Ich habe gerade einUbiquity EdgeRouter ER-8, und ich arbeite an der Konfiguration der Firewall. Insbesondere bin ich verwirrt über die Richtung „Lokal“ für die Schnittstelle, die ich als WAN definiert habe, und wie ich sie verwenden kann, um zu verhindern, dass die Router-Verwaltungsprotokolle (ssh/https) der Außenwelt ausgesetzt werden.
Gemäß HandbuchRegelsätze können auf jede Schnittstelle in einer der drei folgenden Richtungen angewendet werden:
- In: Verkehr, der an einem Hafen ankommt
- Ausgehend: Verkehr, der einen Hafen verlässt
- Lokal: Datenverkehr, der für den Router selbst bestimmt ist
Meine Fragen sind:
Würde es außer zu den Verwaltungs-Web-/SSH-Schnittstellen noch „lokalen“ Datenverkehr geben? Würde Antwortdatenverkehr wie NTP, RIP, DNS Masq usw., der vom Router selbst stammt, über die „lokale“ Richtung eingehen?
Wenn ich eine Regel anwende, um alle Pakete an WAN_LOCAL zu verwerfen, werden dadurch Anfragen an die Verwaltungsschnittstellen aus dem WAN blockiert, Anfragen aus dem LAN jedoch zugelassen (da kein LAN_LOCAL-Regelsatz vorhanden ist)?
Wird der bei WAN_LOCAL ankommende Datenverkehr zuerst von WAN_IN gefiltert? Wenn ich einen standardmäßigen Stateful Filter auf WAN_IN habe (der z. B. NAT-Antworten akzeptiert und alles andere verwirft), ist dann überhaupt kein Regelsatz auf WAN_LOCAL mehr erforderlich?
Antwort1
Gut aussehender Router.
F1: Nein. Der einzige Datenverkehr, der als lokal gilt, ist, wie Sie erwähnt haben, SSH- und WebUI-Datenverkehr sowie DHCP-Server-Datenverkehr, wenn Sie die DHCP-Serverfunktion des Routers nutzen.
F2 Antwort: Ja. Dadurch wird der gesamte für den Router bestimmte Datenverkehr aus dem WAN gelöscht. Ich schlage vor, eine Regel mit dem Namen MgmtAccess zu erstellen (anordnen über der Drop-Regel), die TCP-Datenverkehr von einer externen Quelle zulässt, falls Sie ihn von einem anderen Standort aus fernverwalten müssen. Zum Beispiel ein Rechenzentrum oder Ihr Zuhause.
F3: Antwort: Nein. Regelsätze behandeln ihre Regeln getrennt voneinander.
Ich gehe Firewalls gerne mit Paranoia an. Ich würde damit beginnen, drei Regelsätze für jede Schnittstelle (in, out, local) zu erstellen, wobei die Standardaktion von in und local „drop“ ist. Out kann „accept“ sein. Dann würde ich Regeln hinzufügen (Reihenfolge beachten), um den Datenverkehr zuzulassen, wenn ich von dort aus weitermache. Geben Sie ihnen gute Namen. Wenn eth0 zum WAN geht, nennen Sie diese Regelsätze WAN_IN, WAN_LOCAL, WAN_OUT. Wenn eth7 zum Speichernetzwerk geht, nennen Sie es STORAGE_IN … Sie verstehen schon. Geben Sie den Regeln auch beschreibende Namen, um die Verwaltung später einfacher zu machen.
Zerstörung des Standardkontos: Erstellen Sie einen neuen Benutzer und löschen Sie das Original. Dadurch werden Brute-Force-Angriffe auf das Standardkonto verhindert. Behandeln Sie Ihre Benutzernamen wie Passwörter. Halten Sie sie geheim. Bewahren Sie sie sicher auf.
Antwort2
- Möglicherweise. Wenn Sie den Router beispielsweise in einem kleinen Netzwerk zum Zwischenspeichern von DNS-Anfragen verwenden, wird der DNS-Verkehr die LOKALE Schnittstelle erreichen. Dasselbe gilt, wenn Sie ihn für DHCP und andere Netzwerkdienste verwenden.
- Siehe oben. Wenn Sie den Router zum Zwischenspeichern von DNS-Anfragen verwenden möchten, müssen Sie seinem LOCAL erlauben, mit dem WAN zu kommunizieren, genau wie das LAN dies tut.
- Regelsätze sind unabhängig und es kann für die Übersichtlichkeit der Konfiguration nützlich sein, explizit anzugeben, was blockiert wird. Daher wäre es mir lieber, wenn alle Regeln die Absicht angeben würden. In diesem Sinne würde ich WAN_LOCAL verwenden.
Vor einiger Zeit habe ich den Denkprozess für den Fall visualisiert, dass im Router keine Dienste vorhanden sind, die WAN-Zugriff für ER POE8 benötigen.
Es ist immer noch auf GitHub, Sie können sehen, ob es Ihnen hilft.
Antwort3
Um unbefugten Zugriff auf Routerdienste über die WAN-Schnittstelle zu verhindern, ändern Sie einfach das Standardkennwort des Administratorkontos (ubnt).
Zum ArtikelGeschwindigkeit der Passwortwiederherstellung. Es beschreibt die maximale Zeit zum Knacken eines zufälligen Passworts, abhängig von der Passwortlänge und den verwendeten Zeichen.
Beispielsweise wird die Zeit, B33r&Mugdie ein verteiltes Netzwerk von Supercomputern (NSA) zum Knacken benötigt, auf 83 Tage geschätzt, während eine High-End-Workstation mehr als 2 Jahre benötigt. Dies liegt daran, dass dieses Passwort Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen verwendet und dennoch recht kurz ist (8 Zeichen).