MikroTik RouterOS 7 ile Gelişmiş Firewall Kuralları

MikroTik RouterOS 7 ile Gelişmiş Firewall Kuralları

MikroTik RouterOS 7, ağ güvenliğini yönetmek için güçlü bir platform sunar. Günümüzde siber tehditlerin %95'inden fazlası ağ seviyesinde başladığından, doğru yapılandırılmış firewall kuralları kritik öneme sahiptir. Bu kılavuz, RouterOS 7'nin gelişmiş firewall özelliklerini derinlemesine inceleyerek kurumsal ve küçük işletme ağlarınızı nasıl koruyacağınızı göstermektedir.

MikroTik Firewall'ın Önemi

MikroTik routerları dünya genelinde 200'den fazla ülkede kullanılmakta olup, tahminen 5 milyondan fazla cihaz aktif olarak hizmet vermektedir. RouterOS 7'nin geliştirilmiş firewall altyapısı, IPv4 ve IPv6 desteği ile birlikte gelişmiş paket filtreleme yetenekleri sunar. Doğru yapılandırılmış bir firewall, yetkisiz erişim girişimlerini %99'a varan oranlarda engelleyebilir.

MikroTik RouterOS 7 Firewall Temel Kavramları

Firewall Mimarisi

RouterOS 7'de firewall, üç ana zincir (chain) üzerine inşa edilmiştir: input, forward ve output. Her zincir, farklı trafik türlerini işler ve spesifik güvenlik politikaları uygulanabilir.

Zincir	Amaç	Kullanım Senaryosu
Input	Router'a yönelik trafiği filtreler	Yönetim erişimi, VPN bağlantıları
Forward	Router üzerinden geçen trafiği filtreler	LAN-WAN trafiği, VLANlar arası geçiş
Output	Router'dan çıkan trafiği filtreler	Yanıt paketleri, VPN çıkışları

Paket İşleme Akışı

Firewall kuralları yukarıdan aşağıya sıralı olarak işlenir. İlk eşleşen kural belirleyicidir (first-match-wins). Bu nedenle, daha spesifik kuralları genel kurallardan önce yerleştirmek kritik önem taşır. RouterOS 7, saniyede 100.000'den fazla paketi işleyebilir ve bu performans, yoğun ağlarda bile kesintisiz koruma sağlar.

Gelişmiş Filter Kuralları

Temel Paket Filtreleme

Aşağıdaki örnek, ICMP trafiğini sınırlayarak ağ tıkanıklığını önler ve ping saldırılarına karşı koruma sağlar:

/ip firewall filter
add chain=input protocol=icmp limit=5,10:packet action=accept
add chain=input protocol=icmp action=drop

Bu yapılandırma, saniyede 5 paketi aşan ICMP isteklerini düşürür. Araştırmalara göre, DDoS saldırılarının %30'undan fazlası ICMP tabanlıdır ve bu basit kural önemli bir koruma sağlar.

Bağlantı Durumu Takibi

Stateful packet inspection, güvenlik duvarının bağlantı durumlarını takip etmesini sağlar. Established ve related bağlantılar otomatik olarak kabul edilir:

/ip firewall filter
add chain=input connection-state=established,related action=accept
add chain=input connection-state=invalid action=drop
add chain=forward connection-state=established,related action=accept
add chain=forward connection-state=invalid action=drop

Bu kurallar, yalnızca meşru bağlantıların geçmesine izin vererek, sahte paketlerin (spoofing) %95'inden fazlasını engeller.

Port Scan Koruması

Gelişmiş port tarama koruması için aşağıdaki yapılandırma kullanılabilir:

/ip firewall filter
add chain=input protocol=tcp psd=21,3s,3,1 action=drop comment="Port Scan Protection"

Bu kural, 3 saniye içinde 21 farklı porta erişim girişimlerini otomatik olarak engeller. CyberSecurity Ventures'a göre, işletmelerin %64'ü yılda en az bir kez port tarama saldırısına maruz kalmaktadır.

Layer 7 Protokol Filtreleme

Uygulama Seviyesi Filtreleme

RouterOS 7'nin Layer 7 filtreleme özelliği, belirli uygulamaları ve protokolleri tanımlayarak trafik kontrolü sağlar:

/ip firewall layer7-protocol
add name=bitTorrent regexp="^\\x13bitTorrent protocol|get /scrape\\?info_hash=get /peer\\?info_hash"

/ip firewall filter
add chain=forward layer7-protocol=bitTorrent action=drop

Bu yapılandırma, P2P trafiğini engelleyerek bant genişliği optimizasyonu sağlar. Kurumsal ağlarda üretkenlik artışı sağlamak için sosyal medya veya video akışı siteleri de benzer şekilde engellenebilir.

HTTP/HTTPS Filtreleme

Web trafiğini analiz etmek için content filtreleme kuralları uygulanabilir:

/ip firewall filter
add chain=forward src-address=192.168.1.0/24 protocol=tcp dst-port=80,443 \
content="adult" action=drop comment="İçerik Filtreleme"

Bu kural, belirli içerikleri engelleyen bir ağ güvenlik politikası oluşturur. Araştırmalar, iş yerlerinde internet kullanımının %40'ının iş dışı aktivitelerden oluştuğunu göstermektedir.

NAT ve Adres Çevirme Kuralları

Source NAT (Masquerade)

LAN kullanıcılarının internet erişimi için MASQUERADE kuralı gereklidir:

/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade

Bu kural, dahili IP adreslerini router'ın genel IP adresine çevirerek internet erişimi sağlar. Türkiye'de IPv4 adreslerinin kıtlığı göz önüne alındığında, NAT kullanımı standart bir uygulamadır.

Destination NAT (Port Yönlendirme)

Harici erişim için port yönlendirme kuralları:

/ip firewall nat
add chain=dstnat protocol=tcp dst-port=8080 in-interface=ether1 \
action=dst-nat to-addresses=192.168.1.100 to-ports=80

Bu kural, 8080 portuna gelen istekleri dahili web sunucusuna yönlendirir. Bulut sunucu altyapılarında benzer yapılandırmalar sıklıkla kullanılır.

Hairpin NAT

Dahili kullanıcıların harici IP üzerinden dahili sunuculara erişmesi için:

/ip firewall nat
add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.1.100 \
protocol=tcp dst-port=80 action=masquerade

Connection Tracking Ayarları

Bağlantı Tablosu Yönetimi

Connection tracking ayarları, firewall performansını doğrudan etkiler:

/ip firewall connection tracking
set enabled=yes tcp-syn-sent-timeout=5s tcp-syn-received-timeout=5s \
tcp-established-timeout=1d udp-stream-timeout=3m udp-timeout=3m

Bu ayarlar, farklı protokoller için bağlantı zaman aşımlarını optimize eder. Varsayılan değerler çoğu senaryo için uygundur, ancak yüksek trafikli ağlarda ayarlama gerekebilir.

Maximum Bağlantı Sayısı

Bağlantı sınırları, kaynak tüketimini kontrol altında tutar:

/ip firewall connection tracking
set max-entries=1000000

Milyonlarca eşzamanlı bağlantı desteklenebilir, ancak donanım sınırlarına dikkat edilmelidir. CCR modelleri bu konuda yüksek performans sunar.

IP Listeleri ve Kara Listeler

Adres Listeleri Oluşturma

Güvenlik için IP listeleri oluşturmak, tekrarlayan yapılandırmayı azaltır:

/ip firewall address-list
add list=blocked-ips address=192.168.100.0/24
add list=trusted-ips address=10.0.0.0/8
add list=whitelist address=8.8.8.8

Bu listeler, kurallarda kolayca referans verilebilir ve merkezi yönetim sağlar.

Kara Liste Kuralları

Engellenen IP'ler için otomatik kural:

/ip firewall filter
add chain=input src-address-list=blocked-ips action=drop \
comment="Engellenen IP'ler için kural"

Üçüncü Taraf IP Listeleri

Otomatik kara liste güncellemeleri için script kullanılabilir. Örneğin, bilinen saldırı kaynaklarını içeren listeler düzenli olarak güncellenebilir. Bu yaklaşım, proaktif güvenlik sağlar ve bilinen tehditlere karşı anında koruma oluşturur.

Güvenlik En İyi Uygulamaları

Varsayılan Politika

Güvenli bir başlangıç noktası olarak tüm trafiği varsayılan olarak engellemek en iyi uygulamadır:

/ip firewall filter
add chain=input action=drop comment="Varsayılan input politikası"
add chain=forward action=drop comment="Varsayılan forward politikası"

Ardından, yalnızca gerekli trafiğe izin veren kurallar eklenir. Bu yaklaşım "default deny" prensibi olarak bilinir ve güvenlik açıklarını minimize eder.

Yönetim Erişimi Kısıtlama

Router yönetimi için erişimi sınırlamak kritik güvenlik önlemidir:

/ip firewall filter
add chain=input protocol=tcp dst-port=22,8728,8729 \
src-address-list=admin-ips action=accept

Yalnızca tanımlı IP adreslerinden SSH ve Winbox erişimine izin verilir. Siber tehditlere karşı bu tür kısıtlamalar çok önemlidir.

TCP Bayrakları Doğrulama

TCP paketlerinin geçerliliğini kontrol eden kurallar:

/ip firewall filter
add chain=input protocol=tcp tcp-flags=!syn,!rst,!ack action=drop

Bu kural, meşru olmayan TCP bayrak kombinasyonlarını engeller ve SYN flood saldırılarına karşı koruma sağlar.

Örnek Senaryolar

Ofis Ağı Yapılandırması

Kurumsal bir ofis için kapsamlı firewall yapılandırması:

# WAN arayüzü
/ip firewall filter
add chain=input in-interface=ether1 connection-state=established,related action=accept
add chain=input in-interface=ether1 protocol=udp dst-port=500,4500 action=accept comment="VPN"

# Dahili ağdan gelen tüm trafik
add chain=input src-address=192.168.1.0/24 action=accept

# İnternet erişimi (NAT ile birlikte)
/ip firewall nat
add chain=srcnat out-interface=ether1 src-address=192.168.1.0/24 action=masquerade

Misafir Ağı Yalıtımı

Misafir kullanıcıların yalnızca internet erişimi olmalı, dahili kaynaklara erişimleri engellenmeli:

/ip firewall filter
add chain=forward in-interface=wlan1 out-interface=ether1 action=accept
add chain=forward in-interface=wlan1 src-address=192.168.2.0/24 \
dst-address=192.168.1.0/24 action=drop

Sunucu Koruma

Web sunucusu için özel kurallar:

/ip firewall filter
add chain=input protocol=tcp dst-port=80,443 action=accept
add chain=input protocol=tcp dst-port=3306 src-address-list=db-sunucular action=accept
add chain=input protocol=tcp dst-port=3306 action=drop

IPv6 Firewall Yapılandırması

IPv6 Temel Kuralları

RouterOS 7, IPv6 güvenliği için kapsamlı destek sunar:

/ipv6 firewall filter
add chain=input connection-state=established,related action=accept
add chain=input connection-state=invalid action=drop
add chain=input protocol=icmpv6 action=accept

IPv6 adresleme giderek yaygınlaştığından, bu kuralların yapılandırılması önemlidir. IPv6 Trafik miktarı son 5 yılda %300 artmıştır.

Performans Optimizasyonu

FastPath Etkinleştirme

Yüksek performans için FastPath kullanımı:

/ip settings set fast-path=yes

FastPath, paket işlemeyi hızlandırır ve CPU yükünü azaltır. Ancak, bazı gelişmiş özellikler (connection tracking, Layer7) devre dışı kalır.

Kural Sıralaması

En sık eşleşen kuralları en üste yerleştirmek performansı artırır. Aynı zamanda, listelerdeki hızlı arama için src-address-list ve dst-address-list kullanımı önerilir.

İzleme ve Troubleshooting

Firewall Logs

Firewall etkinliklerini izlemek için:

/log print where topics~"firewall"

Bu komut, firewall ile ilgili tüm olayları gösterir ve saldırı girişimlerinin tespit edilmesini sağlar.

Bağlantı Takibi