Вопрос или проблема
Я настраиваю MikroTik cAP, который будет сконфигурирован как точка доступа для нескольких арендаторов. Интерфейс LAN является интерфейсом VLAN trunk. Для каждого арендатора, а также для управленческой сети LAN, я настраиваю отдельный мост. Порты на мосту представляют собой VLAN на ether1 и виртуальный беспроводной интерфейс для каждой частотной полосы. Только мост для управленческой сети LAN имеет настроенный IP-адрес, остальные – нет, поэтому cAP недоступен по IP с сетей арендаторов. (Сервер MAC также выключен.)
После настройки управленческой сети и одного арендатора я вижу широковещательный трафик от этого арендатора в списке IP-соединений (/ip firewall connection print, или эквивалент в WebFig). Это выглядит так, как будто система передает их в собственный стек IP-протоколов, чего я хочу избежать, чтобы минимизировать поверхность атаки.
Как мне настроить мост так, чтобы он просто передавал трафик, не отправляя его в локальный стек IP?
Ответ или решение
Изоляция мостов от стека IP в MikroTik RouterOS
При настройке MikroTik cAP в качестве многопользовательской точки доступа (AP) и использовании VLAN для каждой арендатора, важно обеспечить высокий уровень безопасности, чтобы минимизировать возможные уязвимости. Ваша цель — изолировать трафик, проходящий через мосты, и не позволять ему попадать в стек протоколов IP операционной системы. В этом ответе мы подробно рассмотрим, как можно настроить мосты на MikroTik RouterOS, чтобы достичь этой изоляции.
Шаги для изоляции мостов
-
Создание мостов:
Убедитесь, что у вас созданы мосты для каждого арендатора и их конфигурация включает только соответствующие порты VLAN и виртуальные беспроводные интерфейсы. Например, для арендатора 1 можно использовать следующую команду:/interface bridge add name=bridge-tenant1 -
Настройка VLAN:
Для каждого арендатора добавьте соответствующие VLAN к мосту. Это будет определять, какие интерфейсы будут присоединены к этому мосту./interface vlan add name=vlan-tenant1 vlan-id=100 interface=ether1 /interface bridge port add bridge=bridge-tenant1 interface=vlan-tenant1 -
Отключение стека IP:
Для того чтобы исключить передачу трафика через локальный стек IP, вам необходимо убедиться, что мост не имеет настроенного IP-адреса. Не устанавливайте IP-адреса для мостов, предназначенных для арендаторов, например:/ip address add address=192.168.1.1/24 interface=bridge-managementУбедитесь, что для
bridge-tenant1и всей последующей конфигурации адреса не добавлены. -
Настройка фильтрации ARP:
Настройте фильтрацию ARP для мостов, чтобы предотвратить использование ARP для связи с локальным стеком IP. Это можно сделать, установив ARP настройку на "disabled":/interface bridge settings set use-ip-firewall=yes /interface bridge port set [find interface=bridge-tenant1] arp=disabled -
Настройка файрвола:
Вам необходимо также убедиться, что в правилах файрвола нет сценариев, которые будут отфильтровывать или перенаправлять трафик из моста в стек IP. Возможно, вам придется создать отдельные правила для обработки трафика управления:/ip firewall filter add chain=forward in-interface=bridge-tenant1 action=dropЭто правило гарантирует, что любой трафик, входящий в
bridge-tenant1, будет отброшен. -
Проверка конфигурации:
Используйте следующие команды для проверки текущей конфигурации и убедитесь, что трафик не попадает в стек IP:/ip firewall connection print
Заключение
Следуя этим шагам, вы сможете значительно снизить поверхность атаки вашего MikroTik cAP, обеспечив изоляцию мостов от локального стека IP. Это отношение снижения рисков помогает вам создать многопользовательскую среду, в которой каждый арендатор может использовать свои ресурсы, не подвергая опасности безопасность всей сети. заботясь при этом о конфиденциальности и безопасности ваших арендаторов.