Come non farvi tracciare, tramite traceroute, i router Mikrotik della vostra rete dai clienti

Come non farvi tracciare, tramite traceroute, i router Mikrotik della vostra rete dai clienti

WirelessGuru-Mikrotik-HowtoSe siete dei WISP o degli ISP ed utilizzate apparati MikroTik o SICE Hiperlink per la vostra rete Layer 3, sia con rotte statiche, sia con protocolli dinamici quali OSPF, RIP o BGP, vi sarà capitato, spesso e a malincuore, di vedere "esposti" ad un banale comando traceroute tutti vostri nodi di rete. A livello di sicurezza far conoscere ai vostri clienti il network layout non è proprio il massimo, in quanto una volta identificati gli ip dei nodi di rete, è sempre possibile tentare di eseguire "attacchi" ai vari router. Per "attacchi" intendo sia azioni per guadagnare il controllo del router (attacchi di brute force sugli account ad esempio), sia azioni di DoS (Denial Of Service) per tentare di rallentare o compromettere un nodo.

Ad esempio, se facciamo un traceroute da un router MikroTik, potremmo avere un risultato di questo tipo:

[code gutter="false" highlight="3,4"][admin@WirelessGuru] > tool traceroute 8.8.8.8
# ADDRESS LOSS SENT LAST AVG BEST WORST
1 13.25.11.65 0% 11 12.7ms 14.2 4.3 31.3
2 13.25.11.1 0% 11 4.5ms 7.5 3.5 13.4
3 94.32.134.137 0% 11 7.4ms 9.8 4.6 20.6
4 213.205.31.150 0% 11 12ms 15.7 10.2 29.5
5 94.32.128.105 0% 11 13.6ms 15.9 10.5 30.3
6 94.32.135.161 0% 11 17ms 41.4 13.7 257.5
7 94.32.134.146 0% 11 22.5ms 19.5 12.3 29.5
8 66.249.95.73 0% 11 35.6ms 18.9 11.6 35.6
9 8.8.8.8 0% 11 11.8ms 13 10.8 20
[/code]

I due router MikroTik evidenziati (13.25.11.65 e 13.25.11.1) fanno parte della nostra rete Layer 3 che instrada il traffico dei client verso internet.

Se volessimo far sparire quei router dal risultato del traceroute basterà aggiungere su ognuno di loro questa semplice regola di Firewall Mangle:

Pagine: First | 1 | 2 | 3 | Next → | Last | Single Page