Se siete dei WISP o degli ISP ed utilizzate apparati MikroTik o SICE Hiperlink per la vostra rete Layer 3, sia con rotte statiche, sia con protocolli dinamici quali OSPF, RIP o BGP, vi sarà capitato, spesso e a malincuore, di vedere “esposti” ad un banale comando traceroute tutti vostri nodi di rete. A livello di sicurezza far conoscere ai vostri clienti il network layout non è proprio il massimo, in quanto una volta identificati gli ip dei nodi di rete, è sempre possibile tentare di eseguire “attacchi” ai vari router. Per “attacchi” intendo sia azioni per guadagnare il controllo del router (attacchi di brute force sugli account ad esempio), sia azioni di DoS (Denial Of Service) per tentare di rallentare o compromettere un nodo.
Ad esempio, se facciamo un traceroute da un router MikroTik, potremmo avere un risultato di questo tipo:
[code gutter=”false” highlight=”3,4″][admin@WirelessGuru] > tool traceroute 8.8.8.8
# ADDRESS LOSS SENT LAST AVG BEST WORST
1 13.25.11.65 0% 11 12.7ms 14.2 4.3 31.3
2 13.25.11.1 0% 11 4.5ms 7.5 3.5 13.4
3 94.32.134.137 0% 11 7.4ms 9.8 4.6 20.6
4 213.205.31.150 0% 11 12ms 15.7 10.2 29.5
5 94.32.128.105 0% 11 13.6ms 15.9 10.5 30.3
6 94.32.135.161 0% 11 17ms 41.4 13.7 257.5
7 94.32.134.146 0% 11 22.5ms 19.5 12.3 29.5
8 66.249.95.73 0% 11 35.6ms 18.9 11.6 35.6
9 8.8.8.8 0% 11 11.8ms 13 10.8 20
[/code]
I due router MikroTik evidenziati (13.25.11.65 e 13.25.11.1) fanno parte della nostra rete Layer 3 che instrada il traffico dei client verso internet.
Se volessimo far sparire quei router dal risultato del traceroute basterà aggiungere su ognuno di loro questa semplice regola di Firewall Mangle:
[code]/ip firewall mangle \
add action=change-ttl \
chain=prerouting \
disabled=no \
new-ttl=increment:1
[/code]
Una volta inserita la regola di Firewall Mangle di RouterOS, il risultato del nostro traceroute “magicamente” diventerà:
[code gutter=”false”][admin@WirelessGuru] > tool traceroute 8.8.8.8
# ADDRESS LOSS SENT LAST AVG BEST WORST
1 94.32.134.137 0% 11 7.4ms 9.8 4.6 20.6
2 213.205.31.150 0% 11 12ms 15.7 10.2 29.5
3 94.32.128.105 0% 11 13.6ms 15.9 10.5 30.3
4 94.32.135.161 0% 11 17ms 41.4 13.7 257.5
5 94.32.134.146 0% 11 22.5ms 19.5 12.3 29.5
6 66.249.95.73 0% 11 35.6ms 18.9 11.6 35.6
7 8.8.8.8 0% 11 11.8ms 13 10.8 20
[/code]
In conclusione abbiamo visto, come con un semplice comando RouterOS di Firewall Mangle, si riesca a proteggere e mantenere anonimo il network layer della nostra backbone realizzata con apparati MikroTik.
Ricordate che la sicurezza nelle reti non è mai troppa ed avere una rete WISP o ISP significa combattere quotidianamente con minacce che arrivano da internet, ma anche, purtroppo, dalla nostra stessa rete.