Saul.Herrera
07/12/2020, 08:56
¿Qué es un Firewall?
Un firewall en Mikrotik puede ser hardware, software o ambos, el cual se encarga de establece una barrera entre una red interna (LAN) y una red externa, en este caso internet. El firewall monitorea el tráfico de red entrante y saliente, este decide si permite o bloquea el tráfico específico en función de una cadena de reglas de seguridad lo que nos ayuda a mantener integra la información que pasa por nuestra red.
En Mikrotik podemos encontrar 3 tipos de cadenas las cuales son las que permiten declarar en que momento será aplicada una regla respecto a si será el trafico entrante, saliente o bien todo el trafico que pase por nuestra red.
Input: Es todo lo que entra al router, desde cualquier interface, es un tráfico de entrada un ejemplo puede ser cuando se le da ping a nuestra interface desde una pc.
Output: Todo lo que sale desde el router a treves de una interface, un ejemplo es cuando damos ping desde nuestra terminal de nuestro router hacia afuera, pueden ser los DNS de google 8.8.8.8, un dominio en especial o también hacia nuestra computadora.
Forward: Es todo lo que atraviesa al router, en este se puede tener 2 o más interfaces. Un ejemplo es cuando damos ping desde una red a otra red, es un tráfico que ingresa y sale.
REQUSITOS
Crear Addres List
1Nos dirigimos a IP-> Firewall-> Address List donde crearemos 3 (Administración , RangosAutorizados) address list las cuales nos servirán para administrar que equipos pueden navegar a traves de nuestra red y serán las que estaremos usando de referencia para nuestras reglas.
553
3 Creamos la address list de Administración y agregamos las direcciones IP de los equipos o redes que podrán acceder a nuestro Rb por medio de winbox
554
3Creamos la address list de RangosAutorizados y agregamos el rango de direcciones IP que podrán navegar.
560
Se puede trabajar con un rango de direcciones, o bien con una IP en especifico, en ese caso solo se debe de colocar la dirección IP en vez del rango.
607
REGLAS
Todo equipo conectado a internet es vulnerable a ataques si es que no se cuenta con por lo menos con un firewall básico que en el caso de MikroTik nos ofrece esta características dentro de sus equipos Routerboard por lo que a continuación se aplicaran ciertas reglas nos permiten reducir este riesgo.
Es importante el orden de prioridad en el que se aplicarán las reglas al tráfico de red. Las reglas de cortafuegos aparecen en una lista en la ficha Reglas . El proceso que siguen las reglas se aplican de arriba abajo, y la primera regla que coincide con el tráfico y de ahi el resto de las reglas. El principio fundamental es permitir sólo el tráfico necesario y bloquear el resto. Por tanto, la última regla de un perfil de cortafuegos es la regla Denegar el resto predefinida, esta se encarga de bloquear todo el tráfico que las reglas anteriores no implican una forma específica.
571
Ya que las reglas de bloqueo es un tema bastante extenso les dejare ciertas reglas básicas que pueden ser útiles para empezar a trabajar en la seguridad de nuestra red. Las reglas que utilizaremos serán agregadas por lineal de comando en la Terminal del equipopor lo que podrán encontrar los script mas abajo.
Antes de colocar los script debe de crear las respectivas address list y agregar tanto su IP con la que esta ingresando a su Rb como sus redes LAN ya que al aplicar las reglas podría perder conexión con su equipo
556
1Permitir conexiones Establecidas y relacionadas
Esta regla lo que hace es permitirá las conexiones que ya se hayan realizado con su router
/ip firewall filter
add action=accept chain=input comment="Permitir conexiones Establecidas y relacionadas" connection-state=established,related
2Denegar Conexiones Invalidas
Todo intento de conectarse de un origen no permitido a nuestra red será denegado ya que con esta regla lo que hacemos es hacer drop a las conexiones invalidas.
/ip firewall filter
add action=drop chain=input comment="Denegar conexiones Invalidas" connection-state=invalid
3Permitir Acceso al RB por Winbox
Colocar el nombre de la addres list que este trabajando Esta regla es la que da acceso al RB a las IP que están registrada en la address list Administración por lo que cualquier IP que no este registrada será denegada. Por ejemplo en nuestra address list agregamos la ip 192.168.10.254 que será la única dirección por la que podamos ingresar a nuestro Rb por medio de winbox.
/ip firewall filter
add action=accept chain=input comment="Permitir Acceso al Rb por Address List Administrador" protocol=tcp src-address-list=Administracion dist-port=8291
Si intentamos ingresar con una dirección que no se encuentra en la address list no podrá ingresar a su equipo.
570
567
Ahora si intentamos de nuevo pero ahora bajo la dirección que registramos en la address list podremos ingresar con nuestro respectivo usuario y contraseña.
554
568
569
4Denegar el Trafico entrante al RB
Deniega todo el trafico que intente ingresar a nuestra red.
/ip firewall filter
add action=drop chain=input comment="Denegar Trafico Entrante"
5Permitir Trafico Relacionado y Establecido
Una vez que se deniega el trafico entrante se debe permitir el trafico que pasa a través de nuestra red pero solo de las conexiones que ya se hayan establecido.
/ip firewall filter
add action=accept chain=forward comment="Permitir Trafico Relacionado y Establecido" connection-state=established,related
6Denegar Trafico Invalidas
Los ataques no solo pueden ser efectuados de equipos externos sino también desde dentro de nuestra LAN por lo que hay que denegar el trafico que provenga de un origen invalido.
/ip firewall filter
add action=drop chain=forward comment="Denegar Trafico Invalido" connection-state=invalid
7Permitir Trafico a Un Rango de IP
Colocar el nombre de la addres list que esta trabajando.
Esta regla será la que permita que las IP que esten en el rango de direccionamiento que agregamos en nuestra address list de RangosAutorizados
/ip firewall filter
add action=accept chain=forward comment="Permitir Trafico de Rango de IPs" src-address-list=RangosAutorizados
Cualquier dirección que este en el rango de direcciones de nuestra address list podrá navegar sin problema.
560
563
564
Cualquier otra dirección que no este en nuestra address list no podra navegar.
561
562
8Denegar Resto de Trafico
Esta regla es la que cierra todo lo demás ya que deniega TODO lo demás delo contrario todo lo demás estaría permitido
/ip firewall filter
add action=drop chain=forward comment="Denegar Resto de Trafico"
Un firewall en Mikrotik puede ser hardware, software o ambos, el cual se encarga de establece una barrera entre una red interna (LAN) y una red externa, en este caso internet. El firewall monitorea el tráfico de red entrante y saliente, este decide si permite o bloquea el tráfico específico en función de una cadena de reglas de seguridad lo que nos ayuda a mantener integra la información que pasa por nuestra red.
En Mikrotik podemos encontrar 3 tipos de cadenas las cuales son las que permiten declarar en que momento será aplicada una regla respecto a si será el trafico entrante, saliente o bien todo el trafico que pase por nuestra red.
Input: Es todo lo que entra al router, desde cualquier interface, es un tráfico de entrada un ejemplo puede ser cuando se le da ping a nuestra interface desde una pc.
Output: Todo lo que sale desde el router a treves de una interface, un ejemplo es cuando damos ping desde nuestra terminal de nuestro router hacia afuera, pueden ser los DNS de google 8.8.8.8, un dominio en especial o también hacia nuestra computadora.
Forward: Es todo lo que atraviesa al router, en este se puede tener 2 o más interfaces. Un ejemplo es cuando damos ping desde una red a otra red, es un tráfico que ingresa y sale.
REQUSITOS
Crear Addres List
1Nos dirigimos a IP-> Firewall-> Address List donde crearemos 3 (Administración , RangosAutorizados) address list las cuales nos servirán para administrar que equipos pueden navegar a traves de nuestra red y serán las que estaremos usando de referencia para nuestras reglas.
553
3 Creamos la address list de Administración y agregamos las direcciones IP de los equipos o redes que podrán acceder a nuestro Rb por medio de winbox
554
3Creamos la address list de RangosAutorizados y agregamos el rango de direcciones IP que podrán navegar.
560
Se puede trabajar con un rango de direcciones, o bien con una IP en especifico, en ese caso solo se debe de colocar la dirección IP en vez del rango.
607
REGLAS
Todo equipo conectado a internet es vulnerable a ataques si es que no se cuenta con por lo menos con un firewall básico que en el caso de MikroTik nos ofrece esta características dentro de sus equipos Routerboard por lo que a continuación se aplicaran ciertas reglas nos permiten reducir este riesgo.
Es importante el orden de prioridad en el que se aplicarán las reglas al tráfico de red. Las reglas de cortafuegos aparecen en una lista en la ficha Reglas . El proceso que siguen las reglas se aplican de arriba abajo, y la primera regla que coincide con el tráfico y de ahi el resto de las reglas. El principio fundamental es permitir sólo el tráfico necesario y bloquear el resto. Por tanto, la última regla de un perfil de cortafuegos es la regla Denegar el resto predefinida, esta se encarga de bloquear todo el tráfico que las reglas anteriores no implican una forma específica.
571
Ya que las reglas de bloqueo es un tema bastante extenso les dejare ciertas reglas básicas que pueden ser útiles para empezar a trabajar en la seguridad de nuestra red. Las reglas que utilizaremos serán agregadas por lineal de comando en la Terminal del equipopor lo que podrán encontrar los script mas abajo.
Antes de colocar los script debe de crear las respectivas address list y agregar tanto su IP con la que esta ingresando a su Rb como sus redes LAN ya que al aplicar las reglas podría perder conexión con su equipo
556
1Permitir conexiones Establecidas y relacionadas
Esta regla lo que hace es permitirá las conexiones que ya se hayan realizado con su router
/ip firewall filter
add action=accept chain=input comment="Permitir conexiones Establecidas y relacionadas" connection-state=established,related
2Denegar Conexiones Invalidas
Todo intento de conectarse de un origen no permitido a nuestra red será denegado ya que con esta regla lo que hacemos es hacer drop a las conexiones invalidas.
/ip firewall filter
add action=drop chain=input comment="Denegar conexiones Invalidas" connection-state=invalid
3Permitir Acceso al RB por Winbox
Colocar el nombre de la addres list que este trabajando Esta regla es la que da acceso al RB a las IP que están registrada en la address list Administración por lo que cualquier IP que no este registrada será denegada. Por ejemplo en nuestra address list agregamos la ip 192.168.10.254 que será la única dirección por la que podamos ingresar a nuestro Rb por medio de winbox.
/ip firewall filter
add action=accept chain=input comment="Permitir Acceso al Rb por Address List Administrador" protocol=tcp src-address-list=Administracion dist-port=8291
Si intentamos ingresar con una dirección que no se encuentra en la address list no podrá ingresar a su equipo.
570
567
Ahora si intentamos de nuevo pero ahora bajo la dirección que registramos en la address list podremos ingresar con nuestro respectivo usuario y contraseña.
554
568
569
4Denegar el Trafico entrante al RB
Deniega todo el trafico que intente ingresar a nuestra red.
/ip firewall filter
add action=drop chain=input comment="Denegar Trafico Entrante"
5Permitir Trafico Relacionado y Establecido
Una vez que se deniega el trafico entrante se debe permitir el trafico que pasa a través de nuestra red pero solo de las conexiones que ya se hayan establecido.
/ip firewall filter
add action=accept chain=forward comment="Permitir Trafico Relacionado y Establecido" connection-state=established,related
6Denegar Trafico Invalidas
Los ataques no solo pueden ser efectuados de equipos externos sino también desde dentro de nuestra LAN por lo que hay que denegar el trafico que provenga de un origen invalido.
/ip firewall filter
add action=drop chain=forward comment="Denegar Trafico Invalido" connection-state=invalid
7Permitir Trafico a Un Rango de IP
Colocar el nombre de la addres list que esta trabajando.
Esta regla será la que permita que las IP que esten en el rango de direccionamiento que agregamos en nuestra address list de RangosAutorizados
/ip firewall filter
add action=accept chain=forward comment="Permitir Trafico de Rango de IPs" src-address-list=RangosAutorizados
Cualquier dirección que este en el rango de direcciones de nuestra address list podrá navegar sin problema.
560
563
564
Cualquier otra dirección que no este en nuestra address list no podra navegar.
561
562
8Denegar Resto de Trafico
Esta regla es la que cierra todo lo demás ya que deniega TODO lo demás delo contrario todo lo demás estaría permitido
/ip firewall filter
add action=drop chain=forward comment="Denegar Resto de Trafico"