آموزش کار با Filter Rules (جلسه ۳۰)

آموزش کار با filter rules

ما قرار است که در ادامه ی مباحث امنیت در رابطه با فیلتر رول ها صحبت کنیم.

توضیحات اولیه

موضوع فیلتر رول ها، شامل مفاهیم متعددی می شود و شما باید بتوانید رول هایی را بر اساس کاری که می خواهید انجام دهید در میکروتیک ایجاد کنید. مبحث فیلتر رول که بخش سوم است، احتمالاً شامل چند بخش خواهد شد؛ زیرا باید در قالب چند مثال برایتان توضیح دهیم و در قالب مثال، بهتر می توانیم مفهوم فیلترها و کاربرد فیلترها را به شما توضیح و انتقال دهیم. حال ببینیم که در سناریویی که پیش رو داریم، باید چه کار کنیم.

ما از قبل، تصویری را مطابق تصویر زیر برایتان ساختیم که شما ببینید که این سناریو، دقیقاً به چه شکلی است.

مستطیل بزرگ(بالای تصویر)، روتر میکروتیکمان است که ما پورت اتر ۱ را به مودمی وصل کردیم که اینترنت دارد(روی روتر نیز به شما نشان خواهیم داد؛ عجله نکنید) و پورت ۴ و ۵ میکروتیک را با یک دیگر bridge کردیم و در واقع به شبکه ی LAN ما وصل شده است. خط قرمزی که در وسط تصویر مشاهده می کنید، دقیقاً فاصله ی بین LAN و WAN است؛ یعنی جایی که ما باید امنیت را تأمین کنیم.

فیلتر رول ها نیز، دقیقاً در همین قسمت نوشته می شوند و زمانی که یک پکت در حال وارد شدن به میکروتیک از طریق شبکه ی WAN است، ما این موضوع را در فیلترها بررسی کرده و در صورتی که مطلوب بود و پکتی بود که ما انتظارش را داشتیم، آن وقت آن را به شبکه ی LAN انتقال می دهیم؛ یعنی دقیقاً ما فیلتر رول را در این قسمت(نقطه) پیاده سازی می کنیم(قسمت مشخص شده با فلش آبی رنگ در بالای تصویر) که پکت ها در صورتی از شبکه ی WAN وارد شبکه ی LAN شوند که ما آن ها را بررسی کرده باشیم. این کاری است که فیلتر رول ها انجام می دهند.

ما یک اینترنت فیبر نوری را در این بخش برایتان در نظر گرفتیم و مودمی نیز داریم که دو ورودی برای آن قرار داده ایم: یکی RJ11 و یکی fiber(فیبر نوری) که مودم ما، فیبر نوری است و به مودم هواوی وصل شده و مودم در حالت bridge است. اینترنت و کلاً خط ما از طریق fiber است و به مودم هواوی وصل شده است و bridge شده و در نهایت از طریق RJ45 به پورت ۱ میکروتیکمان، وصل شده است. این کاری است که ما انجام دادیم و اینترنت را روی میکروتیکمان، راه اندازی کردیم.

حال به سراغ Winbox برویم. ما یک کانکشن در قسمت ppp ساختیم و اینترفیس آن طبق توضیحاتی که دادیم، ether 1 است و در قسمت Dial OUT نیز، userpass آن را قرار دادیم و connect را زدیم و اگر دقت کنید، وضعیت آن connect است؛ یعنی ما یک کانکشن ppp ساختیم(که آموزش آن را در بخش های قبلی داشتیم).

حالا سیستم ما، دقیقاً به یکی از پورت های ۴ یا ۵ وصل شده است و روش درست این است که سوئیچی داشته باشیم که این سوئیچ به پورت ۴ یا ۵ که شبکه ی LANمان است و با یک دیگر bridge هستند وصل شده و در نهایت ما یک DHCP Server داریم که آن را روی همین Bridge، Run کردیم.

برای این کار به قسمت IP بخش DHCP Server رفته و DHCP 1 را مشاهده می کنیم که در حال پیروی کردن از این Address Pool است: pbxshop.pool؛ یعنی بر اساس این آدرس در حال IP دادن به کلاینت هایمان است.

اگر به قسمت Network بروید، مشاهده می کنید که گتوی آن را ۱۰.۱ گذاشته ایم و DNS Serverمان نیز، ۸.۸.۸.۸ است.

این، همان تنظیمات DHCP Serverمان است. پس رنج شبکه ی ما ۱۰.۰ است؛ اما ۴ و ۵ چه IPای را دارند؟ آی پی ۱۰.۱ که همان گتوی کل کلاینت هایمان است. پس DHCP در حال دادن IP به کلاینت ها در رنج ۱۰ است و DNSای که به کل کلاینت ها می دهد، ۸.۸.۸.۸ و گتوی نیز ۱۰.۱ و رنج آن، .۰/۲۴۱۰ است؛ اما محدوده ی آن، دیگر کل رنج نیست و یک pool برای آن نوشتیم. این کارهایی بود که ما در جلسات قبلی انجام دادیم.

اگر به قسمت IP بخش IP Pool بروید، مشاهده می کنید که رنج، ۱۰.۲۰ تا ۱۰.۸۰ است. این رنج ما است و DHCP در حال دادن IP به کلاینت ها در این رنج می باشد.

حالا سیستم ما چه IPای دارد؟ ابتدا به قسمت CMD می رویم. سپس می نویسیم: ipconfig. ملاحظه می کنیم که  آی پی ۱۰.۸۰ را با گتوی ۱۰.۱ دارد.

فرض کنید کلاینت سمت چپ تصویر، کلاینت خودمان است که IP آن ۱۰.۸۰ و گتوی آن ۱۰.۱ و DNS آن نیز، ۸.۸.۸.۸ می باشد. ما در چه مواقعی به DNS نیاز داریم؟ زمانی که بخواهیم با Name Resolveها کار کنیم و زمانی که بخواهیم به سایت وصل شویم که حتماً باید اسم سایت به IP برگردانده شود که این کار را DNS Server انجام می دهد که آن را به صورت پیش فرض، ۸.۸.۸.۸ گذاشتیم.

اکنون مروری بر بخش های قبل داشته باشیم. ما DHCP Server را Run کردیم و خود میکروتیک، اینترنت دارد؛ چرا؟ چون کانکشن ppp، روی خود میکروتیک است. اگر به قسمت Tools و بخش Ping برویم و ۸.۸.۸.۸ را وارد کنیم، پینگ دارد.

ما برای مثال به عنوان یک کلاینت به پورت ۵ میکروتیک وصل شده ایم و آی پی ۱۰.۸۰ و گتوی و DNS را گرفتیم. آیا اینترنت داریم یا باید کار خاصی را روی میکروتیک انجام دهیم؟ ما در قسمت NAT در مورد این موضوع صحبت کردیم. گفتیم که باید یک Source NAT بنویسیم که دسترسی کلاینت ها به WAN را برقرار کند؛ یعنی در واقع Source IP کلاینت ها با IPهای پابلیک جا به جا یا ترنسلیت شوند و این دسترسی ایجاد می شود.

پس ما به قسمت IP و بخش firewall می رویم و در قسمت NAT، یک Source NAT را می نویسیم که در قسمت SRC.Address نوشته ایم: ۱۰.۰؛ یعنی هر سورسی که روی ۱۰.۰ قرار دارد و دقت کنید که Out Interface را روی اسم آن کانکشن ppp گذاشتیم(pppoe-out2) که می توانیم آن را برداریم و مهم نیست.

Action آن را نیز روی masquerade قرار دادیم و Apply کردیم. این کاری است که ما در بحث NAT انجام دادیم و مرور بخش های قبلی می باشد.

اکنون سیستم ما، اینترنت دارد. دیفالت روت هم که نوشتیم که به واسطه ی کانکشن ppp که ساختیم و چون تیک آن را در قسمت Dial Out زدیم، اگر به قسمت IP بخش Routes برویم، مشاهده می کنیم که خود میکروتیک، دیفالت روت را به صورت داینامیک ساخته است و در حال برقراری روت آن است. NAT را هم که نوشتیم.

پس الان کلاینت ما یعنی سیستم خودمان، اینترنت دارد. این پیش نیازهایی بود که گفتیم تا شما بدانید که اینترنت، چگونه در حال برقرار شدن است تا بخواهیم به سراغ فیلتر رول ها برویم و مثال ها را با یک دیگر، چک کنیم.

پینک ۸.۸.۸.۸ را می گیریم و مشاهده می کنیم که داریم. حال از یک آدرس پینگ میگیریم که مطمئن شویم که DNSمان نیز در حال کار کردن است و ملاحظه می کنیم که هیچ مشکلی ندارد.

Filter Rules

ما تا این قسمت، اینترنت را به میکروتیک دادیم و سیستممان نیز اینترنت دارد. حال به قسمت Filter Rules می رویم که جایی است که شما می توانید رول های مختلفی را جهت تأمین امنیت بنویسید و پیاده سازی کنید. ما دقیقاً در این مینی دوره که به امنیت مربوط می شود، بیشتر با این قسمت کار داریم و قرار است که با رول هایی که در این قسمت پیاده سازی می کنیم، امنیت را تأمین کنیم.

ما با چند مثال خیلی ساده شروع می کنیم. قبل از این که بخواهیم وارد مثال شویم، توضیحی در رابطه با نوشتن فیلتر رول ها بدهیم؛ در واقع شما با این موضوع آشنا هستید؛ چرا که قسمت NAT، مشابه فیلتر رول ها است. اگر علامت + را بزنیم، فیلتر رولمان باز می شود و زمانی که Apply کنیم، رولمان ایجاد یا نوشته می شود. ما در این قسمت، سه سربرگ General، Advanced و Extra را داریم.

این سه سربرگ به شرایط مربوط می شوند؛ یعنی شرط هایی که ما باید بگذاریم و بگوییم که اگر این شرایط برقرار بود، فلان Action انجام شود؛ مشابه NAT. روی NAT هم به همین صورت بود؛ حال کار NAT چیز دیگری است(ترنسلیت کردن است) در حالی که این قسمت به بحث عبور دادن پکت ها و ایجاد دسترسی مربوط می شود و مقداری با NAT متفاوت است. پس ما در این سه سربرگ، شرط هایمان را می نویسیم.

برای مثال می گوییم: اگر این پکت ها از کشور چین بود، فلان اتفاق بیفتد یا اگر این پکت ها از یک اینترفیس مشخص یا از اینترنت و یا از یک شبکه ی WAN دیگر مانند MPLS وارد شده بودند و یا از لیستی از آی پی ها با سورس مشخص بودند و یا اگر دستینیشن آن ها شامل این آی پی ها بود و…. همان طور که ملاحظه می کنید، تمام این موارد با “اگر” شروع شده اند.

 زمانی که ما بخواهیم رولی را پیاده سازی کنیم، باید شرطی را برای آن بگذاریم و بگوییم که اگر پکت این بود، فلان اتفاق بیفتد. این همان شرطمان است که ما باید دقیقاً در سربرگ های General، Advanced و Extra، پیاده سازی کنیم. حال بستگی به رولی دارد که ما می خواهیم بنویسیم(ما مثال هایی را در بخش های بعدی برایتان خواهیم زد).

پس شرطمان در سه سربرگ اول نوشته می شود و در Action می گوییم که چه اتفاقی برای آن بیفتد؛ یعنی برای مثال اگر این شرایط را داشت، پکت drop یا Accept شود، Source IP یا Dst IP آن را بگیریم و درلیستی قرار دهیم یا موارد دیگر. Actionهای زیادی در این قسمت وجود دارند.

می توانیم هر یک از این موارد را برای پکت مورد نظرمان اجرا کنیم و این موارد، Action ما هستند. پس ما یک سری شرط داریم که می گوییم اگر این شرط ها برقرار شدند چه اکشنی اتفاق بیفتد. این، همان خلاصه ی رول نویسی است.

حال در قسمت General، شما می توانید Chain را در سه حالت قرار دهید.

پکت هایی در این دوره مد نظرمان هستند که از سمت اینترنت می آیند و هدف ما، امنیت است. گاهی در یک سری از شرکت ها رول هایی را برای پکت هایی که در حال انتقال از داخل به بیرون هستند، می نویسند. الان این موضوع، مورد نظر ما نیست. ما می خواهیم امنیت را تأمین کنیم؛ تأمین امنیت به این منظور که جلوی حمله ها(Attackها) را بگیریم؛ Attacهایی که از سمت اینترنت در حال شروع شدن و آمدن هستند.

ما قاعدتاً داخل شبکه ی خودمان، کسی را نداریم که به سرورمان Attack بزند. این امر در سازمان های بزرگ ممکن است؛ ولی در شبکه ها یا شرکت های کوچک، چنین چیزی امکان پذیر نیست. پس هدف ما بررسی پکت هایی است که در حال وارد شدن از سمت WAN هستند.

حال ما سه Chain داریم. یک Chain به Input مربوط است؛ یعنی پکت هایی که مستقیماً در حال وارد شدن به میکروتیک هستند. مورد دیگر شامل پکت هایی است که در حال رد شدن از میکروتیک و رسیدن به کلاینت هستند؛ یعنی پکت از اینترنت وارد شده و بعد به داخل سوئیچ رفته و به یک کلاینت وصل می شود.

این اتفاق در چه مواقعی رخ می دهد؟ زمانی که برای مثال ما به عنوان یک کلاینت، درخواست می دهیم که یک وب(برای مثال سایت گوگل) برایمان باز شود. این همان Chain از نوع forward است؛ یعنی کلاینت درخواست داده و از روتر رد شده و دوباره درخواست برگشته است و دوباره از میکروتیک رد شده و به کلاینت می رسد.

قرار نیست روی خود میکروتیک تأثیری بگذارد و هدف آن پکت، خود روتر نیست؛ بلکه کلاینت است؛ یعنی پکت در حال رد شدن از میکروتیک است؛ یعنی forward. نوع دیگری به نام Output نیز داریم که برای مواقعی است که درخواست در حال خارج شدن از خود میکروتیک است. پس شما می توانید Chain را در سه حالت انتخاب کنید.

زمانی که پکت ها در حال رد شدن از میکروتیک هستند و میکروتیک قرار نیست که هدف باشد، نوع Chain، forward است. زمانی که هدف پکت ها خود میکروتیک است، برای مثال ما می خواهیم با Winbox به میکروتیک وصل شویم و با میکروتیک کار داریم، نوع Chain، input است و زمانی که در حال وصل شدن به بیرون با میکروتیک هستیم و پکت در حال خارج شدن از خود میکروتیک است؛ برای مثال زمانی که ما می خواهیم میکروتیک را آپدیت کنیم، Chain از نوع Output است.