User Tag List

Gracias Gracias:  0
Me agrada Me agrada:  0
Me desagrada Me desagrada:  0
Resultados 1 al 1 de 1

Tema: Firewall Básico Para Equipos Mikrotik

  1. #1

    Fecha de ingreso
    17 Feb, 20
    Mensajes
    27
    Reconocimientos
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)

    Firewall Básico Para Equipos Mikrotik

    ¿Qué es un Firewall?

    Un firewall en Mikrotik puede ser hardware, software o ambos, el cual se encarga de establece una barrera entre una red interna (LAN) y una red externa, en este caso internet. El firewall monitorea el tráfico de red entrante y saliente, este decide si permite o bloquea el tráfico específico en función de una cadena de reglas de seguridad lo que nos ayuda a mantener integra la información que pasa por nuestra red.
    En Mikrotik podemos encontrar 3 tipos de cadenas las cuales son las que permiten declarar en que momento será aplicada una regla respecto a si será el trafico entrante, saliente o bien todo el trafico que pase por nuestra red.


    • Input: Es todo lo que entra al router, desde cualquier interface, es un tráfico de entrada un ejemplo puede ser cuando se le da ping a nuestra interface desde una pc.


    • Output: Todo lo que sale desde el router a treves de una interface, un ejemplo es cuando damos ping desde nuestra terminal de nuestro router hacia afuera, pueden ser los DNS de google 8.8.8.8, un dominio en especial o también hacia nuestra computadora.


    • Forward: Es todo lo que atraviesa al router, en este se puede tener 2 o más interfaces. Un ejemplo es cuando damos ping desde una red a otra red, es un tráfico que ingresa y sale.


    REQUSITOS

    Crear Addres List

    1Nos dirigimos a IP-> Firewall-> Address List donde crearemos 3 (
    Administración , RangosAutorizados) address list las cuales nos servirán para administrar que equipos pueden navegar a traves de nuestra red y serán las que estaremos usando de referencia para nuestras reglas.

    Nombre:  a1.PNG
Visitas: 7986
Tamaño: 45.4 KB
    3 Creamos la address list de Administración y agregamos las direcciones IP de los equipos o redes que podrán acceder a nuestro Rb por medio de winbox

    Nombre:  a2.PNG
Visitas: 8100
Tamaño: 18.4 KB
    3
    Creamos la address list de RangosAutorizados y agregamos el rango de direcciones IP que podrán navegar.

    Nombre:  a3.PNG
Visitas: 7301
Tamaño: 24.0 KB

    Nota

    Se puede trabajar con un rango de direcciones, o bien con una IP en especifico, en ese caso solo se debe de colocar la dirección IP en vez del rango.

    Nombre:  2.png
Visitas: 7190
Tamaño: 19.5 KB


    REGLAS
    Todo equipo conectado a internet es vulnerable a ataques si es que no se cuenta con por lo menos con un firewall básico que en el caso de MikroTik nos ofrece esta características dentro de sus equipos Routerboard por lo que a continuación se aplicaran ciertas reglas nos permiten reducir este riesgo.

    Nota

    Es importante el orden de prioridad en el que se aplicarán las reglas al tráfico de red. Las reglas de cortafuegos aparecen en una lista en la ficha Reglas . El proceso que siguen las reglas se aplican de arriba abajo, y la primera regla que coincide con el tráfico y de ahi el resto de las reglas. El principio fundamental es permitir sólo el tráfico necesario y bloquear el resto. Por tanto, la última regla de un perfil de cortafuegos es la regla Denegar el resto predefinida, esta se encarga de bloquear todo el tráfico que las reglas anteriores no implican una forma específica.


    Nombre:  p2.PNG
Visitas: 7252
Tamaño: 23.6 KB

    Ya que las reglas de bloqueo es un tema bastante extenso les dejare ciertas reglas básicas que pueden ser útiles para empezar a trabajar en la seguridad de nuestra red. Las reglas que utilizaremos serán agregadas por lineal de comando en la Terminal del equipopor lo que podrán encontrar los script mas abajo.

    Nota

    Antes de colocar los script debe de crear las respectivas address list y agregar tanto su IP con la que esta ingresando a su Rb como sus redes LAN ya que al aplicar las reglas podría perder conexión con su equipo


    Nombre:  p1.PNG
Visitas: 7284
Tamaño: 41.3 KB
    1Permitir conexiones Establecidas y relacionadas

    Esta regla lo que hace es permitirá las conexiones que ya se hayan realizado con su router

    /ip firewall filter
    add action=accept chain=input comment="Permitir conexiones Establecidas y relacionadas" connection-state=established,related


    2Denegar Conexiones Invalidas


    Todo intento de conectarse de un origen no permitido a nuestra red será denegado ya que con esta regla lo que hacemos es hacer drop a las conexiones invalidas.

    /ip firewall filter
    add action=drop chain=input comment="Denegar conexiones Invalidas" connection-state=invalid


    3Permitir Acceso al RB por Winbox

    Nota

    Colocar el nombre de la addres list que este trabajando
    Esta regla es la que da acceso al RB a las IP que están registrada en la address list Administración por lo que cualquier IP que no este registrada será denegada. Por ejemplo en nuestra address list agregamos la ip 192.168.10.254 que será la única dirección por la que podamos ingresar a nuestro Rb por medio de winbox.

    /ip firewall filter
    add action=accept chain=input comment="Permitir Acceso al Rb por Address List Administrador" protocol=tcp src-address-list=Administracion dist-port=8291


    Si intentamos ingresar con una dirección que no se encuentra en la address list no podrá ingresar a su equipo.

    Nombre:  noadmin.png
Visitas: 7254
Tamaño: 22.3 KB


    Nombre:  no winbox.PNG
Visitas: 7260
Tamaño: 21.6 KB

    Ahora si intentamos de nuevo pero ahora bajo la dirección que registramos en la address list podremos ingresar con nuestro respectivo usuario y contraseña.

    Nombre:  a2.PNG
Visitas: 8100
Tamaño: 18.4 KB
    Nombre:  admin.PNG
Visitas: 7243
Tamaño: 21.6 KB

    Nombre:  siwinbox.png
Visitas: 7251
Tamaño: 35.4 KB

    4Denegar el Trafico entrante al RB

    Deniega todo el trafico que intente ingresar a nuestra red.


    /ip firewall filter
    add action=drop chain=input comment="Denegar Trafico Entrante"


    5Permitir Trafico Relacionado y Establecido

    Una vez que se deniega el trafico entrante se debe permitir el trafico que pasa a través de nuestra red pero solo de las conexiones que ya se hayan establecido.

    /ip firewall filter
    add action=accept chain=forward comment="Permitir Trafico Relacionado y Establecido" connection-state=established,related


    6Denegar Trafico Invalidas

    Los ataques no solo pueden ser efectuados de equipos externos sino también desde dentro de nuestra LAN por lo que hay que denegar el trafico que provenga de un origen invalido.

    /ip firewall filter
    add action=drop chain=forward comment="Denegar Trafico Invalido" connection-state=invalid


    7Permitir Trafico a Un Rango de IP

    Nota

    Colocar el nombre de la addres list que esta trabajando.


    Esta regla será la que permita que las IP que esten en el rango de direccionamiento que agregamos en nuestra address list de
    RangosAutorizados

    /ip firewall filter
    add action=accept chain=forward comment="Permitir Trafico de Rango de IPs" src-address-list=RangosAutorizados


    Cualquier dirección que este en el rango de direcciones de nuestra address list podrá navegar sin problema.

    Nombre:  a3.PNG
Visitas: 7301
Tamaño: 24.0 KB
    Nombre:  sirango.PNG
Visitas: 7236
Tamaño: 21.7 KB

    Nombre:  Siinternet.PNG
Visitas: 7286
Tamaño: 23.4 KB

    Cualquier otra dirección que no este en nuestra address list no podra navegar.

    Nombre:  Ipnorango.PNG
Visitas: 7264
Tamaño: 22.0 KB

    Nombre:  Nointernet.PNG
Visitas: 7223
Tamaño: 16.5 KB

    8Denegar Resto de Trafico

    Esta regla es la que cierra todo lo demás ya que deniega TODO lo demás delo contrario todo lo demás estaría permitido

    /ip firewall filter
    add action=drop chain=forward comment="Denegar Resto de Trafico"


    Última edición por Saul.Herrera; 05/02/2021 a las 09:47

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •