În prezent, toate sistemele de operare au un sistem preinstalat firewall, dar în multe cazuri, nu îl avem activat sau nu îl avem configurat corect. Routerele care sunt creierul întregii rețele au, de asemenea, un firewall preinstalat și activat, bazat în principal pe iptables, deoarece marea majoritate a firmware-urilor se bazează pe Linux. Astăzi, în acest articol, vă vom arăta ce opțiuni de configurare putem găsi într-un firewall pentru routere, folosind ASUS routere și, de asemenea, AVM FRITZ! Box, doi producători al căror firmware este complet complet și ne permite o configurabilitate excelentă.
Un aspect foarte important pe care trebuie să-l luăm în considerare este faptul că atunci când avem firewall-ul routerului activat, de asemenea, este recomandat să avem un firewall pe PC-uri, deși nu este în totalitate necesar, întrucât suntem într-un mediu NAT, deci din Internet Acestea pot accesa echipamentele noastre fără să fi deschis anterior un port la computerul nostru sau să deschidă direct DMZ pe computerul nostru. În ultimul caz, este recomandat să aveți un firewall instalat și configurat pe computer, deoarece acesta va fi complet accesibil de pe Internet.
Pentru ce este un firewall pe un router?
Datorită firewall-urilor, vom putea permite sau bloca traficul de intrare și de ieșire prin diferitele interfețe ale routerului, atât în WAN, cât și în LAN. Cu toate acestea, marea majoritate a utilizatorilor doresc să aibă un firewall pe rețeaua WAN pentru a controla traficul din exterior către routerul propriu-zis.
Un firewall într-un router, ne va permite să blocăm orice încercare de a accesa un anumit port pe router, adică dacă avem portul TCP 22 deschis al SSH, putem limita numărul de conexiuni simultane, numărul de conexiuni în un anumit timp și putem permite chiar și o anumită adresă IP să acceseze serverul SSH al routerului nostru.
Un aspect foarte important al firewall-urilor unui router este faptul că, în mod implicit, toate comunicațiile care încep peste hotare (pe Internet) sunt respinse (DROP), dacă nu au fost autorizate în mod special înainte, deci politica de „a refuza totul” este cea mai recomandat.
Calculatoarele LAN sunt întotdeauna în spatele NAT
În prezent, cu rețelele IPv4, folosim NAT / PAT, astfel încât cu aceeași adresă IP publică, toate computerele pe care le avem pe LAN pot ieși pe Internet. Un detaliu important este faptul că toate comunicațiile care sunt făcute de la echipamentele LAN către Internet sunt permise, adică o priză este deschisă pe computer și curge către destinație, iar în tabelul NAT vom avea traducerea pe care am efectuat-o. de la IP privat la IP public, astfel încât la întoarcerea pachetului, acesta poate fi redirecționat corect către destinația sa.
Dacă de pe Internet, încercăm să inițiem comunicarea cu un computer LAN, nu am putea în mod direct, decât dacă:
- Am configurat o redirecționare a porturilor (porturi deschise) de pe router către acel computer.
- Am configurat DMZ la IP-ul privat al PC-ului în cauză.
Prin urmare, orice comunicare de la Internet la LAN este blocată implicit. În plus, este foarte recomandat să dezactivați întotdeauna protocolul UPnP, astfel încât dispozitivele să nu poată deschide un port pe NAT-ul routerului și să fie mai protejate. Există anumite dispozitive care deschid un port permanent pe router, cum ar fi unele camere IP și care ar fi ușor accesibile prin internet.
Opțiuni de configurare firewall pe routere ASUS
Routerele ASUS includ un firewall bazat pe iptables, astfel încât am putea folosi întreaga putere a acestui firewall prin linia de comandă, fie prin telnet, fie prin SSH. Cu toate acestea, avem și anumite opțiuni de configurare disponibile pe routerul propriu-zis, astfel încât un utilizator cu cunoștințe de bază să nu fie nevoit să „atingă” firewallul intern.
În meniul „Firewall”, putem activa sau dezactiva firewall-ul bazat pe iptables pentru rețelele IPv4 și, de asemenea, rețele IPv6, configurația implicită este că în ambele protocoale avem firewall-ul activat, așa cum recomandă securitatea. ASUS ne permite să configuram un sistem anti-atac DoS pe rețelele IPv4, blocând adresa IP sursă dacă faceți mai multe încercări de conectare, pentru a atenua acest tip de atac.
O altă caracteristică interesantă este posibilitatea de a bloca orice ping (ICMP Echo-request) care se face în portul WAN al Internetului, acest lucru va permite ca, dacă cineva de pe Internet efectuează un ping, să fie automat blocat (DROP).
Firewall-ul pentru IPv6 este într-o stare de blocare totală, în acest caz operațiunea este oarecum diferită, deoarece ar afecta și computerele din LAN. În rețelele IPv6 nu avem NAT, dar PC-urile au o adresă IPv6 Global-Unicast, adică un IP public pentru fiecare computer, dar, în mod logic, vom fi protejați de firewall-ul routerului, unde implicit toate comunicările primite (din Internetul pentru computer cu IP public) este blocat, dar permite conectarea fără probleme a unei comunicări de ieșire.
O opțiune foarte interesantă pentru routerele ASUS este „Filtru LAN către WAN”. Am indicat anterior că firewall-urile vă permit să controlați atât traficul de la Internet la router, cât și la LAN, și invers, de la LAN la Internet. În acest caz, vom putea configura firewall-ul pentru a bloca ieșirea pachetelor la WAN din LAN, va trebui pur și simplu să introducem adresa IP de origine, destinație și porturi, pentru a adăuga această regulă la firewall și blocați pachetele de ieșire.
Deși nu l-am văzut, URL-ul și filtrarea cuvintelor cheie folosesc și firewall-ul, dar cu o lucrare anterioară de rezolvare a numelor și verificare a traficului.
Opțiuni de configurare firewall pe AVM FRITZ! Routere pentru cutii
În cazul routerelor AVM, avem și un firewall destul de configurabil. Pentru a accesa firewallul trebuie să mergem în meniu cu trei puncte verticale și să selectăm „Vedere avansată”. În meniul principal mergem la „ Internet / Filtre «, În această secțiune vom avea tot ce este legat de firewall și QoS.
În fila „Liste” este locul în care putem activa firewall-ul în modul stealth, pentru a nu răspunde cu răspunsul ecou la vreo solicitare de ecou trimisă în portul WAN. Alte opțiuni interesante de configurare sunt blocarea portului 25, care este tipicul folosit pentru a trimite e-mailuri fără nicio criptare, AVM ne permite să îl blocăm direct pentru a ne proteja. De asemenea, putem activa filtrarea NetBIOS și chiar Teredo, adică dacă nu folosim aceste servicii, cel mai bine este să le blocăm pentru securitate.
Deși nu este firewallul în sine, faptul că se află într-un mediu NAT poate fi cazul în care avem porturi deschise pe care nu le folosim cu adevărat. Este întotdeauna foarte recomandat să închideți orice tip de port care nu este utilizat, deoarece ar putea fi poarta de acces pentru cybercriminali.
La fel se întâmplă și cu FRITZ! Servicii Box, dacă nu dorim să „localizăm” routerul și să-l accesăm de la distanță prin IP-ul său public, cel mai bun lucru pe care îl putem face este să dezactivăm acest acces, amintiți-vă că am putea accesa și prin VPN și apoi accesați IP-ul privat al gateway-ului implicit.
După cum vedeți, putem crea mai multe conexiuni VPN, atât VPN cu acces la distanță, cât și VPN Site-to-Site cu aceste routere AVM, toate folosind întotdeauna protocolul IPsec, în prezent nu acceptă nici OpenVPN, nici Wireguard.
Prin urmare, este foarte recomandat ca, dacă routerul nostru are servicii accesibile Internetului, să le „expunem” doar pe cele pe care le vom folosi și nu toate, pentru că pentru securitate este întotdeauna necesar să avem toate porturile închise și blocate. , cu excepția celor care nu avem, nu avem de ales decât să deschidem.
Este necesar să ai un firewall pe computerul meu?
Toate computerele au un firewall activat în mod implicit și cu profiluri diferite pe care le putem configura foarte ușor. În cazul în care ferestre din 10, avem un total de trei profiluri cu permisiuni diferite pentru a permite / refuza traficul, în special avem „rețea de domeniu”, „rețea privată” și „rețea publică”. În general, vom folosi întotdeauna aceste ultime două.
Configurația firewall-ului în „Rețea privată” constă în acceptarea conexiunilor primite, întrucât ne aflăm într-un mediu de încredere, configurația firewallului în „Rețea publică” este de a respinge conexiunile primite dacă nu am făcut anterior comunicarea.
Trebuie să am un firewall activat pe computerul meu de desktop? Trebuie să reținem că lucrăm întotdeauna (sau aproape întotdeauna) într-un mediu NAT, deci nu există un port deschis pe router în mod implicit. În cazul deschiderii DMZ, utilizarea firewall-ului este esențială, precum și în modul „Rețea publică” pentru a bloca orice conexiune de intrare pe care nu am făcut-o anterior. În cazurile în care nu avem niciun port deschis, firewall-ul Windows nu ne va proteja decât de conexiunile prin LAN, deoarece pur și simplu nu ne pot ajunge de pe Internet pentru că nu au deschis niciun port (deși trebuie să vă asigurați că UPnP în router-ul ați dezactivat-o).
Dacă dorim să intrăm în firewall-ul Windows avansat, trebuie doar să facem clic pe „Setări avansate” din meniul principal al firewallului și vom primi acest meniu unde putem adăuga reguli diferite:
În mod implicit, un număr mare de programe pe care le folosim în fiecare zi au voie să accepte conexiuni. Dacă dorim să adăugăm o nouă regulă, facem clic pe „Regula nouă” în meniul din dreapta sus. De asemenea, putem face aceeași configurație pentru regulile de ieșire.
După cum ați văzut, este foarte important să aveți firewall-ul routerului activat și bine configurat, un alt aspect important în ceea ce privește NAT / PAT, este să nu aveți niciun port deschis dacă nu îl utilizăm, cu atât mai puțin să activăm DMZ-ul la computerul nostru, deoarece acest lucru prezintă un risc ridicat, deoarece toate porturile sunt deschise, cu excepția celor deschise în mod special la alte computere.
