Protegiendo Nuestro Mikrotik/Router de los ataques.
Una de las recomendaciones que siempre se hacen en redes, es en lo posible dejar una máquina destinada sólo a firewall, lo que se cumple utilizando mikrotik, pues requiere de exclusividad de un PC Pero la protección no pasa solo por eso, además debemos prote!er nuestro mikrotik de los ataques tanto de diccionarios como de los distintos escaneos de puertos " demases
# continuación les muestro un firewall bastante intuitivo, el cual consiste en dejar abiertos los puertos que ocupa mikrotik, es decir, $% para mostrar el &eb'ox, () para el ftp, (( para **+, ( para telnet " $(-) para &inbox
#demás como en mi caso no se utilizan mucho los servicios anterior mente mencionados desde las afueras de la red interna, se crearán re!las que creen listas de las .P que intentan "/o acceden al router por todos los puertos, identificando mediante tipos de listas los servicios que se describieron describieron
0s as1 en donde nos encontramos con listas de ip para winbox, ssh, weebbox, telnet, ftp, " para el resto de los intentos en los otros puertos #demás, bloquearemos las conexiones inválidas, que son aquellas que lle!an desde supuestas redes internas )%xxx, )2(xxx, )-(xxx etc 3e!ularemos que nuestro router sea cerrado " admita solo la red interna 4en mi caso )%)%)%)/(56 " además una lista de las ip externas conocidas " que considero fiables
Para quienes no quieren entender mucho de las re!las, ha!an un cop"7paste de lo si!uiente, en la ventana de 8erminal, dentro de ip firewall filter 0s decir les aparecerá esto9
:ue!o copien estos códi!os9 ip firewall filter
add chain=input connection-state=established action=accept comment="Aceptar \ conexiones establecidas establecidas" " disabled=no add chain=input connection-state=related action=accept comment="Aceptar \ related conexiones" disabled=no add chain=input connection-state=invalid action=drop comment="Rechazar \ conexiones inválidas" disabled=no add chain=input src-address=!10.10.10.1 src-address-list="#ntentos $$%" \ action=drop comment="&lo' comment="&lo'uear uear (ista $$%" disabled=no add chain=input src-address=!10.10.10.1 src-address-list="(ista )elnet" \ action=drop comment="&lo' comment="&lo'uea uea (ista )elnet" disabled=no add chain=input src-address=!10.10.10.1 src-address-list="&lo'ueo de \
#nvalidos Router" action=drop comment="&l comment="&lo'ueo o'ueo (ista de #nvalidos" \
disabled=no
add chain=input src-address=!10.10.10.1 src-address-list="*ntradas por +)," \ action=drop comment="&lo' comment="&lo'uear uear (ista +)," disabled=no add chain=input protocol=tcp dst-port=1 action=add-src-to-address-list \ address-list="*ntradas address-list ="*ntradas por +)," address-lis address-list-timeout=0s t-timeout=0s comment="rea \ (ista de #,s 'ue entran al +)," disabled=no add chain=input protocol=tcp dst-port=1 action=accept comment="Aceptar \ onexiones +)," disabled=no add chain=input protocol=tcp dst-port=0 action=add-src-to-address-list \ address-list="Accesos address-list ="Accesos /ia eb" address-list address-list-timeout=0s -timeout=0s comment="r comment="rea ea (ista \ de #,s 'ue ven eb&ox" disabled=no add chain=input protocol=tcp dst-port=0 action=accept comment="Acepta eb&ox" \
disabled=no
add chain=input protocol=udp action=accept comment="2," disabled=no add chain=input protocol=icmp limit=0s3 action=accept comment="Aceptar \ pin4s limitados" disabled=no add chain=input protocol=icmp action=drop comment="Rechazar pin4s execibos" \
disabled=no
add chain=input protocol=tcp dst-port=5 action=add-src-to-address-list \ address-list="(ista address-list ="(ista )elnet" address-lis address-list-timeout=0s t-timeout=0s comment="(is comment="(ista ta )elnet" \
disabled=no
add chain=input protocol=tcp dst-port=5 action=accept comment="Acepta )elnet" \
disabled=no
add chain=input protocol=tcp dst-port= action=add-src-to-address-list \ address-list="#ntentos address-list ="#ntentos $$%" address-lis address-list-timeout=0s t-timeout=0s comment="re comment="rea a (ista de \ *ntradas $$%" disabled=no add chain=input protocol=tcp dst-port= action=accept comment="$$%" \
disabled=no
add chain=input src-address=10.10.10.1 action=accept comment="onexiones \ desde la red (ocal" disabled=no add chain=input protocol=tcp dst-port=61 action=add-src-to-address-list \ address-list=inbox address-list =inbox address-listaddress-list-timeout=0s timeout=0s comment="A4r comment="A4re4a e4a #,s 7ue entran \ por inbox" disabled=no add chain=input protocol=tcp dst-port=61 action=lo4 lo4-pre8ix="*ntrada por \
inbox" comment="(o comment="(o4 4 entradas por in&ox" disabled=no add chain=input protocol=tcp dst-port=61 action=accept comment="9inbox" \
disabled=no
add chain=input protocol=tcp dst-port=5 action=accept comment="Aceptar \ onexiones )elnet" disabled=no add chain=input action=add-src-to-address-list address-list="&lo'ueo de \ #nvalidos Router" address-listaddress-list-timeout=0s timeout=0s comment="(is comment="(ista ta de #, por \ acciones 8uera de re4las" disabled=no add chain=input action=drop comment="Rechazar todo lo demás" disabled=no
Como nota tiene que fijarse que las re!las admiten la red interna )%)%)%)/(5, por lo que cambien su se!mento de red correspondiente a trav;s del mismo winbox, o bien antes de pe!ar estas re!las
#hora si van !ráficamente .P
Para hacer menos restrictivo el firewall, pueden deshabilitar al!uno de los bloqueos por lista, esto se hace presionando la = de winbox, o por comandos editan la re!la " el >isable?no lo cambian a >isable?"es
Una fotito de como se ve el firewall " las listas de direcciones9
0spero que les !uste el firewall, basado en elwiki de mikrotik, editado " con las listas de las .P Cualquier su!erencia, reclamo o al!o por el estilo, posteen en este mismo informativo
*aludos cordiales, Carlos Campano
Cerrar ventana
Alejandro Salazar Rodriguez
h ol aami g op ue de sus arc ua l q ui e r ad ee s t a s2r eg l a senel fi r e wa l l d et uRBCl o udc or e . Bl oquet odop2p / i pfi r ewal l fi l t er a ddac t i o n=d r o pc h ai n =f o r wa r dc omme nt ="Bl o qu eoT od oP2 P"d i s a bl e d=n op 2p =a l l p 2p os is ol oqui e r e sl i mi t a rl av el oc i da dpa r aes t ospr ogr a ma ma sp2 ppue de sus are st ar e gl a . QueueTr ee
/ queuet r ee a d dn a me me =" p 2 p_ d own "p a r e n t = DOWNL OADp a c k e t ma r k = p 2p _ i nl i mi t a t = 10 kqu e u e= de f a u l t pr i or i t y =8max l i mi t =32kbur s t l i mi t =0bur s t t hr es hol d=0bur s t t i me=0s a ddn ame =" p 2p _u p"p ar e nt = UPL OADp ac k e t ma r k = p2 p_ ou tl i mi t a t = 10 kqu eu e= de f a ul t pr i or i t y =8max l i mi t =32kbur s t l i mi t =0bur s t t hr es hol d=0bur s t t i me=0s hac e6me mes es Resp onderM rMegust a
*i tienes una versión reciente de @ikro8ik, como vAxx puedes bloquear buena parte de los P(P usando Bnicamente la t1pica re!la !eneral de bloqueo de P(P CODE, HTML o PHP Insertado:
/ip frewall flter add action=drop chain=orward coent=!Todo P"P! disa#led=no p"p=all$p"p
Preparación de MikroTik Es t et u t o r i a lt o ma ma r áe nc ue nt aq uey at e ne mosuns mo e r v i do rMi k r o Ti kc on fig ur ad oyf u nc i o na nd o, y as i n os ec ue nt ac onun o,e nt o nc e ss et e nd r áqu eu t i l i z a rTh un de r Ca c hey as e ae nMo do Br i d ge ,oenMo Mo doRo ut e r .
Enel e s qu emamo mo s t r a dos epu ed eap r e c i a rq ueTh un de r Ca c h es ó l oc o nt a r ác o nu nas o l a i nt er f azder ed,ques er áut i l i z adapar aac ept art ant opet i c i onesdenues t r oscl i ent esas íc omo l ass ol i c i t udesaI nt er net ;aunques is ec r eec onv eni ent es epuedeut i l i z ari nt er f ac esder ed di f er ent es ,par apoderut i l i z arel s er v i dory as eaenmo modoPar al el o,Br i dge,oGa Gat ewa y .
Th un de r Ca c hei r ác o ne c t a doau ns e r v i d orMi k r o T i kdea dmi n i s t r a c i ó n,q uep ue des eru nPC s er v i dorounRout er BOARD( RB).Si s ec uent aconv ar i osl i nk sdei nt er ne t ,es t osdeber í ani r e nu nPCs e r v i d oroRBa di c i o na lq ues ó l os ee nc a r g ar ád el b al a nc e od ec a r g a;p ore j e mp mp l o ,u n RB750. Par aagr egarunap uer t adeen l ac eadi c i onal par at hunder ,s ól oe sn ec es ar i oagr egarl aI P . P–Ad dr e s s r es pec t i v ayas i gnarl ai nt er f azder edc or r es pondi ent e,es t oenI ip address add address address= =10.0.0.1 10.0.0.1 : inter8ace inter8ace= =,R;<
Don de1 0 . 0 . 0 . 1 / 2 4 e sl apu er t adeen l a c ep ar aTh un de r( v e ri ma ge n) ,yPROXYe sel n omb r e del ai nt er f azder ed,ot ar j et ader eddes t i nadaanues t r onue vos er v i dor ,us t edest endr í anque a dap t a r l oas us i t u ac i ó n,y as eat a nt oe ne lI Pd ep ue r t adee nl ac e ,as íc omoc onel n ombr ed e l ai nt er f azder ed. Si el s er v i d orMi k r o Ti kdea dmi ni s t r a ci ó ne s t áha c i e nd oNAT ,s ee s t át o ma ma r áe nc ue nt aqu ee l e nma s c ar a doe sdee s t et i p o: ip 8ire9all nat add chain chain= =srcnat out-inter8ace out-inter8ace= =A> action action= =mas'uerade
mpr e l ai nt er f azder edWAN e ne le n ma ma s c a r a d oo ×Muyimportante: Sedebeespecificarsiemp enc ual qui ero t r ot i podeNAT . mi e nd ad ej a rs ó l ou ne nma s c a r a do .Si s een ma ma s c a r as ó l ou nai n t e r f a zLANo ×Nota: Serecomi u nr a ng od er e d,d eb er í ar e mo mo v er l os . Si l l e ga nat e ne rp r ob l e masc ma o ne s t o ,a un qu ee sl omá másb ás i c o,p ue de nd ar l eunar e v i s ad aa mi smanual es oh ac e rs upr e gu nt ae ne lFo r odeSo po r t e.Si nos ees t ásegur o,s er í aex c el ent e quepr o bar anel i nt er ne tdees ai nt er f azant esdepr oc ederal ai ns t al ac i ón.Unav ez c omp r ob adaq uel ai n t er f azes t ác or r e ct a me me nt ec o nfi g ur a da ,c o ne ct ara híel s er v e rt h un dery pr oc ederal ai ns t al ac i ón.
Redirección de Tráfco y Full Cache con MikroTik 1.Redi r ec c i onandoanues t r oscl i ent es Pue sy aqu en ue s t r oser v i d orTh un de r Ca c hee s t áco nfi gu r a doyac t i v a do ,s ól or es t a r í a c onfi gur arMi k r o Ti kpar ar edi r ec ci onarel t r áfi codenues t r oscl i ent es . Enr eal i dadel pr oc es oesmu muyf ác i l ,s ól os onnec es ar i as2r egl asporl ogener al ,y as i s et uv i er a v ar i asi nt er f ac es“ LAN” ,ent onc est oc ar í ar epet i rl aoper ac i ónt ant asv ec esc omoi nt er f ac es “ LAN”s et uv i er a,oent odocas oi ngeni ar s eunar egl adi s t i nt a. ip route add chec?-4ate9a@ chec?-4ate9a@= =pin4 4ate9a@ 4ate9a@= =10.0.0. routin4-mar? routin4-mar?= =thunderroute
Do nd e10 . 0. 0. 2 22esel I Pq uel eas i g na mo mo sanu es t r os er v i d or ,yt h un de r _r o ut el amar c ade r ut eoqueut i l i z ar emospar al l ev arel t r áfi codenues t r oscl i ent esaThunder . mo v e re n ma ma s c a r a d osi n n ec e s a r i o se nI a nt e sde ×MuyImportante: Remo P–F i r e wa l l –NA T ac t i v arl as i gui ent er egl a.Mási nf or mac i ón:Veraquí . ip 8ire9all man4le add action action= =mar?-routin4 chain chain= =preroutin4 dst-port dst-port= =0 in-inter8ace in-inter8ace= =ether protocol= protocol =tcp ne9-routin4-mar? ne9-routin4-mar?= =thunderroute
Do nd eLANe sel n omb r ed el ai n t er f azder eddenu es t r o sc l i e nt e s,yt h un de r _r o ut ee sl ama r c a d er o ut e oq uec r e amo san t e r i o r me nt e .
2 .Co nfi g u r a doF ul l Ca c h ec o nTh un de r7 . 1 El mu yc o no c i d oF ul l Ca c he ,q ueh ar áq uet o doe lc o nt e ni d oq ues a l g ad el d i s c od ur od e nues t r os er v i dorv ay aaunav el oc i dads uper i oral l í mi t ei mpues t oanues t r oscl i ent es .As íques i b i e nu nc l i e nt epu ed et e ne r2 56 k bp sded own l o adc omol i mi t a c i ó n,c o nF ul l Ca c hep od r e mo mo s hac erquees t ec l i ent eal c anc ev el oc i dadesmu muysuper i or essi nut i l i z ari nt er net . ip 8ire9all man4le add action action= =mar?-pac?et chain chain= =8or9ard dscp dscp= =1 ne9-pac?et-mar? ne9-pac?et-mar?= =8ullcache passthrou4h= passthrou4h =no
Do nd eel v a l o r1 8e sel v a l o rDSCPq ueThu nd er Cac heut i l i z apo rde f e ct opa r ama ma r c art o doel t r áfi cos al i ent edel c ac hé. Un av e zma ma r c a d osl o spa qu e t e s ,s ó l ot e nd r e mo mo squ ed ar l eu s oaes ama ma r c a ,e nt o nc e s p r o c ed er e mo mo sac o nfi g ur a rl ar e s pe c t i v ar e gl ae nQu eu eT r e e.
'ueue tree add name name= =8ullcache pac?et-mar? pac?et-mar?= =8ullcache parent parent= =4lobal-out priorit@ priorit@= = maxlimit= limit =B 'ueue 'ueue= =de8ault
Do nd e5 Mq ui e r ede c i rl av el o c i d admá má x i maq uet e nd r á nl o se l e me me nt o squ es a l g and el c a c he , y ac adaunopuedec ol oc arel l í mi t equ ec r eac on veni ent e.Si n os equi er et enerr es t r i c c i ónde v el oc i dadot ener l oi l i mi t ado,ent onc ess et endr í aquec ol oc arel v al or0. Yac one st on ue s t r os er v i d orTh un de re s t a r í at o doc on fi gu r ad oyf u nc i o na nd o,c u al qu i e r pr obl emacones t auo t r asguí as ,ut i l i z arel For odeSopor t e.