Acabei de comprar umUbiquity EdgeRouter ER-8e estou trabalhando na configuração do firewall. Em particular, estou confuso sobre a direção "Local" da interface que defini como WAN e como posso usá-la para evitar a exposição dos protocolos de gerenciamento do roteador (ssh/https) ao mundo externo.
De acordo com o manualOs conjuntos de regras podem ser aplicados em qualquer interface, em uma das três direções:
- In: Tráfego chegando em um porto
- Out: Tráfego saindo de um porto
- Local: Tráfego destinado ao próprio roteador
Minhas perguntas são:
Haveria algum tráfego de direção "local" além das interfaces web/ssh de gerenciamento? O tráfego de resposta como NTP, RIP, DNS masq, etc., originado do próprio roteador, entraria na direção "local"?
Se eu aplicar uma regra para descartar todos os pacotes para WAN_LOCAL, isso bloqueará solicitações para as interfaces de gerenciamento da WAN, mas permitirá solicitações da LAN (já que não há conjunto de regras LAN_LOCAL)?
O tráfego que chega em WAN_LOCAL é filtrado primeiro por WAN_IN? se eu tiver um filtro stateful padrão em WAN_IN (por exemplo, aceitar respostas NAT, descartar todo o resto), evitará a necessidade de um conjunto de regras em WAN_LOCAL?
Responder1
Roteador bonito.
Resposta Q1: Não. O único tráfego considerado local seria, como você mencionou, o tráfego ssh e webui, bem como o tráfego do servidor DHCP se você estiver utilizando o recurso de servidor DHCP do roteador.
Resposta Q2: Sim. Isso eliminaria todo o tráfego destinado ao roteador da WAN. Sugiro criar uma regra chamada MgmtAccess (ordene-a acima da regra de descarte) que permita o tráfego TCP de uma fonte externa caso você precise gerenciá-lo remotamente de outro local. Um datacenter, por exemplo, ou sua casa.
Resposta Q3: Não. Os conjuntos de regras tratam suas regras separadamente umas das outras.
Gosto de abordar firewalls com paranóia. Eu começaria criando três conjuntos de regras para cada interface (in, out, local), com a ação padrão de in e local sendo 'drop'. Fora pode ser aceito. Em seguida, adicionaria regras (observaria a ordem) para permitir o tráfego à medida que avançasse a partir daí. Dê-lhes bons nomes. Se eth0 for para a WAN, chame esses conjuntos de regras de WAN_IN, WAN_LOCAL, WAN_OUT. Se a eth7 for para a rede de armazenamento, chame-a de STORAGE_IN... Você entendeu. Dê também nomes descritivos às regras para facilitar o gerenciamento no futuro.
Destruição de conta padrão: crie um novo usuário e exclua o original. Isso evitará ataques de força bruta contra a conta padrão. Trate seus nomes de usuário como senhas. Mantenha-os em segredo. Mantenha eles salvos.
Responder2
- Potencialmente. Por exemplo, se você usar o roteador em uma rede pequena para armazenar solicitações de DNS em cache, o tráfego DNS atingirá a interface LOCAL. A mesma coisa se você usá-lo para DHCP e qualquer outro serviço de rede.
- Veja acima. Se você quiser usar o roteador para armazenar solicitações de DNS em cache, terá que permitir que seu LOCAL se comunique com a WAN, assim como a LAN faz.
- Os conjuntos de regras são independentes e pode ser útil para a clareza da configuração ser explícito com o que está bloqueado. Então eu preferiria ter todas as regras declarando a intenção. Com isso em mente eu teria WAN_LOCAL.
Há algum tempo visualizei o processo de pensamento para o caso em que não há serviços dentro do roteador que necessitem de acesso WAN para ER POE8.
Responder3
Para evitar acesso não autorizado aos serviços do roteador a partir da interface WAN, basta alterar a senha padrão na conta admin (ubnt).
Veja o artigoVelocidades de recuperação de senha. Ele descreve o tempo máximo de crack para uma senha aleatória, pelo comprimento da senha e pelos caracteres usados.
Por exemplo, o tempo necessário para quebrar B33r&Muguma rede distribuída de supercomputadores (NSA) é estimado em 83 dias, enquanto uma estação de trabalho de última geração precisará de mais de 2 anos. Isso ocorre porque essa senha usa letras maiúsculas e minúsculas, bem como números e caracteres especiais, embora ainda seja bastante curta (8 caracteres).