Firewall RAW sur MikroTik

Je dois maintenant parler de Firewall Raw. Quelque chose que vous avez peut-être vu lorsque vous allez sur IP/Firewall sur MikroTik :

La question qui peut vous venir à l’esprit est la suivante : Qu’est-ce que le Firewall Raw et qu’est-ce qui diffère des règles de filtrage du Firewall dont nous avons discuté tout au long du livre.

La réponse est la suivante : Le Firewall Raw permet de filtrer les paquets qui atteignent le dispositif MikroTik RouterOS avant qu’ils n’atteignent le suivi de la connexion. Comme nous l’avons vu précédemment, le routeur MikroTik RouterOS est un pare-feu dynamique qui garde une trace de toutes les connexions qui passent, ce qui est une très bonne chose. Mais le problème est qu’en cas d’attaque DOS comme l’attaque TCP Syn, le routeur MikroTik conservera dans sa table de suivi des connexions toutes les entrées issues de cette attaque, ce qui fera monter le CPU du routeur à 100 % (ce que nous avons vu lorsque nous avons parlé dans ce livre de l’attaque TCP Syn).

Pour éviter cela, vous pouvez appliquer vos règles de pare-feu contre l’attaque TCP Syn sur le pare-feu brut, de cette façon le routeur abandonnera les paquets d’attaque TCP Syn avant qu’ils n’atteignent le suivi de la connexion, et cela permettra à notre routeur de continuer à avoir une meilleure performance de CPU. Cependant, je dois mentionner que le pare-feu lui-même consomme beaucoup de ressources du CPU, c’est pourquoi je conseille toujours d’implémenter un grand dispositif MikroTik comme pare-feu qui peut avoir plusieurs CPU et une grande mémoire (de préférence une image RouterOS installée sur une lame de serveur).

L’autre question que vous pouvez vous poser : comment avons-nous décidé que le Firewall Raw fonctionne avant que la connexion n’atteigne le tracking de la connexion ?

Eh bien ici, nous pouvons aller dans les sous-processus de la boîte de routage dans le diagramme de flux de paquets et nous pouvons voir ce qui suit :