Аудит сетевой инфраструктуры

Сетевая безопасность · 2024–2026

АУДИТ
И РЕФАКТОРИНГ
СЕТИ

ОборудованиеMikroTik RB4011

RouterOS7.21.3

Узлов150+

Срок~3 месяца

Полный security-аудит производственной сети 150+ хостов — от обнаружения 28 уязвимостей до финального деплоя оптимизированного firewall, mangle-таблицы, WireGuard VPN и IPv6-защиты.

MikroTikRouterOSWireGuard FirewallIPv6IKEv2 MangleQoS

Результаты

28→0

Уязвимостей
устранено

72→67

Правил firewall
оптимизировано

Mangle-правил
в 5 блоках

Задача

Производственная сеть без актуальной защиты

Предприятие с 150+ сетевыми узлами работало на MikroTik RB4011iGS+5HacQ2HnD под RouterOS 7.21.3. Правила firewall накапливались годами без системного подхода, Wi-Fi имел критические уязвимости (WPS, PMKID), IPv6-брандмауэр содержал целый блок отключённых правил, которые никогда не были активны.

Задача — провести полный аудит, выявить все проблемы и устранить их последовательно без прерывания производственного процесса.

Топология

Многосегментная инфраструктура

WAN        ether1_WAN
LAN bridge 192.168.0.0/22     (основные хосты)
VLAN 5     10.10.4.0/24       (серверный сегмент)
WireGuard  10.8.0.0/24        (VPS-туннель)
IKEv2 pool 10.0.100.0/24      (удалённые клиенты)
L2TP       192.0.0.0/24       (устаревший VPN)

Этапы

Аудит и документирование

Составлен отчёт из 28 проблем по категориям: firewall, Wi-Fi, IPv6, VPN, системные настройки. Каждая ранжирована по критичности. Итог — mikrotik_audit_full.docx.

Рефакторинг Firewall (72 → 67 правил)

Удалены дублирующие правила, перестроена логика INPUT/FORWARD/OUTPUT. Добавлена защита от спуфинга, брутфорса и портскана. Файл: firewall_fixed.rsc.

Переработка Mangle (15 → 43 правила)

Полная замена mangle-таблицы: 5 функциональных блоков — маркировка трафика, QoS-приоритеты, FastTrack, учёт по сегментам. Файл: mangle_final.rsc.

WireGuard VPN + IKEv2 DNS fix

Внедрён WireGuard-туннель до VPS (10.8.0.0/24). Исправлен баг IKEv2: DNS-клиенты теперь уходят на локальный роутер (ipsec_dns_fix.rsc), а не в интернет.

Wi-Fi оптимизация (14 исправлений)

Отключён WPS, заблокирована атака PMKID, включён 802.11w (MFP), оптимизирована ширина канала, настроен Band Steering. Файл: wifi_optimized.rsc.

IPv6 Firewall overhaul (13 изменений)

Активирован ранее отключённый блок правил, добавлена защита ICMPv6, ограничен Neighbor Discovery, настроен rate-limit. Файл: ipv6_optimized.rsc.

WireGuard watchdog

Автоматическое восстановление туннеля

Обнаружена известная проблема RouterOS: WireGuard-пиры зависают после разрыва. Написан watchdog-скрипт с проверкой last-handshake и переподключением. Устранена проблема с политиками планировщика (insufficient permissions).

:local lastHS [/interface/wireguard/peers/get [find name="wg-vps"] last-handshake]
:if ($lastHS > 5m) do={
  /interface/wireguard disable wg-vps
  :delay 2s
  /interface/wireguard enable wg-vps
}