POSTS

Mikrotik Mit Blacklisten Absichern

Zum Beispiel einen eigenen Mailserver im heimischen Netz zu betreiben ist toll, nur stellt man sehr schnell fest, dass man sofort von Spammern bombadiert wird. Aber auch Portscanner und andere Sciptkiddies ärgern!

Zu Hilfe eilen dann z.B. die Blacklisten von squidblacklist.org mit deren Hilfe man die Firewall-Addresslisten des MikroTik-Routers sehr einfach füllen kann.

Einige, so auch die hier verwendete Malicious host ip address list (combined profile) ist kostenfrei zu haben!

Diese Blacklist ist sichelich nicht vollumfänglich (nur so ca. 32.000 Einträge), aber ein guter Anfang!

Bei mir hat es sich auf jeden Fall gelohnt!

Eine grobe Anleitung findet sich hier https://blog.squidblacklist.org/?p=1407 allerdings habe ich einige Änderungen hierzu:

1. Holen der aktuellen Liste per Scheduler

Zunächst erzeugt man einen Scheduler-Eintrag, der alle 30 Minuten die aktuelle Liste holt:

/system scheduler
add interval=30m name=squidblacklist-org on-event="/tool fetch url=\"http://www.squidblacklist.org/downloads/drop.malicious.rsc\" \
    mode=http dst-path=/disk1/drop.malicious.rsc; \
    delay 2; import /disk1/drop.malicious.rsc;" \
    policy=read,write,policy,test start-date=jan/01/1970 start-time=00:02:00

/disk1/ ist ggfs zu streichen/anzupassen, wenn man keine MicroSD/USB-Stick/SSD im Router hat. Sollte man aber haben, da man sonst ins knappe RAM oder schlimmstenfalls in den Flash-Speicher schreibt!

/disk print

Steht hier kein disk1 ist das im Scheduler zu entfernen! Dann lädt er die Blocklist in’s RAM (ca. 4MB). Die Firewall-Regeln liegen nach dem Import auch im RAM und nehmen ca. 40MB Platz ein. So getestet mit einem hEX S !

In der aktuellen Router-Übersicht sieht man gleich das maximal verfügbare RAM. Mit nur 64MB, z.B. hEX lite, klappt das nicht, da die 64MB nicht komplett frei sind und er weder MicroSD noch USB hat…

/system resource print

zeigt free-memory (bei meinem HEX S mit geladener Blockliste aktuell 183.6MiB) und total-memory (256.0 MiB) an. Reichlich!

2. Firewall um folgende 3 RAW-Regeln erweitern

/ip firewall raw
add action=drop chain=prerouting comment="sbl dshield SRC" src-address-list="sbl dshield"
add action=drop chain=prerouting comment="sbl spamhaus SRC" src-address-list="sbl spamhaus"
add action=drop chain=prerouting comment="sbl blocklist.de SRC" src-address-list="sbl blocklist.de"

3. Firewall um weitere 3 RAW-Regeln erweitern

In der Anleitung von https://blog.squidblacklist.org/?p=1407 werden anstelle meiner src-address-list= aber nunmal dst-address-list= verwendet.

Das kam nicht nur mir seltsam vor, denn wir wollen ja Angreifer von den bösen Quell-Adressen kommend fernhalten! Dies wird auch auf der Anleitung in den Kommentaren diskutiert. Wer auf Nummer Sicher gehen will erweitert seine RAW-Firewall also einfach um entsprechende dst-addres-list= Regeln mit denen dann auch abgehend gefiltert wird:

/ip firewall raw
add action=drop chain=prerouting comment="sbl dshield DST" dst-address-list="sbl dshield"
add action=drop chain=prerouting comment="sbl spamhaus DST" dst-address-list="sbl spamhaus"
add action=drop chain=prerouting comment="sbl blocklist.de DST" dst-address-list="sbl blocklist.de"

Warum man die RAW-Firewall nimmt, ist hier zu lesen!

tl;dr: Entlastet die CPU!