mikrotik utrs yapilandirma team cymru fhd gorsel scaled

Mikrotik v7 Üzerinde UTRS ile DDoS Koruması Nasıl Yapılandırılır?

Mertcan GÖKGÖZ

Team Cymru’nin UTRS (Unwanted Traffic Removal Service) 2.0, siber güvenlik alanında devrim niteliğinde bir hizmet olarak öne çıkmaktadır. Ücretsiz ve BGP tabanlı bu platform, küresel ölçekte DDoS saldırılarını engellemeyi amaçlayan güçlü bir çözüm sunar. Küresel Özerk Sistem Numarası (ASN) sahipleri için özel olarak tasarlanan bu hizmet, IPv6 ve IPv4 desteğinin yanı sıra FlowSpec protokolü entegrasyonu ile ağ güvenliğinde yeni bir standart getirir.

switch gorsel1 fhd ddos protection scaled

UTRS 2.0’ın en dikkat çeken yönü, 1,300’den fazla ağ operatörünün katılımıyla oluşturduğu “komşunu koru, komşun da seni korusun” yaklaşımıdır. Uzaktan tetiklenen kara delik (RTBH) teknikleri kullanılarak geliştirilen bu model, siber tehditlere karşı global bir savunma hattı oluşturmayı hedefler. Route Origin Authorization (ROA) kurallarına uyumludur.

Katılım süreci oldukça basittir. ASN ve IP adresi gibi teknik bilgilerin paylaşımı gerekir, ağ operatörlerine İnternet güvenliğine doğrudan katkı sağlama imkanı sunar. Team Cymru’nin UTRS 2.0’ı, sadece bir DDoS azaltma hizmeti olmaktan öte, küresel siber güvenlik ekosisteminde işbirliği ve dayanışmayı teşvik eden bir yaklaşım sergiler.

Peki Nasıl Yapılandırılır?

Öncelikli olarak buradaki DoS mitigation community adres aracılığı ile UTRS kayıt sürecini başlatın.

Kayıt Gereksinimleri

  • Küresel Özerk Sistem Numarası (ASN) sahibi olmak
  • Geçerli bir kurumsal e-posta adresi
  • Şirket bilgileri
  • Tek bir IPv4 (/32) veya IPv6 (/128) eşleme IP adresi
  • Kendi ASN’inizden bir IP adresi kullanma zorunluluğu(IP kiralık bile olsa başvuru yapan ASN’ye kayıtlı olmalıdır.)

Kayıt sonrasında Team Cymru uzmanları başvurunuzu inceleyecek ve onay sürecini yönetecektir. Kaydınız kabul edildiğinde başvuru yaptığınız e-posta adresine “UTRS-XXX New UTRS Peering Request” başlığıyla bir mail gelecek, burada tcp-md5 anahtarı ve bağlantı sağlayacağınız ip bilgisi gönderilmiş olacak.

Rota Kabul Kriterleri

IPv4 Rotaları

    • Maksimum /25 ön ek uzunluğu

    IPv6 Rotaları

      • Maksimum /49 ön ek uzunluğu

      “TC-UTRS-IN” adında bir giriş kuralı oluşturuyoruz. Bu kural UTRS BGP oturumlarına uygulanacak. UTRS’den alınan ve rota anonsunun bir parçası olarak “64496:0” community dizesine sahip BGP rotalarıyla eşleşecektir. Eşleşen rotalar için rotalara ayrıca NO-EXPORT ve NO-ADVERTISE ekleyeceğiz. Bunu, sahip olabileceğiniz diğer BGP komşularına gelen bu rotaları yanlışlıkla iletmeyin diye yapıyoruz. Ayrıca BLACKHOLE‘u aktifliyoruz. 

      /routing/filter/rule
add chain=TC-UTRS-IN disabled=no rule=\
"if(bgp-communities includes 64496:0) {set distance 1; append bgp-communities no-export,no-advertise; set blackhole yes; accept;}"
      Plaintext

      Her iki oturumda kullanmak için bir template oluşturuyoruz.

      /routing/bgp/template
add as=216343 disabled=no input.filter=TC-UTRS-IN multihop=yes name=TC-UTRS-TEMPLATE output.network=TC-UTRS-VICTIM router-id=203.0.113.1 routing-table=main
      Plaintext

      Buradaki ASN’bizim başvuruda girdiğimiz yani bende 216343 ve ayrıca giriş filtresini “TC-UTRS-IN” olarak ayarlar, Ek olarak, çıktı filtresini “TC-UTRS-VICTIM” yapar. “TC-UTRS-VICTIM” listesine koyduğunuz herhangi bir rota, topluluk içinde doğrulama ve kullanım için UTRS ağına duyurulur.

      Şimdi kullanacağımız BGP oturumlarını yapılandırmaya geldi sıra. En az iki UTRS oturumu yapılandırın ki sisteme yedeklilik ve daha yüksek güvenilirlik kazandıralım zaten cymru ekibi bunu hali hazırda öneriyor.

      /routing/bgp/connection
add local.role=ebgp name=TC-UTRS-001 remote.address=198.51.100.1/32 .as=64512 .ttl=64 templates=TC-UTRS-TEMPLATE tcp-md5-key=CHANGEME
/routing/bgp/connection
add local.role=ebgp name=TC-UTRS-002 remote.address=198.51.100.200/32 .as=64512 .ttl=64 templates=TC-UTRS-TEMPLATE tcp-md5-key=CHANGEME
      Plaintext

      tcp-md5 anahtarını, hizmete kaydolmanızın bir parçası olarak cymru ekibi tarafınıza iletmiş olacak size gönderilen bu değeri girin.

      Her şey olunda giderse cihazınızda artık sorgulamada şu şekilde bir çıktı görmeniz gerekir.

      [gokgoz@MikroTik] > /routing/stats/origin/print where route-type=8
Flags: Y - synthetic; Z - terminal; X - stopping; A - abandoned; H - hold; U - attrs-updated; M - attrs-merge 
 0         name="bgp-IP6-185.230.223.51" instance-id=1536644295 publisher-idx=12 route-type="8" pid=bgp-remote-2 route-count=0,0,0,0,0,0,0,0,0,0,0,0,0,0 
           total-route-count=0 

 1         name="bgp-IP6-2001:ffdf::2" instance-id=1536644295 publisher-idx=13 route-type="8" pid=bgp-remote-6 route-count=0,0,3,0,0,0,0,0,0,0,0,0,0,0 
           total-route-count=3 

 2         name="bgp-IP6-2001:ffde::1" instance-id=1536644295 publisher-idx=14 route-type="8" pid=bgp-remote-1 route-count=0,0,203596,0,0,0,0,0,0,0,0,0,0,0 
           total-route-count=203596
      Plaintext

      gördüğünüz gibi “total-route-count” değeri 200k dan yüksek yani doğru bir yapılandırma yapmışız ve aktif olarak çalışıyor.

      İlgili Yazılar

      BlueskyTelegramHacker NewsMastodon
      Your Mastodon Instance