадает в синий экран.
Судя по информации из сети подвержены такой атаке и Windows NT 3.51 и Windows 3.11 for
Workgroups.
Посылка данных в 139-й порт приводит к перезагрузке NT 4.0, либо выводу «синего экрана
смерти» с установленным Service Pack 2. Аналогичная посылка данных в 135 и некоторые другие
порты приводит к значительной загрузке процесса RPCSS.EXE. На Windows NT WorkStation это
приводит к существенному замедлению работы, Windows NT Server практически замораживается.
Подмена доверенного хоста

Успешное осуществление удалённых атак этого типа позволит злоумышленнику вести сеанс
работы с сервером от имени доверенного хоста. (Доверенный хост — станция, легально
подключившаяся к серверу). Реализация данного вида атак обычно состоит в посылке пакетов
обмена со станции злоумышленника от имени доверенной станции, находящейся под его
контролем.
Syn-flood
SYN-флуд — одна из разновидностей сетевых атак типа отказ от обслуживания, которая
заключается в отправке большого количества SYN-запросов (запросов на подключение по
протоколу TCP) в достаточно короткий срок (RFC 4987).
Согласно процессу «трёхкратного рукопожатия» TCP, клиент посылает пакет с установленным

флагом SYN (synchronize). В ответ на него сервер должен ответить комбинацией флагов SYN+ACK
(acknowledges). После этого клиент должен ответить пакетом с флагом ACK, после чего
соединение считается установленным.
Принцип атаки заключается в том, что злоумышленник, посылая SYN-запросы, переполняет на

сервере (цели атаки) очередь на подключения. При этом он игнорирует SYN+ACK пакеты цели, не
высылая ответные пакеты, либо подделывает заголовок пакета таким образом, что ответный
SYN+ACK отправляется на несуществующий адрес. В очереди подключений появляются так
называемые полуоткрытые соединения (англ. half-open connection), ожидающие подтверждения
от клиента. По истечении определенного тайм-аута эти подключения отбрасываются. Задача
злоумышленника заключается в том, чтобы поддерживать очередь заполненной таким образом,

чтобы не допустить новых подключений. Из-за этого клиенты, не являющиеся
злоумышленниками, не могут установить связь, либо устанавливают её с существенными
задержками.
Технологии обнаружения атак

Сетевые и информационные технологии меняются настолько быстро, что статичные защитные
механизмы, к которым относятся системы разграничения доступа, МЭ, системы аутентификации
во многих случаях не могут обеспечить эффективной защиты. Поэтому требуются динамические
методы, позволяющие оперативно обнаруживать и предотвращать нарушения безопасности.
Одной из технологий, позволяющей обнаруживать нарушения, которые не могут быть
идентифицированы при помощи традиционных моделей контроля доступа, является технология
обнаружения атак.
По существу, процесс обнаружения атак является процессом оценки подозрительных действий,

которые происходят в корпоративной сети. Иначе говоря, обнаружение атак (intrusion detection)
— это процесс идентификации и реагирования на подозрительную деятельность, направленную
на вычислительные или сетевые ресурсы
Методы анализа сетевой информации

Эффективность системы обнаружения атак во многом зависит от применяемых методов анализа
полученной информации. В первых системах обнаружения атак, разработанных в начале 1980-х
годов, использовались статистические методы обнаружения атак. В настоящее время к
статистическому анализу добавился ряд новых методик, начиная с экспертных систем и нечёткой
логики и заканчивая использованием нейронных сетей.
Статистический метод
Основные преимущества статистического подхода — использование уже разработанного и
зарекомендовавшего себя аппарата математической статистики и адаптация к поведению
субъекта.
Сначала для всех субъектов анализируемой системы определяются профили. Любое отклонение
используемого профиля от эталонного считается несанкционированной деятельностью.
Статистические методы универсальны, поскольку для проведения анализа не требуется знания о
возможных атаках и используемых ими уязвимостях. Однако при использовании этих методик
возникают и проблемы:
«статистические» системы не чувствительны к порядку следования событий; в некоторых случаях

одни и те же события в зависимости от порядка их следования могут характеризовать аномальную
или нормальную деятельность;
трудно задать граничные (пороговые) значения отслеживаемых системой обнаружения атак

характеристик, чтобы адекватно идентифицировать аномальную деятельность;
«статистические» системы могут быть с течением времени «обучены» нарушителями так, чтобы
атакующие действия рассматривались как нормальные.
Следует также учитывать, что статистические методы не применимы в тех случаях, когда для
пользователя отсутствует шаблон типичного поведения или, когда для пользователя типичны
несанкционированные действия.
Экспертные системы
Экспертные системы состоят из набора правил, которые охватывают знания человека-эксперта.
Использование экспертных систем представляет собой распространенный метод обнаружения
атак, при котором информация об атаках формулируется в виде правил. Эти правила могут быть
записаны, например, в виде последовательности действий или в виде сигнатуры. При выполнении
любого из этих правил принимается решение о наличии несанкционированной деятельности.
Важным достоинством такого подхода является практически полное отсутствие ложных тревог.
БД экспертной системы должна содержать сценарии большинства известных на сегодняшний

день атак. Для того чтобы оставаться постоянно актуальными, экспертные системы требуют
постоянного обновления БД. Хотя экспертные системы предлагают хорошую возможность для
просмотра данных в журналах регистрации, требуемые обновления могут либо игнорироваться,
либо выполняться администратором вручную. Как минимум, это приводит к экспертной системе с
ослабленными возможностями. В худшем случае отсутствие надлежащего сопровождения
снижает степень защищенности всей сети, вводя её пользователей в заблуждение относительно
действительного уровня защищенности.
Основным недостатком является невозможность отражения неизвестных атак. При этом даже
небольшое изменение уже известной атаки может стать серьёзным препятствием для
функционирования системы обнаружения атак.
Нейронные сети
Большинство современных методов обнаружения атак используют некоторую форму анализа
контролируемого пространства на основе правил или статистического подхода. В качестве
контролируемого пространства могут выступать журналы регистрации или сетевой трафик. Анализ
опирается на набор заранее определённых правил, которые создаются администратором или
самой системой обнаружения атак.
Любое разделение атаки во времени или среди нескольких злоумышленников является трудным
для обнаружения при помощи экспертных систем. Из-за большого разнообразия атак и хакеров
даже специальные постоянные обновления БД правил экспертной системы никогда не дадут
гарантии точной идентификации всего диапазона атак.
Использование нейронных сетей является одним из способов преодоления указанных проблем

экспертных систем. В отличие от экспертных систем, которые могут дать пользователю
определённый ответ о соответствии рассматриваемых характеристик заложенным в БД правилам,
нейронная сеть проводит анализ информации и предоставляет возможность оценить, согласуются
ли данные с характеристиками, которые она научена распознавать. В то время как степень
соответствия нейросетевого представления может достигать 100 %, достоверность выбора
полностью зависит от качества системы в анализе примеров поставленной задачи.
Сначала нейросеть обучают правильной идентификации на предварительно подобранной

выборке примеров предметной области. Реакция нейросети анализируется, и система
настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к
начальному периоду обучения, нейросеть набирается опыта с течением времени, по мере того,
как она проводит анализ данных, связанных с предметной областью.
Важным преимуществом нейронных сетей при обнаружении злоупотреблений является их

способность «изучать» характеристики умышленных атак и идентифицировать элементы, которые
не похожи на те, что наблюдались в сети прежде.
Каждый из описанных методов обладает рядом достоинств и недостатков, поэтому сейчас

практически трудно встретить систему, реализующую только один из описанных методов. Как
правило, эти методы используются в совокупности.

Социальная инженерия
Социальная инженерия — это метод управления действиями человека без использования
технических средств. Метод основан на использовании слабостей человеческого фактора и
считается очень разрушительным. Зачастую социальную инженерию рассматривают как
незаконный метод получения информации, однако это не совсем так. Социальную инженерию
можно также использовать и в законных целях — не только для получения информации, но и для
совершения действий конкретным человеком. Сегодня социальную инженерию зачастую
используют в интернете для получения закрытой информации, или информации, которая
представляет большую ценность.
История
Сам термин "социальная инженерия" является социологическим и обозначает совокупность
подходов прикладных социальных наук, которые ориентированы на целенаправленное
изменение организационных структур, определяющих человеческое поведение и
обеспечивающих контроль за ним. В сфере информационной безопасности данный термин был
популяризован в начале 21 века бывшим компьютерным преступником, ныне консультантом по
безопасности, Кевином Митником, который утверждал, что самое уязвимое место любой системы
безопасности - человеческий фактор.
Методы социальной инженерии в смысле получения доступа к конфиденциальной информации

либо мотивации к действию с помощью технических и нетехнических методов были известны
задолго до популяризации термина Митника и вообще до компьютерной эры. Например, группа
исследователей из врачей и медсестер трех больниц Среднего Запада проводила исследование, в
котором психологи по телефону представлялись врачами и просили медсестер вколоть пациенту
смертельную дозу лекарства. Несмотря на то, что медсестры знали, что делали, в 95% случаев они
беспрекословно выполняли команду (разумеется, их останавливали ассистенты на входе в
палату).
Техники
Все техники социальной инженерии основаны на когнитивных искажениях. Эти ошибки в
поведении используются социальными инженерами для создания атак, направленных на
получения конфиденциальной информации, часто с согласия жертвы.
Так, одним из простых примеров является ситуация, в которой некий человек входит в здание
компании и вешает на информационном бюро объявление, выглядящее как официальное, с
информацией об изменении телефона справочной службы интернет-провайдера. Когда
сотрудники компании звонят по этому номеру, злоумышленник может запрашивать личные
пароли и идентификаторы для получения доступа к конфиденциальной информации.
Фишинг
Пример фишингового письма, отправленного от почтового сервиса, запрашивающего
«реактивацию счета»
Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание) — это вид интернет-
мошенничества, целью которого является получение доступа к конфиденциальным данным
пользователей — логинам и паролям. Это самая популярная схема социальной инженерии на
сегодняшний день. Ни одна крупная утечка персональных данных не обходится без волны
фишинговых рассылок, предшествующих ей. Целью фишинга является незаконное получение
конфиденциальной информации. Наиболее ярким примером фишинговой атаки может служить
сообщение, отправленное жертве по электронной почте, и подделанное под официальное письмо
— от банка или платёжной системы — требующее проверки определённой информации или
совершения определённых действий. Причины могут называться самые различные. Это может
быть утеря данных, поломка в системе и прочее. Такие письма обычно содержат ссылку на
фальшивую веб-страницу, в точности похожую на официальную, и содержащую форму,
требующую ввести конфиденциальную информацию.
Как распознать фишинг-атаку

Практически каждый день появляются новые схемы мошенничества. Большинство людей может
самостоятельно научиться распознавать мошеннические сообщения, познакомившись с их
некоторыми отличительными признаками. Чаще всего фишинговые сообщения содержат:
 сведения, вызывающие беспокойство, или угрозы, например, закрытия пользовательских

банковских счетов;
 обещания огромного денежного приза с минимальными усилиями или вовсе без них;
 запросы о добровольных пожертвованиях от лица благотворительных организаций;
 непреднамеренные грамматические, пунктуационные и орфографические ошибки,
выдающие подделку;
 умышленные грамматические, орфографические или фактологические ошибки в данных,
касающихся пользователя и провоцирующие желание исправить их;
 имитацию повреждённого или неправильно перекодированного текста;
 адрес несуществующего почтового ящика, указанного в качестве адреса отправителя.
Несуществующие ссылки
Атака, которая заключается в отправлении письма с соблазнительной причиной посетить сайт и
прямой ссылкой на него, которая лишь имеет сходство с ожидаемым сайтом, например,
www.PayPai.com. Выглядит это, будто это ссылка на PayPal, мало кто заметит, что буква "l"
заменена на "i". Таким образом, при переходе по ссылке жертва увидит сайт, максимально
идентичный ожидаемому, и при вводе данных своей кредитной карты эта информация сразу
направляется к злоумышленнику.
Одним из наиболее известных примеров глобальной фишинговой рассылки может служить афера
2003 года, во время которой тысячи пользователей eBay получили электронные письма, в которых
утверждалось, что их учетная запись была заблокирована, и для её разблокировки требуется
обновить данные о кредитных картах. Во всех этих письмах присутствовала ссылка, ведущая на
поддельную веб-страницу, в точности похожую на официальную. Впрочем, по подсчетам
экспертов, убытки от этой аферы составили менее миллиона долларов (несколько сотен тысяч).
Мошенничество с использованием брендов известных корпораций

В таких фишинговых схемах используются поддельные сообщения электронной почты или веб-
сайты, содержащие названия крупных или известных компаний. В сообщениях может быть
поздравление с победой в каком-либо конкурсе, проводимом компанией, о том, что срочно
требуется изменить учетные данные или пароль. Подобные мошеннические схемы от лица
службы технической поддержки также могут производиться по телефону.
Подложные лотереи
Пользователь может получить сообщения, в которых говорится о том, что он выиграл в лотерею,
которая проводилась какой-либо известной компанией. Внешне эти сообщения могут выглядеть
так, как будто они были отправлены от лица одного из высокопоставленных сотрудников
корпорации.
Ложные антивирусы и программы для обеспечения безопасности

Подобное мошенническое программное обеспечение, также известное под названием
«scareware», — это программы, которые выглядят как антивирусы, хотя, на самом деле, все
обстоит совсем наоборот. Такие программы генерируют ложные уведомления о различных

угрозах, а также пытаются завлечь пользователя в мошеннические транзакции. Пользователь
может столкнуться с ними в электронной почте, онлайн объявлениях, в социальных сетях, в
результатах поисковых систем и даже во всплывающих окнах на компьютере, которые имитируют
системные сообщения.
IVR или телефонный фишинг

Принцип действия IVR систем
Телефонный фишинг — Вишинг (англ. vishing — voice fishing) назван так по аналогии с фишингом.
Данная техника основана на использовании системы предварительно записанных голосовых
сообщений, с целью воссоздать «официальные звонки» банковских и других IVR систем. Обычно,
жертва получает запрос (чаще всего через фишинг электронной почты) связаться с банком и
подтвердить или обновить какую-либо информацию. Система требует аутентификации
пользователя, посредством ввода PIN-кода или пароля. Поэтому, предварительно записав
ключевую фразу, можно выведать всю нужную информацию. Например, любой может записать
типичную команду: «Нажмите единицу, чтобы сменить пароль. Нажмите двойку, чтобы получить
ответ оператора» и воспроизвести её вручную в нужный момент времени, создав впечатление
работающей в данный момент системы предварительно записанных голосовых сообщений.
Телефонный фрикинг
Телефонный фрикинг (англ. phreaking) — термин, описывающий эксперименты и взлом
телефонных систем с помощью звуковых манипуляций с тоновым набором. Эта техника появилась
в конце 50-х в Америке. Телефонная корпорация Bell, которая тогда покрывала практически всю
территорию соединенных штатов, использовала тоновый набор для передачи различных
служебных сигналов. Энтузиасты, попытавшиеся повторить некоторые из этих сигналов, получали
возможность бесплатно звонить, организовывать телефонные конференции и администрировать
телефонную сеть.
Претекстинг
Претекстинг (англ. pretexting) — атака, в которой злоумышленник представляется другим
человеком и по заранее подготовленному сценарию выуживает конфиденциальную информацию.
Эта атака подразумевает должную подготовку: день рождения, ИНН, номер паспорта либо
последние цифры счета, для того, чтобы не вызвать подозрений у жертвы. Обычно реализуется
через телефон или электронную почту.
Квид про кво

Квид про кво (от лат. Quid pro quo — «то за это») — в английском языке это выражение обычно
используется в значении «услуга за услугу». Данный вид атаки подразумевает обращение
злоумышленника в компанию по корпоративному телефону (используя актерское мастерство) или
электронной почте. Зачастую злоумышленник представляется сотрудником технической
поддержки, который сообщает о возникновении технических проблем на рабочем месте
сотрудника и предлагает помощь в их устранении. В процессе «решения» технических проблем,
злоумышленник вынуждает цель атаки совершать действия, позволяющие атакующему запускать
команды или устанавливать различное программное обеспечение на компьютере жертвы.
Проведенное в 2003 году исследование в рамках программы Информационная безопасность

показало, что 90 % офисных работников готовы разгласить конфиденциальную информацию,
например, свои пароли, за какую-либо услугу или вознаграждение.
«Дорожное яблоко»
Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании
физических носителей. Злоумышленник подбрасывает «инфицированные» носители информации
в местах общего доступа, где эти носители могут быть легко найдены, такими как туалеты,
парковки, столовые, или на рабочем месте атакуемого сотрудника. Носители оформляются как
официальные для компании, которую атакуют, или сопровождаются подписью, призванной
вызвать любопытство. К примеру, злоумышленник может подбросить CD, снабжённый
корпоративным логотипом и ссылкой на официальный сайт компании, снабдив его надписью:
«Заработная плата руководящего состава». Диск может быть оставлен на полу лифта или в
вестибюле. Сотрудник по незнанию может подобрать диск и вставить его в компьютер, чтобы
удовлетворить своё любопытство.
Сбор информации из открытых источников

Применение техник социальной инженерии требует не только знания психологии, но и умения
собирать о человеке необходимую информацию. Относительно новым способом получения такой
информации стал её сбор из открытых источников, главным образом из социальных сетей. К
примеру, такие сайты как livejournal, «Одноклассники», «ВКонтакте», содержат огромное
количество данных, которые люди и не пытаются скрыть. Как правило, пользователи не уделяют
должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения,
которые могут быть использованы злоумышленником.
Показательным примером может стать история о похищении сына Евгения Касперского. В ходе
следствия было установлено, что преступники узнали расписание дня и маршруты следования
подростка из его записей на странице в социальной сети.
Даже ограничив доступ к информации на своей странице в социальной сети, пользователь не

может быть точно уверен, что она никогда не попадет в руки мошенников. Например,
бразильский исследователь по вопросам компьютерной безопасности показал, что существует
возможность стать другом любого пользователя Facebook в течение 24 часов, используя методы
социальной инженерии. В ходе эксперимента исследователь Нельсон Новаес Нето[9] выбрал
жертву и создал фальшивый аккаунт человека из её окружения — её начальника. Сначала Нето
отправлял запросы на дружбу друзьям друзей начальника жертвы, а затем и непосредственно его
друзьям. Через 7,5 часов исследователь добился добавления в друзья от жертвы. Тем самым,
исследователь получил доступ к личной информации пользователя, которой тот делился только со
своими друзьями.
Плечевой серфинг
Плечевой серфинг (англ. shoulder surfing) включает в себя наблюдение личной информации
жертвы через её плечо. Этот тип атаки распространен в общественных местах, таких как кафе,
торговые центры, аэропорты, вокзалы, а также в общественном транспорте.
Опрос ИТ-специалистов в белой книге о безопасности показал, что:
 85 % опрошенных признались, что видели конфиденциальную информацию, которую им

не положено было знать;
 82 % признались, что информацию, отображаемую на их экране, могли бы видеть
посторонние лица;
 82 % слабо уверены в том, что в их организации кто-либо будет защищать свой экран от
посторонних лиц.
Обратная социальная инженерия

Об обратной социальной инженерии упоминают тогда, когда жертва сама предлагает
злоумышленнику нужную ему информацию. Это может показаться абсурдным, но на самом деле
лица, обладающие авторитетом в технической или социальной сфере, часто получают
идентификаторы и пароли пользователей и другую важную личную информацию просто потому,
что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда

не спрашивают у пользователей идентификатор или пароль; им не нужна эта информация для
решения проблем. Однако, многие пользователи ради скорейшего устранения проблем
добровольно сообщают эти конфиденциальные сведения. Получается, что злоумышленнику даже
не нужно спрашивать об этом.
Примером обратной социальной инженерии может служить следующий простой сценарий.

Злоумышленник, работающий вместе с жертвой, изменяет на её компьютере имя файла или
перемещает его в другой каталог. Когда жертва замечает пропажу файла, злоумышленник
заявляет, что может все исправить. Желая быстрее завершить работу или избежать наказания за
утрату информации, жертва соглашается на это предложение. Злоумышленник заявляет, что
решить проблему можно, только войдя в систему с учетными данными жертвы. Теперь уже
жертва просит злоумышленника войти в систему под её именем, чтобы попытаться восстановить
файл. Злоумышленник неохотно соглашается и восстанавливает файл, а по ходу дела крадет
идентификатор и пароль жертвы. Успешно осуществив атаку, он даже улучшил свою репутацию, и
вполне возможно, что после этого к нему будут обращаться за помощью и другие коллеги. Этот
подход не пересекается с обычными процедурами оказания услуг поддержки и осложняет поимку
злоумышленника.
Исключения
Для некоторых правил возможны ложные срабатывания. В таких случаях возможна блокировка
доверенных ресурсов, т. к. они будут засчитаны правилами, как «плохие».
Для того, чтобы избежать такую ситуацию рекомендуется делать исключения для «белого списка»
адресов. Блокировку желательно делать не сразу, а через список адресов, что бы можно было
отследить, какое именно правило заблокировало ресурс. Возможные исключения:
 DNS-серверы
 Серверы обновлений
 Сайт компании
 Прочее
Защита от DoS атак с помощью Connection Limit

Обработка большого количества соединений с помощью “Connection Limit” вызывает большую
нагрузку на процессор. Рекомендуется использовать вместе с connection-state=new или с tcp-
flags=syn.
Определение атакующего:
 IP-адреса, открывшие более N соединений – это предположительно атакующие

 Значение N подбирается экспериментальным путем
 Каждое завершенное соединение дает атакующему возможность открыть новое
соединение
Защищать необходимо цепочку Input и цепочку Forward.
/ip firewall filter
add action=add-src-to-address-list address-list="black-list connection-limit" address-list-timeout=1h

chain=input connection-limit=100,32 connection-state=new src-address-list=!white-list in-
interface=ether1-wan
add action=drop chain=input src-address-list="black-list connection-limit"

Дополнительная защита от SYN-flood атаки
SYN cookie - техника противодействия SYN-флуд атаке. Изобретатель техники Daniel J. Bernstein.
Позволяет серверу избегать сброса новых соединений, когда очередь TCP-соединений
переполнена. У технологии есть два ограничения:
 возможность использовать только 8 различных значений для MSS;

 серверу придётся игнорировать все TCP опции (увеличенный размер окна, метки времени
и др.)
Активировать SynCookies:
 Через графический интерфейс: IP => Settings => TCP SynCookies включить

 Через консоль: /ip settings set tcp-syncookies=yes
Пользовательские цепочки
С помощью пользовательских цепочек уменьшают нагрузку на процессор и упрощают структуру
правил файервола. Нельзя использовать рекурсию, т. е. перенаправление из пользовательской
цепочки на саму же себя. Перенаправление в пользовательскую цепочку осуществляется с
помощью правила action=jump. Если в пользовательской цепочке не было совпадений, то пакет
переходит к правилу, которое следует за правилом перенаправления в пользовательскую
цепочку.
Защита от DoS атаки с помощью Destination Limit

Вариант с ограничением по входящему интерфейсу:
/ip firewall filter
add chain=input in-interface=ether1-WAN src-address-list=!white-list connection-state=new

action=jump jump-target=detect-intrusion
add chain=forward in-interface=ether1-WAN src-address-list=!white-list connection-state=new

add chain=detect-intrusion dst-limit=50,50,src-address/1s action=return
add chain=detect-intrusion action=add-src-to-address-list address-list="black-list intrusion" address-list-

timeout=1h
add chain=detect-intrusion action=drop
Вариант без ограничения по входящему интерфейсу:
/ip firewall filter
add chain=input in-interface=ether1-WAN src-address-list=!white-list connection-state=new

add chain=forward in-interface=ether1-WAN src-address-list=!white-list connection-state=new

add chain=detect-intrusion dst-limit=30,256,src-and-dst-addresses/1s action=return
add chain=detect-intrusion action=add-src-to-address-list address-list="black-list attacker" address-list-

timeout=1h
add chain=detect-intrusion action=add-dst-to-address-list address-list="black-list victim" address-list-

timeout=1h
add chain=detect-intrusion action=drop
Защита от сканирования портов

Сканирование портов - попытки подключения на разные порты с целью определения их
доступности. Защиту от сканирования портов TCP и UDP можно настроить с помощью опции Port
Scan Detection (PSD).
Возможные параметры:
 Weight Threshold – количество TCP/UDP пакетов от одного хоста с различающимся портом

назначения после которого будет считаться, что производится сканирование портов.
Условие срабатывает при достижении этого значения.
 Delay Threshold – максимальная задержка, между пакетами от одного хоста с
различающимся портом назначения, при которой будет считаться, что производится
сканирование портов.
 Low Port Weight – относительный «вес» пакетов с портом назначения 0 – 1023. Что бы
понять реальное количество пакетов на это число надо разделить Weight Threshold.
 High Port Weight – относительный «вес» пакетов с портом назначения > 1024. Что бы
понять реальное количество пакетов на это число надо разделить Weight Threshold.
Пример: WeightThreshold=21, DelayThreshold=3s, LowPortWeight=3 и HighPortWeight=1
 Порог срабатывания – 21. WeightThreshold=21

 Пауза между пакетами с одного IP-адреса должна быть не более 3 секунд.
DelayThreshold=3s
 Пакетов из привилегированного диапазона – 7. WeightThreshold/LowPortWeight = 21/3
 Пакетов из непривилегированного диапазона – 21. WeightThreshold/ HighPortWeight =
21/1=21
Лучшие практики:
 Указать входящий интерфейс.

 Предварительно создать правило разрешающее «белый-список» адресов.
 Защищать необходимо цепочку Input и цепочку Forward.
WHOIS и IP Lookup
WHOIS —просмотр информации о домене
IP Lookup — просмотр информации об ip-адресе и подсетях
RAW Filter
Назначение RAW Filter пропускать или отклонять пакеты до их попадания в Connection Tracker. За
счет этого может быть снижена нагрузка на ЦП во время DoS-атак.
В RAW-Filter только две цепочки Prerouting и Output и меньше возможностей настройки по

сравнению с «классическим» файрволом.

FastTrack
С помощью FastTrack можно увеличить производительность маршрутизатора за счет того, что
трафик будет направлен в обход ядра операционной системы. FastTrack работает только с TCP и
UDP. Может обрабатывать NAT трафик. Правило FastTrack должно дублироваться аналогичным
правилом action=accept, т. к. не все пакеты в соединении могут быть обработаны с помощью
FastTrack даже, если они помечены таковыми. Не будут работать: Queues, Firewall Filter и Mangle
правила. Исключение Queue Tree, привязанные к интерфейсу. Требуется поддержка FastPath в
драйвере интерфейса.
FastPath - позволяет пропускать пакеты без дополнительной обработки в ядре Linux. Требуется
поддержка со стороны интерфейса и специальные настройки. Поддержку можно проверить с
помощью команды /interface print detail .
Включение FastPath:
 Через графический интерфейс: IP => Settings => Allow FastPath.

 Через консоль: /ip settings set allow-fastpath=yes.

Простейшая реализация:
/ip firewall filter

add action=fasttrack-connection chain=forward comment="Permit FastTrack connections" connection-
state=established,related disabled=yes
Пример имеющей смысл реализации:
/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related in-interface=LAN1

out-interface=LAN2 protocol=tcp dst-port=80,443
add chain=forward action=fasttrack-connection connection-state=established,related in-interface=LAN2

out-interface=LAN1 protocol=tcp dst-port=80,443
Layer 7 Filter
L7-filter классификатор для подсистемы Netfilter в ОС Linux. Ищет совпадения в ICMP/TCP/UDP и не
работает с шифрованным трафиком. Преимущество: блокирует именно тип соединения, а не порт.
Недостаток: потребляет много ресурсов. Собирает первые 10 пакетов или 2КБ соединения и ищет
совпадение.
Должен проверять входящий и исходящий трафик. Рекомендуется устанавливать в цепочке

Forward или устанавливать и в цепочке input/prerouting и в цепочке output/postrouting.
Является ресурсоемким. Поэтому рекомендуется использовать через маркировку трафика.
Адрес проекта: http://l7-filter.sourceforge.net/ .
Пример правила для блокировки сайтов: ^.+(mikrotik|ok|yandex).*\$
Блокировка сайтов, торрентов и Tor

Варианты блокировки сайтов

 Через файрвол:
o Список адресов. Может не работать для некоторых сайтов.
o Опция “content”
o L7-Filter
 DNS: поддельные статические записи
 Прокси-сервер
Не возможна блокировка на основании категории сайта.
Способы обхода:
 Анонимайзеры
 Tor
 Просмотр сайтов с личных устройств
Эффективность способов защиты
Способ защиты Анонимайзеры Tor
Список адресов Обходит Обходит
Опция «Content» Не обходит Обходит
L7-Filter Обходит Обходит
Поддельная DNS-запись Обходит Обходит
Прокси сервер Обходит Обходит
Эффективного способа защиты от анонимайзеров нет. Для этого нужна блокировка по категориям
сайтов, которую MikroTik не поддерживает.
Эффективного способа защиты от Tor нет. Есть только вариант заблокировать все корневые
серверы Tor и/или заблокировать все ближайшие узлы Tor. Список ближайших узлов:
https://check.torproject.org/cgi-bin/TorBulkExitList.py . Проблема в том, что эти списки регулярно
изменяются.
Эффективного способа блокировки торрентов нет. Возможный вариант анализировать трафик с

помощью WireShark и создавать правила. Проблема в том, что принцип работы регулярно
изменяется.
Имеются потенциальные проблемы для страниц со встроенным комментатором vk.com.

Рекомендуется использоваться action=reject rejetct-with=tcp-reset.
Поиск ошибок в файрволе

Возможные проблемы:
 Трафик должен проходить, но не проходит

 Трафик должен не проходить, но проходит
Трафик должен проходить, но не проходит:

 Отключить все запрещающие правила всех цепочек.
или
 Отключить все запрещающие правила одной цепочки.

 Убедиться, что проблема ушла
 Поочередно включать правила до повторения проблемы.
 Правило на котором проблема повторилась – проблемное.
 Произвести перенастройку правил.
Трафик должен не проходить, но проходит:
Причины:
1. Отсутствует блокирующее правило

2. Присутствует разрешающее правило
Алгоритм:
 Отключить все разрешающие правила всех цепочек кроме правил для управления
маршрутизатором.
или
 Отключить все разрешающие правила одной цепочки кроме правил для управления
маршрутизатором.
 Если проблема ушла:
o Поочередно включать правила до повторения проблемы.
o Правило на котором проблема повторилась – проблемное.
 Если проблема не ушла:
o Либо отсутствует блокирующее правило.
o Либо разрешающее правило среди не отключенных.
 Произвести перенастройку правил.
Так же надо учитывать Connection Tracker, RAW-фильтр и Transparent Firewall. Проверку

производить с перезагрузкой.
Дополнительные способы защиты

Способы защиты:
 Использовать не стандартные имена пользователей.

 Использовать сложные пароли.
 Использовать только нужные сервисы. Например, только SSH и WinBox.
 Если нужен веб-доступ, то использовать https://.
 Доступ к SSH извне давать после перебора портов.
 Использовать нестандартные порты служб.
 Использовать обнаружение только на доверенных интерфейсах.
 Не использовать SNMP Community = public.
Безопасность L2:
 Изменить первые 6 знаков MAC-адреса.

 Interface ethernet set ether1 mac-address=XX:XX:XX:68:54:70.
 Использовать MAC-WinBox и MAC-Telnet только на доверенных интерфейсах.
 Для внешнего интерфейса установить режим работы ARP = reply-only.
 Занести MAC-адрес аплинка в ARP-таблицу.
 Отключить RoMON на внешних интерфейсах.
Другие объекты защиты:
 Скрыть тип устройства.

 Скрыть информацию по вендору: модель, версия прошивки и др.
 Скрыть информацию по ОС: версия.
=== Тема: NAT ===

Основы NAT
NAT (Network Address Translation) – преобразование сетевых адресов. LAN сеть находящаяся за
NAT = использующая NAT (NAT’ed). Связь доступна из NAT’ed сети во вне. Наоборот – нет.
Преимущества NAT это экономия «белых» IP-адресов и повышение безопасности сети за счет
ограничения обращения к внутренним адресам снаружи и возможности скрыть внутренние
сервисы с помощью подмены портов.
NAT имеет ряд ограничений:
 Протоколы отличные от TCP/UDP могут требовать другие техники преобразования.

Пример: IPSec.
 Некоторые протоколы требуют дополнительную обработку (NAT helpers). Пример: FTP в
активном режиме, SIP.
Существуют две базовые концепции:
 «Базовый» NAT (один к одному, one-to-one) - количество одновременных выходов в

Интернет из NAT’ed сети равно количеству «белых» IP-адресов
o статический
o динамический
 «Классический» NAT (многие к одному, many-to-one) - количество одновременных
выходов в Интернет из NAT’ed сети ограничено количеством свободных портов TCP/UDP
«Базовый» NAT:
 Другие названия: one-to-one (один к одному)

 Разновидности:
o статический - отображение незарегистрированного IP-адреса на
зарегистрированный IP-адрес на основании один к одному
 Постоянная привязка
 Пример: 5 «белых» адресов обеспечивают одновременный выход для 5
«серых» адресов
o динамический - отображает незарегистрированный IP-адрес на
зарегистрированный адрес из группы зарегистрированных IP-адресов
 Произвольная привязка
 Пример: 5 «белых» адресов обеспечивают одновременный выход для
любых 5 «серых» адресов из 100 «серых» адресов
«Классический» NAT:
 Другие названия: many-to-one (многие к одному), PAT (Port Address Translation), IP

masquerading, NAT Overload, NAPT (Network Address and Port Translation)
 Самая распространенная версия NAT
 Множество устройств может одновременно выйти в Интернет через 1 «белый» IP-адрес
Возможны два типа преобразования на MikroTik:
 Destination NAT (DNAT) – изменение IP-адреса назначения и выполнение обратной

функции для ответа
 Source NAT (SNAT) – изменение IP-адреса источника и выполнение обратной функции для
ответа
Возможные цепочки:
 Dst-nat
 Src-nat
 Пользовательская цепочка
Возможные настройки
NAT на MikroTik:
 Только два вида NAT: dst-nat и src-nat. Все остальные действия – производные от dst-nat и
src-nat
 Преобразование адреса получателя (dst-address) называется dst-nat
 Преобразование адреса источника (src-address) называется src-nat
 NAT обрабатывает только первый пакет соединения (connection-state=new)
Firewall NAT, описание опций

Через графический интерфейс: IP => Firewall => NAT
Через консоль: /ip firewall nat
Вкладка “Gerenal”
Аналогично вкладке “General” в IP => Firewall => Filter. Различия:

1. Chain - выбор цепочки:
o dstnat – заменить адрес назначения и опционально порт назначения. В этой
цепочке нет возможности выбрать “Out. Interface”.
o srcnat – заменить адрес источника и опционально порт источника. В этой цепочке
нет возможности выбрать “In. Interface”.
o Пользовательская – цепочка, созданная администратором.
2. Отсутствуют опции:
o “Connection State”,
o “Connection NAT State”.
Вкладка “Advanced”
Аналогично вкладке “Advanced” в IP => Firewall => Filter.
Различия:
1. Отсутствует опция: “TCP Flags”.
Вкладка “Extra”
Аналогично вкладке “Extra” в IP => Firewall => Filter. Различия отсутствуют.
Вкладка “Action”

 accept – Ничего не делать с пакетом. Используется для исключения части пакетов из

обработки.
 add dst to address list – аналогично firewall filter.
 add src to address list – аналогично firewall filter.
 dst-nat – заменить адрес назначения пакета на адрес, указанный в “To Addresses”. Так же
возможна подмена порта на порт, указанный в “To Ports”. Опция работает только при
указании цепочки “dstnat” либо других относящихся к ней.
 jump – аналогично firewall filter.

 log – аналогично firewall filter.
 masquerade –Адрес источника пакета будет заменен на первый адрес out-interface.
Должно использоваться, когда публичный IP-адрес динамически изменяется.

Используется только в цепочке “srcnat”. Частный случай “src-nat”. Правило должно стоять
первым в списке правил!
 netmap – используется при необходимости перенаправить траффик 1:1 (один к одному).
Например, когда траффик, предназначенный для сети 192.168.10.0/24 должен быть
перенаправлен на сеть 172.16.15.0/24.
 passthrough – передать пакет на следующее правило и ничего не предпринимать. Как
правило, используется для статистики, т. к. счетчики при этом работают.
 Redirect – перенаправляет траффик на сам маршрутизатор. По сути является частным
случаем “dst-nat”.
 redirect – маршрутизатор перенаправляет траффик сам на себя. Частный случай “dst-nat”.
 return – аналогично firewall filter.
 same – заменить адрес источника траффика на адрес, указанный в “To Addresses”. Так же
возможна подмена порта на порт, указанный в “To Ports”. Используется в случае наличия
нескольких адресов, которые задействованы для преобразования. Чаще всего
используется для сервисов, которые ожидают один и тот же клиентский IP-адрес в случае
множественных подключений от одного клиента.
 src-nat – заменить адрес источника траффика на адрес, указанный в “To Addresses”. Так же
возможна подмена порта на порт, указанный в “To Ports”. Используется только в цепочке
“srcnat”. Частный случай “src-nat”.
Destination NAT
Назначение - изменение IP-адреса и/или порта назначения и выполнение обратной функции для
ответа.
Варианты применения:
 Доступ извне к серверу в локальной сети (проброс портов).

 Перенаправление любого DNS-трафика через маршрутизатор.
Стандартные действия:

 dst-nat – преобразование адреса и/или порта получателя.
 redirect – преобразование адреса и/или порта получателя на адрес маршрутизатора.
Действия возможны только в цепочке dst-nat.
Заблуждение:
 Преобразование идет из WAN в LAN. Не верно!

 Преобразование адреса и/или порта назначения. Источник (откуда) и назначение (куда)
могут быть где угодно. Верно!
Destination NAT. Проброс портов

При пробросе портов обязательно надо указать входящий интерфейс. В противном случае
возможны проблемы.
Если используется более 1-го внешнего интерфейса, то для проброса портов есть два варианта:
 Создать отдельное правило для каждого внешнего интерфейса

 Указать параметр dst-address-type=local
Пример правила проброса портов:
/ip firewall nat
add chain=dstnat dst-port=3389 in-interface=ether1-WAN1 protocol=tcp action=dst-nat to-

addresses=192.168.35.3 to-ports=3389
Распространенной ошибкой при пробросе портов является то, что не указывают входящий
интерфейс.
Если WAN интерфейсов более одного, то:
 Создать два правила для каждого внешнего интерфейса

 Указать параметр dst-address-type=local
С помощью действия redirect возможно перенаправление трафика на маршрутизатор. Пример

использования – это перенаправление всего DNS-трафика на маршрутизатор. В таком случае
компьютер будет считать, что ему отвечает DNS-сервер, к которому сделан запрос, но на самом
деле ответ будет приходить от маршрутизатора.

Source NAT
Назначение - изменение IP-адреса и/или порта источника и выполнение обратной функции для
ответа. Разные вендоры могут использовать разное название технологии: source NAT, statefull
NAT, static NAT, secure NAT и др. Самое распространенное применение – это выход множества ПК
в Интернет через 1 «белый» IP-адрес.
Стандартные действия:
 src-nat – преобразование адреса и/или порта отправителя.

 masquerad – преобразование адреса отправителя на адрес исходящего интерфейса и
порта на случайный порт.
Стандартные действия возможны только в цепочке src-nat!
Masquerade – это частный случай src-nat для ситуаций, когда внешний IP-адрес может
динамически изменяться. Использование “masquerade” вместо src-nat может вызвать проблемы.
Практическое применение:
 Правило src-nat/masquerade должно стоять первым в списке

 masquerade: add action=masquerade chain=srcnat out-interface=ether1-WAN.
 src-nat: add action=src-nat chain=srcnat out-interface=ether10-WAN1 to-addresses=ip-address-
of-WAN-interface.
Заблуждение:
 Преобразование идет из LAN в WAN. Не верно!

 Преобразование адреса и/или порта источника. Источник (откуда) и назначение (куда)
могут быть где угодно. Верно!
Hairpin NAT
Назначение – доступ из LAN к ресурсу в LAN по IP-адресу WAN.

Пример правила:
/ip firewall nat
add action=src-nat chain=srcnat dst-address=172.16.129.0/24 src-address=172.16.129.0/24 to-

address=172.16.0.150
Необходимо учитывать:
 Должен быть проброс портов с параметром dst-address.

 Для динамического внешнего IP-адреса использовать masquerade.
Netmap
Назначение - Создание связки из IP-адресов (1:1 NAT).
Практическое применение:
 Сделать IP-адрес или группу адресов доступными из Интернета по белому адресу по

принципу 1:1
 Объединить разные сети с одинаковыми адресами сетей
Схема прохождения с netmap:
В офисе №1 подменить сеть 192.168.25.0/24 на 192.168.35.0/24
В офисе №2 подменить сеть 192.168.25.0/24 на 192.168.45.0/24
Офис №1:
/ip firewall nat
add action=netmap chain=srcnat src-address=192.168.25.0/24 dst-address=192.168.45.0/24 to-

address=192.168.35.0/24
add action=netmap chain=dstnat src-address=192.168.45.0/24 dst-address=192.168.35.0/24 to-

address=192.168.25.0/24
офис №2:
/ip firewall nat
add action=netmap chain=srcnat dst-address=192.168.35.0/24 src-address=192.168.25.0 to-

address=192.168.45.0/24

add action=netmap chain=dstnat dst-address=192.168.45.0/24 src-address=192.168.35.0 to-
address=192.168.25.0/24
NAT helpers
Некоторые протоколы требуют дополнительную обработку. Эта задача решается с помощью NAT
helpers. Каждый helper следит за трафиком к/от порта по умолчанию и донастраивает файрвол
для временного соединения. Нельзя добавлять новые протоколы, но можно изменять порты и
часть настроек.
NAT и IP-телефония
Термины:
 SIP клиент выдаёт запросы, с указанием того, что он хочет получить от сервера
 SIP сервер принимает и обрабатывает запросы, выдаёт ответы, содержащие уведомление
об успешности выполнения запроса, уведомление об ошибке или информацию,
запрошенную клиентом
 SIP прокси-сервер состоит из клиентской и серверной частей, поэтому может принимать
вызовы, инициировать запросы и возвращать ответы. Представляет интересы
пользователя в сети
9 возможных сценариев:
1. Сервер как SIP клиент за NAT, подключается к SIP прокси-серверу на публичном IP-адресе.
2. Сервер как SIP клиент за NAT, подключается к SIP прокси-серверу на внутреннем IP-адресе.
3. Сервер как SIP сервер за NAT, клиент на публичном IP-адресе подключается к другому
серверу.
4. Сервер как SIP сервер за NAT, клиент снаружи подключается к серверу из-за другого NAT.
5. Сервер как SIP сервер за NAT, клиент изнутри подключается к серверу.
6. Сервер как SIP клиент на публичном IP- адресе, подключается к SIP прокси-серверу на
публичном IP-адресе.
7. Сервер как SIP клиент на публичном IP-адресе, подключается к SIP прокси-серверу за NAT.
8. Сервер как SIP сервер на публичном IP- адресе, клиент на публичном IP-адресе
подключается к серверу.
9. Сервер как SIP сервер на публичном IP- адресе, клиент из-за NAT подключается к серверу.
Не рекомендуется одновременно включать NAT-helper для SIP и аналогичную настройку на

сервере телефонии.
NAT, 2 WAN и IP-телефония

Чаще всего, но не обязательно проблема связана с тем, что используется правило masquerade
вместо src-nat.
Также возможен вариант решения с помощью применения скрипта для сброса соединения.
/ip firewall connection tracking set enabled=no

:delay 5s
/ip firewall connection tracking set enabled=auto
=== Тема: Mangle ===

Назначение
Дословный перевод Mangle с английского – искажение.
Назначение:

 Маркировка соединений, пакетов, маршрутов.
 Изменение параметров: DSCP, MSS, TTL и др.
 Прочее, что не вошло в файрвол и NAT.
Основное использование – маркировка.
Firewall Mangle, описание опций

Через графический интерфейс: IP => Firewall => Mangle.
Через консоль: /ip firewall mangle
Вкладка «General»
Аналогично вкладке “General” в IP => Firewall => Filter. Различия:
1. Chain - выбор цепочки:

o input – трафик, направленный к маршрутизатору. Нельзя использовать параметр
out-interface.
o output – трафик, исходящий из маршрутизатора. Инициатором такого трафика
является сам маршрутизатор. Нельзя использовать параметр in-interface.
o forward – трафик, проходящий через маршрутизатор. Чаще всего используется для
маркировки маршрутов.
o postrouting – трафик уже покидающий маршрутизатор после Forward или Output.
Чаще всего используется для маркировки соединений и пакетов. Нельзя
использовать параметр in-interface.
o prerouting – трафик для маршрутизатор и проходящий через него. Чаще всего
используется для маркировки маршрутов.
o пользовательская – цепочка, созданная администратором.
Вкладка «Advanced»
Аналогично вкладке “Advanced” в IP => Firewall => Filter.

Вкладка «Extra»
Аналогично вкладке “Extra” в IP => Firewall => Filter.
Вкладка «Action»

Для некоторых вариантов возможна опция “passthrough”. Действие - передать пакет на

следующее правило и ничего не предпринимать. Как правило, используется для статистики, т. к.
счетчики при этом работают.
 accept – Ничего не делать с пакетом. Используется для исключения части пакетов из

обработки.
 add dst to address list – аналогично firewall filter.
 add src to address list – аналогично firewall filter.
 Change DSCP (TOS) – изменить значение поля DSCP. Возможные значения:
o пользовательское значение
o from priority
o from priority to high 3 bits
 Change MSS – изменить значение поля MSS:
o пользовательское значение
o clamp to pmtu
 Change TTL – изменить значение поля TTL.
o TTL Action change – задать значение TTL
o TTL Action incremental – увеличить на заданное значение
o TTL Action decremental – уменьшить на заданное значение
 Clear DF – очистит флаг “'Do Not Fragment'”.
 fasttrack connection – аналогично firewall filter.
 jump – аналогично firewall filter.
 log – аналогично firewall filter.
 mark connection – выполнить маркировку соединения.
 mark packet – выполнить маркировку пакета.
 mark routing – выполнить маркировку маршрута. Используется только при policy routing.
 passthrough – аналогично firewall filter.
 return – аналогично firewall filter.
 route – принудительно отправить пакеты через определенный шлюз игнорируя при этом
таблицу маршрутизации. Применимо только для цепочки prerouting.
 set priority – задать приоритет пакета. Применимо для соединений, имеющих
возможность приоритезации на транспортном уровне. Например, VLAN или беспроводные
интерфейсы с задействованной опцией WMM.
 sniff PC – опция актуальна для США. Communications Assistance for Law Enforcement Act
требует наличие возможности задерживать и логировать сетевой трафик.
 sniff TZSP – отправить пакет удаленной системе совместимой с TZSP (например Wireshark).
o Sniff Target – адрес удаленной системы;
o Sniff Target Port – порт удаленной системы.
 strip IPv4 options – очистить опции IPv4 из IP-заголовка.

Маркировка трафика
Назначение:
 Выделить определенную часть трафика

 Маркировка действует только внутри маршрутизатора
Виды маркировки:
 Connection mark – маркировка соединения

 Packet mark – маркировка пакета
 Route mark – маркировка маршрута
Основание для маркировки:
 адрес источника;
 адрес назначения;
 порт;
 входящий интерфейс;
 исходящий интерфейс;
 многое другое.
Схема маркировки:
Сравнение Connection mark и Packet/Route mark:
 Маркировка пакетов без маркировки соединения ресурсоемкий процесс.

 В Queue Simple и Queue Tree возможно применить только маркированные пакеты.

Маркировка соединений используется для дальнейшей маркировки пакетов или маршрута либо
для обработки в Firewall Filter и сохраняется в Connection Tracker. Connection Tracker делает
ассоциацию между соединениями и пакетами. Для каждого соединения возможна только одна
маркировка.
Маркировка пакетов возможна косвенно на основании ранее промаркированного соединения

либо напрямую. Напрямую - очень ресурсоемко. Для каждого пакета возможна только одна
маркировка.
Обработка правил:
 Правила обрабатываются по порядку.

 Пакет переходит к следующему правилу не зависимо от того было совпадение или нет.
Возможно изменение маркировки.
 Прекращение обработки:
o Принудительное прерывание обработки (passthrough=no);
o Закончились правила.
Выбор цепочки
Для маркировки можно использовать 5 цепочек:
 Prerouting – трафик для маршрутизатора и проходящий через него. Чаще всего

используется для маркировки маршрутов.
 Input – трафик, для маршрутизатора.
 Forward – трафик, проходящий через маршрутизатор.
 Output – трафик, созданный маршрутизатором.
 Postrouting – трафик уже покидающий маршрутизатор после Forward или Output.
Маркировку соединений и пакетов рекомендуется делать в одной цепочке.
Порядок обработки правил

 Правила обрабатываются по порядку с учетом цепочки.
o Вначале обрабатываются все правила, относящиеся к 1-ой цепочке. Правила
относящиеся к другим цепочкам игнорируются.
o Правила, относящиеся к одной цепочке, обрабатываются с учетом номера.
 Пакет переходит к следующему правилу не зависимо от того было совпадение или нет.
 Возможно принудительное прерывание обработки в текущей цепочке (passthrough=no).
Лучшие практики по маркировке трафика

 Подготовить предварительный список правил.
 Определиться должен ли трафик перемаркировываться.
 Правила, относящиеся к одной маркировке держать рядом.
 Правила одной цепочки держать рядом.
 Цепочки располагать последовательно: Prerouting, Input, Forward, Output, Postrouting.
 Думать головой!
Двойная страховка от перемаркировки:
2. На передающей стороне досрочно завершить обработку: passthrough=no.

3. На принимающей стороне маркировать только не маркированный трафик: connection-
mark=no-mark и packet-mark=no-mark.

Маркировка трафика для IP-телефонии
Варианты расположения сервера IP-телефонии:
 Внутри компании.
o В т. ч. сложный случай, когда сервер это «все в одном».
 Снаружи компании.
Варианты определения нужного трафика:
 IP-адрес или список адресов

o Адрес источника
o Адрес назначения
 Порт назначения
 DSCP
 Другое
Не работающие способы определения:
 Connection-type=sip
 Порт источника
Применимость
Сервер снаружи компании:

o Источника. Может быть ограничено применимо, если устройства не имеют
ограниченный пул адресов.
o назначения
 DSCP
Сервер внутри компании:

o источника
 DSCP
Сервер внутри компании (сложный случай):

o источника. Из-за того, что на сервере находятся и другие службы, которые могут
создавать большой объем трафика.
 DSCP
Модуль 3. QOS
Введение в QoS
QoS (англ. quality of service) — качество обслуживания. Основное назначение QoS это
приоритезация трафика и ограничение скорости.

Возможности:
 Ограничить скорость для IP-адреса, подсети, протокола, порта и др.

 Дать возможность кратковременного увеличения скорости.
 Настроить различные лимиты в зависимости от времени.
 Распределить трафик между пользователями равномерно или в зависимости от загрузки
канала.
 Приоритезировать определенные виды траффика.
В MikroTik QoS реализовано с помощью Simple Queue и Queue Tree. При этом играет роль
последовательность прохождения логических блоков по Traffic Flow.
Сравнение Simple Queue и Queue Tree:
Simple Queue Queue Tree
Важен порядок записей Порядок записей не важен
Одним правилом можно настроить входящий Одним правилом можно настроить только
и исходящий трафик одно направление
Больше опций, есть вкладка Traffic Меньше опций, нет вкладки Traffic
Простая настройка. Возможность Более сложная настройка. Обязательно

использования маркированного трафика указание маркировки трафика
Правильная структура: использование Правильная структура: использование
родительских и дочерних очередей родительских и дочерних очередей
Одна очередь – один процесс - 1 процессор Одна очередь – один процесс - 1 процессор
Возможен конфликт правил с Queue Tree Возможен конфликт правил с Queue Simple

Simple Queue
Общие принципы:
 Можно использовать маркировку пакетов.

 Поддерживаются родительские очереди.
 Порядок очередей играет роль.
o Частные случаи ставить выше.
o Общие случаи ставить ниже.
 Одна очередь включая дочерние – один процесс – один процессор.
Определение потока:
 Target – откуда (интерфейс, IP-адрес, адрес сети).

 Destination – куда (интерфейс, IP-адрес, адрес сети).
Queue Tree
Основные принципы:
 Используется иерархическая структура.

 Для определения пакетов, попадающих в очередь, используется маркировка.
 Меньше опций по сравнению с Queue Simple.
 Очередь создается для того интерфейса из которого трафик будет выходить.
Сравнение Queue Tree Global и Interface Queue Tree:
Queue Tree Global Interface Queue Tree
Применяется ко всем интерфейсам сразу Применяется к каждому отдельному

интерфейсу

Проще настройка Возможность настроить разные значения для
разных потоков
Не учитывается при использовании FastTrack Учитывается при использовании FastTrack
Возможно не оптимальное использование Более оптимальное использование ресурсов

ресурсов в многоядерных маршрутизаторах многоядерных маршрутизаторов
Правила применяются к тому интерфейсу с которого трафик будет выходить.
Манипуляции со скоростью
Основные принципы:
 Используется для контроля пропускной способности

 Max Limit обязательно указывать для QoS
 Для ограничений верхнего значения:
o если скорость < или = , то трафик проходит
o если скорость > , то пакеты или уничтожается или задерживается
Виды ограничения:
 CIR (Committed Information Rate) – (параметр limit-at на RouterOS) худший вариант.

Пропускная способность не должна упасть ниже этого значения. Больше можно, меньше
нельзя.
 MIR (Maximum Information Rate) – (параметр max-limit на RouterOS) лучший вариант.
Максимальная пропускная способность в случае наличия ресурсов. Меньше можно,
больше нельзя.
Параметры:
 Limit At – скоростью не должна упасть ниже этого значения. Если ресурс не используется,
то он доступен другим устройствам.
 Max Limit – скорость не должна превысить это значение.
 Burst Limit – временное разрешение превышения Max Limit.
o Burst Threshold – порог включения/выключения «вспышки».
o Burst Time – время за которое рассчитывается значение для Burst Limit.
Цвет иконок:
 Зеленый –используется 0 – 50% доступной полосы.

 Желтый – используется 51 – 75% доступной полосы.
 Красный – используется 76 – 100% доступной полосы.
Режим «Вспышка» (Burst)

Назначение - кратковременное превышение ограничения Max Limit.
Параметры:
 Burst Limit – максимальная скорость в режиме «вспышка».

 Burst Threshold – среднее значение скорости ниже которого режим «вспышка» разрешен.
Фактически это «включатель / выключатель» режима «вспышка».
 Burst Time – период времени в секундах за который рассчитывается среднее значение
скорости. Это НЕ время работы режима «Вспышка».

 Average Rate – среднее значение скорости за burst-time секунд. Рассчитывается каждые
1/16 значения burst-time. Параметр только для чтения.
 Actual Rate – текущее значение скорости. Параметр только для чтения.
Математика Burst:
 Limit At < Burst Threshold < Max Limit < Burst Limit
 Burst Threshold может быть > Max Limit
 Burst Limit < = Max Limit родительской очереди
Приоритезация трафика
Назначение приоритезации:
 Используется для трафика чувствительного к качеству связи.

 Заблуждение: сейчас скорости большие и QOS не актуален.
 Приоритезируется только исходящий трафик.
 Приоритезировать входящий трафик нельзя.
Качество связи:
 Пропускная способность (bandwidth) = скорость.

 Потери (loss) - процент пакетов, которые не достигли назначения.
 Задержка (delay) - разница между временем отправки и временем получения.
 Отклонение от среднего уровня задержки (джиттер, jitter) - разброс минимального и
максимального времени прохождения пакета IP от среднего времени прохождения
пакета.
Приоритезация на MikroTik:
 Значение: 1 – 8.
 1 – самый высокий приоритет.
 8 – самый низкий приоритет.
 Достаточно приоритета ниже на 1.
Hierarchical Token Bucket (HTB)

Дословный перевод Hierarchical Token Bucket с английского – иерархическая маркерная корзина.
HTB позволяет создавать иерархическую структуру очередей, задавать взаимосвязи типа:
родитель – ребенок или ребенок – ребенок. Реализация в RouterOS: одна виртуальная HTB (Global)
и HTB для каждого интерфейса.
Возможности:
 Неограниченное число иерархий.

 Группировка.
 Независимые настройки для каждой дочерней очереди.
 Любая очередь может быть родительской для другой очереди.
Терминология:
 Inner – очередь, имеющая хотя бы одну дочернюю очередь.

 Leaf – очередь без дочерних очередей.

Родительские очереди (inner) отвечают за распределение трафика между конечными очередями
(leaf). Конечные очереди (leaf) являются реальными потребителями трафика. Все конечные
очереди (leaf) обрабатываются на равных правах не зависимо от количества родительских
очередей.
Расчеты в HTB
1. Limit-at конечных очередей (leaf).
2. Limit-at родительских очередей (inner).
3. Конечные очереди с более высоким приоритетом. Распределяется трафик, оставшийся
между limit-at и max-limit. При условии одинакового приоритета трафик распределяется
равномерно.
4. Конечные очереди с более низким приоритетом с учетом max-limit. При условии
одинакового приоритета трафик распределяется равномерно.
Burst-limit может нарушить ход правил!
Чек-лист:
 limit-at < burst-threshold < max-limit < burst-limit

 limit-at родительской очереди (inner) >= limit-at всех дочерних очередей (inner и leaf). В
противном случае limit-at родительской очереди не имеет смысла
 priority учитывается только для конечных очередей (leaf)
 Должно быть задано значение max-limit
 max-limit родительской очереди >= max-limit дочерней очереди. В противном случае
правило дочерней очереди никогда не достигнет указанный в нем лимит
 max-limit родительской очереди >= limit-at всех дочерних очередей. В противном случае
max-limit родительской очереди будет превышен
 max-limit родительской очереди >= burst-limit дочерней очереди. В противном случае
правило дочерней очереди никогда не достигнет указанный в нем лимит
Действующие параметры:

Вид очереди Max-limit Limit-at Priority
Конечные очереди учитывается учитывается учитывается

(leaf)
промежуточные учитывается учитывается не учитывается
очереди (inner)
Самая верхняя учитывается не учитывается не учитывается
очередь (inner)
Типы очередей
Принципы ограничения скорости:
 Ограничение полосы пропускания – удалить все пакеты превышающие заданное

значение (100% ограничения при queue-size=0). Английские термины: Rate Limiting
(dropper или shaper).
 Выравнивание полосы пропускания – увеличение размера очереди увеличивает
задержку, но улучшает использование канала (100% выравнивания при queue-
size=бесконечность). Английские термины: Rate Equalizing (scheduler).
Типы очередей:
 FIFO – First Input First Output (BFIFO, PFIFO, MQ PFIFO).

 RED – Random Early Drop.
 SFQ – Stochastic Fairness Queuing.
 PCQ – Per Connection Queuing (проприетарная).
FIFO:
 First Input First Output – первый пришел – первый ушел.

 Разновидности:
o BFIFO – Bytes FIFO;
o PFIFO – Packets FIFO;
o MQ PFIFO – Multiple transmit Queues PFIFO (для SMP систем).
RED:
 Random Early Drop (Detect) – произвольное раннее отбрасывание (обнаружение).
 Механизм – управление средним размером очереди на основе статистической
вероятности.
 Средний размер очереди (avgq) сравнивается с двумя порогами: минимальным (minth) и
максимальным (maxth).
 Если avgq < minth , то пакеты не отбрасываются.
 Если avgq > maxth , то пакеты отбрасываются.
 Если minth < avgq < maxth , то пакеты отбрасываются в случайном порядке с вероятностью
Pd.
 Pd = Pmax (avgq - minth) / (maxth - minth).
SFQ:
 Stochastic Fairness Queuing – Стохастическая (случайная) справедливая очередизация

 Используются алгоритмы хэширования и циклического перебора
 Алгоритм хэширования SFQ использует src-address, dst-address, src-port и dst-port с
помощью, которых может быть идентифицирован поток для классификации пакетов в
один из 1024 возможных подпотоков
 Алгоритм циклического перебора (round robin) распределяет доступный канал всем
подпотокам. За каждый цикл выдается sfq-allot байт трафика
PCQ:
 Per Connection Queuing

 Проприетарный механизм MikroTik
 Механизм аналогичен SFQ, но с рядом дополнительных возможностей:
o Определение идентификатора потока: src-address, dst-address, src-port, dst-port
o Назначение ограничения скорости подпотоку
 Скорость делится равномерно между подпотоками
 Если подпотоку ресурс не нужен, то он доступен другим подпотокам
 Внутри одного подпотока скорость делится условно равномерно
PCQ
PCQ (Per Connection Queuing) – это проприетарный механизм MikroTik. При использовании
этого типа очередей скорость делится равномерно между подпотоками. Если ресурс не нужен
подпотоку, то он доступен другим подпотокам. Внутри одного подпотока скорость делится
условно равномерно. Механизм аналогичен SFQ, но с рядом дополнительных возможностей:
 Определение идентификатора потока: src-address, dst-address, src-port, dst-port.

 Назначение ограничения скорости подпотоку.
Параметры:
 pcq-classifier (dst-address | dst-port | src-address | src-port) – определение подпотока

 pcq-rate – максимальная пропускная способность каждого подпотока (0 = нет
ограничения)
 pcq-limit – размер очереди каждого отдельного подпотока (КБ)
 pcq-total-limit – максимальный объем данных во всех очередях всех подпотоков (КБ)
Практика классификации:
 загрузка – dst-address;
 выгрузка – src-address;
 Возможно добавление порта.
Настройка правил для оптимизации производительности

Корректные правила:
 Маркировку делать по принципу: Connection mark => Packet Mark.

 Одну очередь, включая дочерние, обрабатывает одно ядро процессора.
Распространенные ошибки
 Не верно подсчитываются значения max-limit, limit-at и др.
 Не используется правило для no-mark.
 Ошибки маркировки.
 Не учитывается специфика правил для многоядерных процессоров.
DSCP
ToS (Type of Service) — байт, содержащий набор критериев, определяющих тип обслуживания IP-
пакетов. Имеет 6 bit поля DiffServ Code Point (DSCP) и 2-bit поля Explicit Congestion Notification
(ECN). В большинстве реализаций протокола IP поле ToS почти всегда равно 0.
DSCP (Differentiated Services Code Point, точка кода дифференцированных услуг) - элемент
архитектуры компьютерных сетей, описывающий механизм классификации трафика. В
терминологии IPv6 называется Traffic Class. Стандарты RFC не устанавливают метод реализации
пересылок данных через каждый узел, перенося всю ответственность за это на производителя
оборудования. Обеспечивает классификацию, а не приоритезацию. Значение поля может быть
передано другому маршрутизатору и может быть обнулено провайдером. Практическое
применение - маркировка трафика на одном устройстве с передачей другому без потери.
0 1 2 3 4 5 6 7
Приоритет D T R ECN
 0, 1 и 2 — приоритет (precedence)
 3 — требование ко времени задержки (delay) (0 — нормальная, 1 — низкая)
 4 — требование к пропускной способности (throughput) маршрута, по которому должен
отправляться IP-сегмент (0 — низкая, 1 — высокая)
 5 — требование к надежности (reliability) (0 — нормальная, 1 — высокая)
 6-7 — ECN — явное сообщение о задержке
 0, 1 и 2 определяют класс. Наиболее значимые

 3 и 4 определяют вероятность сброса. Для большей детализации
 5 всегда устанавливается равным нулю
 6-7 — ECN — явное сообщение о задержке
Порядок обработки:
1. Устройство устанавливает приоритет трафику на основе его принадлежности к классу

2. Устройство дифференцирует и устанавливает приоритет пакетов, принадлежащих к
трафику одного и того же класса (биты 0 – 2), принимая во внимание вероятность сброса
пакетов (биты 3 и 4)
3. Чем выше числовое значение битов сброса, тем ниже вероятность, что пакет будет
отброшен
o Стандарт DiffServ не дает точного определения понятиям "низкая", "средняя" и
"высокая" вероятность сброса пакетов
o Не все сетевые устройства распознают биты 3 и 4
Разное:
 Обеспечивает классификацию, а не приоритезацию

 Может быть передано другому маршрутизатору
 Может быть обнулено провайдером
 Значение по умолчанию 000000
 Иногда оборудование имеет значение отличное от 000000
Приоритет DSCP
DSCP Двоичное значение Десятичное значение
CS0 000 000 0
CS1 001 000 8
CS2 010 000 16
CS3 011 000 24
CS4 100 000 32
CS5 101 000 40
CS6 110 000 48
CS7 111 000 56
Уровень приоритета Описание
CS7 Остается тем же самым

(канальный уровень и
протокол маршрутизации
поддерживают активность)
CS6 Остается тем же самым

(используется для IP-
протоколов маршрутизации)
CS5 Быстрая переадресация (EF)
CS4 Класс 4 (высокий)
CS3 Класс 3
CS2 Класс 2

CS1 Класс 1 (низкий)
CS0 Доставка по возможности
Пример приоритета: 011 XXX – класс 3.
Пример битов сброса: XXX 110 – высокие требования к пропускной способности и задержке.
Гарантированная переадресация
 Assured Forwarding (AF)
 Классы с 1 по 4 относятся к AF-классам
 Существует четыре AF-класса — обозначаемых как AF1x – AF4x
Class 1 Class 4
Class 2 Class 3
(наименьший) (наивысший)
Низкий приоритет AF11 (DSCP 10) AF21 (DSCP 18) AF31 (DSCP 26) AF41 (DSCP 34)
отбрасывания пакетов 001010 010010 011010 100010
Средний приоритет AF12 (DSCP 12) AF22 (DSCP 20) AF32 (DSCP 28) AF42 (DSCP 36)
Высший приоритет AF13 (DSCP 14) AF23 (DSCP 22) AF33 (DSCP 30) AF43 (DSCP 38)
Быстрая переадресация
Стандарт RFC 2598 определяет следующим образом срочную переадресацию (EF) при пересылке
данных: "С помощью срочной переадресации при пересылке данных можно реализовать
сквозное обслуживание с низким уровнем потерь, низкими задержками, низким дрожанием и
гарантированной пропускной способностью через все домены DiffServ. Подобная служба
реализуется в оконечных устройствах при двухточечном соединении или в "виртуальной
арендуемой линии". Эта служба также считается привилегированной службой". Для срочной
переадресации при пересылке данных рекомендуется кодовое значение 101110.
Кроме того, для реализации этих пересылок данных необходимо настраивать механизмы
обработки данных определяемые производителем. Дополнительные сведения о срочной
переадресации при пересылке данных см. в стандарте RFC 2598.

Приложение
Простейшая схема сети
INPUT Local Process Routing

Prerouting
INTERFACE OUT Decision
Routing
Input Forward Output
Decision
OUTPUT
Local Process IN Postrouting
INTERFACE
Содержимое цепочек
PREROUTING
= HOTSPOT-IN
RAW
PREROUTING
CONNECTION
TRACKING
MANGLE
PREROUTING
DST-NAT
INPUT
= MANGLE INPUT FILTER INPUT
HTB GLOBAL
(QUEUE TREE)
SIMPLE QUEUES
FORWARD
= BRIDGE
DECISION
TTL=TTL-1
MANGLE
FORWARD
FILTER
FORWARD
ACCOUNTING
OUTPUT
= BRIDGE
DECISION
RAW OUTPUT
CONNECTION
TRACKING
MANGLE
OUTPUT
FILTER OUTPUT
ROUTING
ADJUSTMENT
POSTROUTING
= MANGLE
POSTROUTING
SRC-NAT HOTSPOT-OUT
HTB GLOBAL
(QUEUE TREE)
SIMPLE QUEUES

Простая схема сети
Prerouting
INPUT Connection Mangle

Hotspot In RAW Filter DST-NAT
INTERFACE Tracker Prerouting
Input Forward
Queue Tree Routing TTL -1

Local Process IN Simple Queues Filter Input Mangle Input
Global Decision
Local Process
OUT
Mangle
Output Forward
Routing Connection Routing

RAW Filter Mangle Output Filter Output Adjustment
Decision Tracker
Filter
Forward
Interface Queue
Tree Postrouting
Queue Tree Mangle

Simple Queues Hotspot Out SRC-NAT Accounting
Global Postrouting
OUTPUT
INTERFACE

конспект к курсу

Загружено:

Сведения о документе

Авторское право

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

конспект к курсу

Загружено:

Авторское право:

УПРАВЛЕНИЕ ТРАФИКОМ

Конспект к видеокурсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф

Конспект к видеокурсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф

Модуль 1. Схема прохождения трафика

Конспект к видеокурсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф

Точки входа и выхода:

Все порты маршрутизатора равны. Не существуют WAN/LAN/DMZ или какие-то другие

 Input – трафик, направленный к маршрутизатору.

Конспект к видеокурсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф

К автоматизированным процессам и решениям относятся: BRIDGE DECISION, TTL и ROUTING

 HOTSPOT-IN и HOTSPOT-OUT относятся к возможностям Hotspot.

Конспект к видеокурсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф

Трафик адресован маршрутизатору

Конспект к видеокурсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф

Трафик проходит через маршрутизатор

Конспект к видеокурсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф

 Выбор неверной цепочки.

 отвечает за управление соединениями;

Если отключить Connection Tracker, то не будут работать: отслеживание состояния соединений,

Любое соединение будет находиться в одном из следующих состояний:

Состояние соединения “notrack” минует объект Connection Tracker и не фрагментирует пакеты.

Конспект к видеокурсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф

Основная информация, которая может быть получена из Connection List:

 Src. Address & Port;

=== Тема: Брандмауэр ===

Конспект к видеокурсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф

 общеизвестные (системные): 0—1023;

Для установки соединения между двумя процессами необходимы:

Брэндмауэр на Traffic Flow:

Принцип действия брандмауэра:

 Работают по принципу «если …, то …» и как результат состоят из двух частей:

Конспект к видеокурсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф

Файрвол имеет 3 предопределенные цепочки:

 Input – траффик, направленный маршрутизатору.

Есть два способа организации файрвола:

 Нормально открытый: все разрешено, что не запрещено.

Firewall Filter, описание опций

Конспект к видеокурсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф

Практическое применение: возможность ограничить количество одновременных

Конспект к видеокурсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф

Конспект к видеокурсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф

Пример для WeightThreshold=21, DelayThreshold=3s, LowPortWeight=3 и

 Log – сделать запись в журнале.

Выпадающий список “Action”:

 accept – разрешить. Терминирующее правило.

Firewall Filter и Connection Tracker

Настройка правил для оптимизации производительности

Для снижения нагрузки на процессор рекомендуется:

 Минимизировать количество правил через которое пройдет пакет

Брандмауэр в реальной жизни

 Нормально открытый: все разрешено, что не запрещено.

Сравнение нормально открытого и нормально закрытого файрвола:

Нормально открытый Нормально закрытый

Рекомендации по выбору схемы использования файрвола:

Нормально закрытый Нормально открытый

При проектировании правил рекомендуется придерживаться следующих правил:

 Выбрать тип файрвола (нормально открытый или закрытый).

 Разрешить “established” и “related” траффик.

/ip firewall filter

 Разрешить “established” и “related” траффик.

/ip firewall filter

/ip firewall filter

Цель DMZ — добавить дополнительный уровень безопасности в локальной сети, позволяющий

Название происходит от военного термина «демилитаризованная зона» — территория между

Схема прохождения трафика

Конспект к видеокурсу «Управление трафиком на MikroTik» Курсы-по-ИТ.рф

 LAN => WAN - разрешен