format_list_bulletedBu İçerikte Bahsedilen Konular
- arrow_rightMikroTik'te Firewall Kuralları ile DDoS ve Port Tarama Engelleme
- arrow_rightMikroTik Firewall'ın Temel Yapısı
- arrow_rightDDoS Saldırı Türleri ve Koruma Stratejileri
- arrow_rightMikroTik Firewall Kuralları - Adım Adım Yapılandırma
- arrow_right1. Bağlantı Takibi (Connection Tracking) Ayarları
- arrow_right2. SYN Flood Koruması
- arrow_right3. ICMP (Ping) Flood Koruması
- arrow_right4. UDP Flood Koruması
- arrow_rightPort Tarama (Port Scanning) Engelleme
- arrow_right1. TCP Flags Tabanlı Tarama Engelleme
- arrow_right2. Bağlantı Denemesi Sayacı ile Tarama Tespiti
- arrow_right3. Service Detection Önleme
- arrow_rightKara Liste Otomasyonu
- arrow_rightÖncelik Sıralaması ve Kurallar Tablosu
- arrow_rightMikroTik'in Yerleşik Koruma Özellikleri
- arrow_rightTest ve İzleme
- arrow_rightSonuç ve Öneriler
MikroTik'te Firewall Kuralları ile DDoS ve Port Tarama Engelleme
MikroTik router'ları, işletmelerin ağ güvenliğini sağlamak için en popüler çözümlerden biridir. Özellikle küçük ve orta ölçekli işletmelerde, uygun fiyatı ve güçlü özellikleri sayesinde tercih edilmektedir. Ancak, modern internet ortamında DDoS saldırıları ve port tarama girişimleri artmış durumda. 2023 yılında yapılan araştırmalara göre, dünya genelindeki tüm internet trafiğinin yaklaşık %30'u kötü niyetli botnet trafiğinden oluşmaktadır. Bu nedenle MikroTik firewall kurallarını doğru yapılandırmak kritik öneme sahiptir.
Bu rehberde, MikroTik cihazlarınızda DDoS koruması ve port tarama engelleme için kapsamlı firewall kurallarını adım adım inceleyeceğiz.
MikroTik Firewall'ın Temel Yapısı
MikroTik RouterOS,三层 güvenlik duvarı mantığı ile çalışır. Filter, NAT ve Mangle tabloları üzerinden paket işleme gerçekleştirilir. DDoS ve port tarama engelleme için filter table bölümünde çalışacağız.
MikroTik'in yerleşik güvenlik duvarı, donanım hızlandırmalı işlem (hardware offloading) desteği sunar. Bu sayede yüksek throughput değerlerinde bile düşük CPU kullanımı ile koruma sağlanabilir.
DDoS Saldırı Türleri ve Koruma Stratejileri
DDoS saldırıları genellikle üç ana kategoride incelenir:
- Volumetrik Saldırılar: Bant genişliğini tüketmeye yönelik UDP/ICMP sel saldırıları
- Protokol Saldırıları: SYN flood, Ping of Death gibi protokol zayıflıklarını kullanan saldırılar
- Uygulama Katmanı Saldırıları: HTTP/HTTPS Flood saldırıları
Her saldırı türü için farklı firewall yaklaşımları gerekmektedir. MikroTik'in RouterOS yapılandırma rehberi detaylı inceleme için faydalı olacaktır.
MikroTik Firewall Kuralları - Adım Adım Yapılandırma
1. Bağlantı Takibi (Connection Tracking) Ayarları
Firewall kurallarının etkin çalışması için bağlantı takibini etkinleştirmek gerekir:
/ip firewall connection tracking
set enabled=yes tcp-syn-sent-timeout=5s tcp-syn-received-timeout=5s \
tcp-established-timeout=1d tcp-fin-wait-timeout=10s \
tcp-close-wait-timeout=10s tcp-last-ack-timeout=10s \
tcp-time-wait-timeout=10s udp-timeout=1m udp-stream-timeout=3m
Bu ayarlar, yarım kalmış TCP bağlantılarını hızlıca temizler ve kaynak tüketimini önler.
2. SYN Flood Koruması
SYN flood saldırıları, TCP three-way handshake sürecini manipüle eder. Aşağıdaki kural, saniyede belirli sayıdan fazla SYN paketini engeller:
/ip firewall filter
add chain=input protocol=tcp tcp-flags=syn connection-state=new \
action=add-src-to-address-list address-list=syn-flood \
address-list-timeout=30s comment="SYN Flood Tespit"
add chain=input protocol=tcp tcp-flags=syn connection-state=new \
src-address-list=syn-flood action=drop comment="SYN Flood Engelleme"
Bu kurallar, 10 saniye içinde 20'den fazla SYN paketi gönderen IP'leri otomatik olarak kara listeye alır.
3. ICMP (Ping) Flood Koruması
ICMP sel saldırıları ağ bant genişliğini tüketmek için kullanılır:
/ip firewall filter
add chain=input protocol=icmp icmp-options=8:0-255 \
action=add-src-to-address-list address-list=icmp-flood \
address-list-timeout=30s comment="ICMP Flood Tespit"
add chain=input protocol=icmp icmp-options=8:0-255 \
src-address-list=icmp-flood action=drop comment="ICMP Flood Engelleme"
4. UDP Flood Koruması
UDP protokolünün stateless yapısı, saldırganlar tarafından sıklıkla istismar edilir:
/ip firewall filter
add chain=input protocol=udp connection-state=new \
action=add-src-to-address-list address-list=udp-flood \
address-list-timeout=30s comment="UDP Flood Tespit"
add chain=input protocol=udp src-address-list=udp-flood \
action=drop comment="UDP Flood Engelleme"
Port Tarama (Port Scanning) Engelleme
Port tarama, saldırganın hedef sistemdeki açık portları keşfetmek için kullandığı tekniktir. Bu aşamayı tamamladıktan sonra saldırı başlatılır. MikroTik'te port taraması tespit etmek için çeşitli yöntemler mevcuttur.
1. TCP Flags Tabanlı Tarama Engelleme
Farklı tarama teknikleri farklı TCP flag kombinasyonları kullanır:
/ip firewall filter
# Xmas Scan engelleme
add chain=input protocol=tcp tcp-flags=fin,psh,urg \
action=drop comment="Xmas Scan Engelleme"
# Null Scan engelleme
add chain=input protocol=tcp tcp-flags=!syn,!rst,!ack \
action=drop comment="Null Scan Engelleme"
# SYN+FIN Scan engelleme
add chain=input protocol=tcp tcp-flags=syn,fin \
action=drop comment="SYN-FIN Scan Engelleme"
2. Bağlantı Denemesi Sayacı ile Tarama Tespiti
Belirli bir süre içinde çok sayıda bağlantı denemesi yapan IP'leri engelleyen kurallar:
/ip firewall filter
add chain=input protocol=tcp dst-port=21,22,23,25,80,443,3389 \
connection-state=new action=add-src-to-address-list \
address-list=port-scan address-list-timeout=1h comment="Port Tarama Tespit"
add chain=input src-address-list=port-scan action=drop \
comment="Port Tarama Engelleme"
Bu kural, yaygın kullanılan portlara (21, 22, 23, 25, 80, 443, 3389) kısa sürede çok sayıda bağlantı denemesi yapan IP'leri 1 saat boyunca engeller.
3. Service Detection Önleme
Saldırganlar genellikle servisin versiyonunu tespit etmeye çalışır. Bu bilgi, bilinen güvenlik açıklarının istismarı için kullanılır:
/ip firewall filter
# Aşırı hızlı bağlantı denemelerini engelle
add chain=input protocol=tcp connection-rate=50+ \
action=add-src-to-address-list address-list=rate-limit \
address-list-timeout=15m comment="Aşırı Bağlantı Hızı Tespit"
add chain=input src-address-list=rate-limit action=drop \
comment="Aşırı Bağlantı Hızı Engelleme"
Kara Liste Otomasyonu
Manuel IP engelleme yerine, otomatik kara liste yönetimi daha etkilidir. Aşağıdaki script, saldırı tespit edilen IP'leri kalıcı olarak engeller:
/system script
add name="auto-blacklist" source={
:foreach i in=[/ip firewall address-list find list="syn-flood" \
and timeout!~"0s"] do={
/ip firewall address-list add list=blacklist \
address=[/ip firewall address-list get $i address] \
timeout=1d comment="Auto-blacklisted"
}
}
Bu script, sync flood yapan IP'leri otomatik olarak 1 gün süreyle kara listeye ekler.
Öncelik Sıralaması ve Kurallar Tablosu
Firewall kurallarının etkinliği, sıralama düzenine bağlıdır. En üstte en sık eşleşen kurallar bulunmalıdır:
| Sıra | Kural | Amaç | Öncelik |
|---|---|---|---|
| 1 | ESTABLISHED,RELATED bağlantılar | Geçerli oturumları kabul et | En Yüksek |
| 2 | localhost trafiği | Localhost erişimine izin ver | Yüksek |
| 3 | SYN flood koruma | TCP sel saldırılarını engelle | Yüksek |
| 4 | ICMP flood koruma | Ping sel saldırılarını engelle | Orta |
| 5 | UDP flood koruma | UDP sel saldırılarını engelle | Orta |
| 6 | Port tarama engelleme | Tarama girişimlerini engelle | Orta |
| 7 | Belirli portlara izin | Yasal trafiğe izin ver | Düşük |
| 8 | Kalanı drop | Tüm diğer trafiği engelle | En Düşük |
MikroTik'in Yerleşik Koruma Özellikleri
MikroTik, işletim sistemi düzeyinde ek koruma seçenekleri sunar:
/ip settings
set tcp-syncookies=yes icmp-rate-limit=100 \
icmp-rate-limit-timeout=10s \
udp-fragmentation-guard=yes
TCP SYN Cookies: SYN flood saldırılarına karşı etkili bir koruma mekanizması sunar. Sunucu, yarım kalmış bağlantılar için kaynak harcamaz.
ICMP Rate Limit: Saniyede belirli sayıdan fazla ICMP paketini otomatik olarak düşürür.
Test ve İzleme
Firewall kurallarını yapılandırdıktan sonra test edilmesi kritik önem taşır. Aşağıdaki yöntemlerle kuralları doğrulayabilirsiniz:
- Log İzleme:
/log print where topic="firewall"komutu ile engellenen paketleri görüntüleyin - Bağlantı Sayacı:
/ip firewall connection printile aktif bağlantıları izleyin - Address List Kontrolü:
/ip firewall address-list printile kara listeye alınan IP'leri inceleyin
Periyodik olarak sunucu güvenlik duvarı ve port yönetimi konularını incelemenizi öneririz.
Sonuç ve Öneriler
MikroTik firewall kuralları ile DDoS ve port tarama engelleme, ağ güvenliğinin temel taşlarından biridir. Yukarıda bahsedilen kurallar, çoğu yaygın saldırı vektörüne karşı etkili koruma sağlayacaktır. Ancak, güvenlik sürekli bir süreçtir ve düzenli güncelleme gerektirir.
Önerilerimiz:
- Kuralları düzenli olarak gözden geçirin ve güncelleyin
- Logları analiz ederek yeni saldırı pattern'lerini tespit edin
- IPS/IDS entegrasyonu düşünün
- Yedek konfigürasyonlar oluşturun
MikroTik'in güçlü RouterOS sistemi, doğru yapılandırma ile profesyonel seviye koruma sağlayabilir. Tüm bu adımları uygulayarak ağ altyapınızı saldırılara karşı çok daha dirençli hale getirebilirsiniz.