User Tag List

Gracias Gracias:  0
Me agrada Me agrada:  0
Me desagrada Me desagrada:  0
Resultados 1 al 1 de 1

Tema: Seguridad Web Proxy en MikroTik

  1. #1

    Fecha de ingreso
    17 Feb, 20
    Mensajes
    27
    Reconocimientos
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)

    Seguridad Web Proxy en MikroTik

    Seguridad a Web Proxy
    Cuando contamos con IP publica y utilizamos la función de Web Proxy de nuestro equipo Routerboard es muy importe tener una regla que no permita hacer uso de nuestra IP publica vía Proxy ya que podemos recibir ataques por medio este medio.
    En este post se mostrará como verificar si su puerto proxy es vulnerable y como crear una regla básica que le permita denegar que se pueda utilizar su quipo Rb como servidor proxy. Para realizar la prueba se requiere que no su PC no esté saliendo con la IP publica de su Rb.
    1 Verificamos la IP con la que salimos a Internet
    Lo primero que debemos hacer es comprobar con que IP es con la que estamos saliendo a Internet, para esto nos dirigimos a speedtest.net donde nos mostrara la IP con la que salimos a Internet y realizamos una prueba de velocidad para confirmar que estamos teniendo conectividad a Internet.

    Nota

    Por motivos de seguridad no se mostrara nuestra IP publica para este paso.


    Nombre:  1.jpg
Visitas: 6324
Tamaño: 99.8 KB

    Nombre:  2.jpg
Visitas: 6236
Tamaño: 96.0 KB

    2 Revisar IP publica y puerto Web Proxy de nuestro Rb

    Una vez que verifique con que IP está saliendo y que sea una IP diferente a la que está en su RB verificamos que puerto y que IP publica que están asignados en nuestro equipo. Nos dirigimos a IP/Cloud donde podremos encontrar nuestra IP publica (Esta IP publica es dinámica por lo que no hay problema que se visible)

    Nombre:  5.jpg
Visitas: 4968
Tamaño: 58.8 KB

    En IP/Web Proxy podemos encontrar con que puerto se está trabajando.

    Nombre:  5.1.jpg
Visitas: 5128
Tamaño: 71.8 KB
    3 Asignamos nuestro equipo Rb como servidor proxy

    Una vez que sabes que puerto e IP están definidos en nuestros RB pasaremos a realizar la prueba mediante el navegador de Mozilla. Para realizar la prueba es necesario que se conecte a una red externa a la de su Rb, ya que se pretende poder navegar atreves de la IP publica de nuestro Rb. Nos dirigimos a las opciones del navegador y no situamos en los ajustes genérales donde en la parte inferior encontraremos la configuración de conexión.

    Nota

    Para poder comprobar que se esta navegando bajo la IP publica de nuestro Rb debemos estar en una red externa, de lo contrario siempre estaremos saliendo bajo la IP publica de nuestro equipo y la prueba no tendría sentido .



    Nombre:  3.jpg
Visitas: 5030
Tamaño: 67.0 KB

    Nombre:  4.jpg
Visitas: 5040
Tamaño: 73.8 KB

    Seleccionamos la opción de “Configuración manual de proxy” donde asignaremos la IP publica y colocamos el puerto Proxy de nuestro Rb, una vez que los coloque seleccionamos la opción de “También usar este proxy para FTP y HTTPS” y aceptamos los cambios.

    Nombre:  6.jpg
Visitas: 5061
Tamaño: 86.6 KB
    Una vez realizado el cambio pasaremos a hacer la prueba como en el paso 1.

    Nota

    Con esta simple prueba ya estamos detectando la vulnerabilidad en nuestro Rb ya que estamos utilizando nuestro RB como servidor proxy y que estamos saliendo a Internet atreves de su IP pública.


    Nombre:  7.jpg
Visitas: 5052
Tamaño: 101.4 KB

    5 Como evitar que se utilice nuestro Rb como servidor Proxy

    Una vez que nos de conexión a internet sabemos que estamos saliendo con la IP publica de nuestro Rb y que tenemos una vulnerabilidad por lo que pasaremos a crear la regla que bloque todas las conexiones proxy.
    Para esto nos dirigimos al apartado de IP/Firewall donde agregaremos la regla con el botón con el símbolo de +.


    Nombre:  8.jpg
Visitas: 5046
Tamaño: 58.4 KB

    En los ajustes generales vamos a definir que todo lo que entre por el puerto WAN que se tráfico tcp por puerto 999 (nuestro puerto proxy) se le haga drop.

    Nombre:  9.png
Visitas: 5085
Tamaño: 36.8 KB

    Nombre:  10.png
Visitas: 5052
Tamaño: 14.7 KB

    Nombre:  11.png
Visitas: 4999
Tamaño: 11.7 KB

    6Comprobamos que la regla este trabajando

    Una vez que la regla se haya creado podemos volvemos a conectarnos a una red externa y al intentar navegar podemos ver que ya no es posible. Al realizar la prueba desde speedtest.net no podrá conectarse ya que se esta intentando salir desde la IP publica de nuestro Rb y al haber creado la regla en el firewall de nuestro equipo esta bloqueando el acceso.

    Nombre:  12.jpg
Visitas: 5069
Tamaño: 49.6 KB


    Nota

    El siguiente paso es opcional y es solo si maneja más de una WAN.


    La regla que creamos solo se está aplicando a un solo puerto WAN que en nuestro caso es el ehter1. Si tenemos varios enlaces WAN y ya sea que se haga balanceo o no, debemos crear la misma regla para todos los puertos WAN ya que si no se crea una regla para cada puerto este quedara expuesto.

    7 ¿qué pasa si tengo varios puertos WAN o si estoy manejando balanceo de carga?

    Seleccionamos la regla que acabamos de crear y seleccionamos la opción de Copy lo que nos abrirá otro panel con las mismas configuraciones, en este segundo panel colocaremos nuestro otro puerto WAN y daremos en OK.

    Nombre:  13.jpg
Visitas: 5019
Tamaño: 102.6 KB

    Con esto el Rb estará protegido en ambos puertos, esto debe realizar lo en todos los puertos WAN que tenga su equipo.

    Nombre:  14.png
Visitas: 4982
Tamaño: 10.7 KB
    Última edición por Saul.Herrera; 28/04/2021 a las 08:40

Etiquetas para este tema

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •