Firewall Básico Para Equipos Mikrotik

**Saul.Herrera** · 07/12/2020, 08:56

¿Qué es un Firewall?

Un firewall en Mikrotik puede ser hardware, software o ambos, el cual se encarga de establece una barrera entre una red interna (LAN) y una red externa, en este caso internet. El firewall monitorea el tráfico de red entrante y saliente, este decide si permite o bloquea el tráfico específico en función de una cadena de reglas de seguridad lo que nos ayuda a mantener integra la información que pasa por nuestra red.
En Mikrotik podemos encontrar 3 tipos de cadenas las cuales son las que permiten declarar en que momento será aplicada una regla respecto a si será el trafico entrante, saliente o bien todo el trafico que pase por nuestra red.

Input: Es todo lo que entra al router, desde cualquier interface, es un tráfico de entrada un ejemplo puede ser cuando se le da ping a nuestra interface desde una pc.

Output: Todo lo que sale desde el router a treves de una interface, un ejemplo es cuando damos ping desde nuestra terminal de nuestro router hacia afuera, pueden ser los DNS de google 8.8.8.8, un dominio en especial o también hacia nuestra computadora.

Forward: Es todo lo que atraviesa al router, en este se puede tener 2 o más interfaces. Un ejemplo es cuando damos ping desde una red a otra red, es un tráfico que ingresa y sale.

REQUSITOS

Crear Addres List

1Nos dirigimos a IP-> Firewall-> Address List donde crearemos 3 (Administración , RangosAutorizados) address list las cuales nos servirán para administrar que equipos pueden navegar a traves de nuestra red y serán las que estaremos usando de referencia para nuestras reglas.

Nombre: a1.PNG
Visitas: 10742
Tamaño: 45.4 KB

3 Creamos la address list de Administración y agregamos las direcciones IP de los equipos o redes que podrán acceder a nuestro Rb por medio de winbox

Nombre: a2.PNG
Visitas: 10786
Tamaño: 18.4 KB

3Creamos la address list de RangosAutorizados y agregamos el rango de direcciones IP que podrán navegar.

Nombre: a3.PNG
Visitas: 9951
Tamaño: 24.0 KB

Nota

Se puede trabajar con un rango de direcciones, o bien con una IP en especifico, en ese caso solo se debe de colocar la dirección IP en vez del rango.

Nombre: 2.png
Visitas: 9851
Tamaño: 19.5 KB

Nombre: 2.png
Visitas: 9851
Tamaño: 19.5 KB

REGLAS
Todo equipo conectado a internet es vulnerable a ataques si es que no se cuenta con por lo menos con un firewall básico que en el caso de MikroTik nos ofrece esta características dentro de sus equipos Routerboard por lo que a continuación se aplicaran ciertas reglas nos permiten reducir este riesgo.

Nota

Es importante el orden de prioridad en el que se aplicarán las reglas al tráfico de red. Las reglas de cortafuegos aparecen en una lista en la ficha Reglas . El proceso que siguen las reglas se aplican de arriba abajo, y la primera regla que coincide con el tráfico y de ahi el resto de las reglas. El principio fundamental es permitir sólo el tráfico necesario y bloquear el resto. Por tanto, la última regla de un perfil de cortafuegos es la regla Denegar el resto predefinida, esta se encarga de bloquear todo el tráfico que las reglas anteriores no implican una forma específica.

Nombre: p2.PNG
Visitas: 9900
Tamaño: 23.6 KB

Ya que las reglas de bloqueo es un tema bastante extenso les dejare ciertas reglas básicas que pueden ser útiles para empezar a trabajar en la seguridad de nuestra red. Las reglas que utilizaremos serán agregadas por lineal de comando en la Terminal del equipopor lo que podrán encontrar los script mas abajo.

Nota

Antes de colocar los script debe de crear las respectivas address list y agregar tanto su IP con la que esta ingresando a su Rb como sus redes LAN ya que al aplicar las reglas podría perder conexión con su equipo

Nombre: p1.PNG
Visitas: 9946
Tamaño: 41.3 KB

1Permitir conexiones Establecidas y relacionadas

Esta regla lo que hace es permitirá las conexiones que ya se hayan realizado con su router

/ip firewall filter

add action=accept chain=input comment="Permitir conexiones Establecidas y relacionadas" connection-state=established,related

2Denegar Conexiones Invalidas

Todo intento de conectarse de un origen no permitido a nuestra red será denegado ya que con esta regla lo que hacemos es hacer drop a las conexiones invalidas.

/ip firewall filter

add action=drop chain=input comment="Denegar conexiones Invalidas" connection-state=invalid

3Permitir Acceso al RB por Winbox

Nota

Colocar el nombre de la addres list que este trabajando

Esta regla es la que da acceso al RB a las IP que están registrada en la address list Administración por lo que cualquier IP que no este registrada será denegada. Por ejemplo en nuestra address list agregamos la ip 192.168.10.254 que será la única dirección por la que podamos ingresar a nuestro Rb por medio de winbox.

/ip firewall filter

add action=accept chain=input comment="Permitir Acceso al Rb por Address List Administrador" protocol=tcp src-address-list=Administracion dist-port=8291

Si intentamos ingresar con una dirección que no se encuentra en la address list no podrá ingresar a su equipo.

Nombre: noadmin.png
Visitas: 9903
Tamaño: 22.3 KB

Nombre: noadmin.png
Visitas: 9903
Tamaño: 22.3 KB

Nombre: no winbox.PNG
Visitas: 9909
Tamaño: 21.6 KB

Ahora si intentamos de nuevo pero ahora bajo la dirección que registramos en la address list podremos ingresar con nuestro respectivo usuario y contraseña.

Nombre: admin.PNG
Visitas: 9884
Tamaño: 21.6 KB

Nombre: siwinbox.png
Visitas: 9892
Tamaño: 35.4 KB

4Denegar el Trafico entrante al RB

Deniega todo el trafico que intente ingresar a nuestra red.

/ip firewall filter

add action=drop chain=input comment="Denegar Trafico Entrante"

5Permitir Trafico Relacionado y Establecido

Una vez que se deniega el trafico entrante se debe permitir el trafico que pasa a través de nuestra red pero solo de las conexiones que ya se hayan establecido.

/ip firewall filter

add action=accept chain=forward comment="Permitir Trafico Relacionado y Establecido" connection-state=established,related

6Denegar Trafico Invalidas

Los ataques no solo pueden ser efectuados de equipos externos sino también desde dentro de nuestra LAN por lo que hay que denegar el trafico que provenga de un origen invalido.

/ip firewall filter

add action=drop chain=forward comment="Denegar Trafico Invalido" connection-state=invalid

7Permitir Trafico a Un Rango de IP

Nota

Colocar el nombre de la addres list que esta trabajando.

Esta regla será la que permita que las IP que esten en el rango de direccionamiento que agregamos en nuestra address list de RangosAutorizados

/ip firewall filter

add action=accept chain=forward comment="Permitir Trafico de Rango de IPs" src-address-list=RangosAutorizados

Cualquier dirección que este en el rango de direcciones de nuestra address list podrá navegar sin problema.

Nombre: sirango.PNG
Visitas: 9868
Tamaño: 21.7 KB

Nombre: Siinternet.PNG
Visitas: 9926
Tamaño: 23.4 KB

Cualquier otra dirección que no este en nuestra address list no podra navegar.

Nombre: Ipnorango.PNG
Visitas: 9899
Tamaño: 22.0 KB

Nombre: Nointernet.PNG
Visitas: 9851
Tamaño: 16.5 KB

8Denegar Resto de Trafico

Esta regla es la que cierra todo lo demás ya que deniega TODO lo demás delo contrario todo lo demás estaría permitido

/ip firewall filter

add action=drop chain=forward comment="Denegar Resto de Trafico"

User Tag List

Tema: Firewall Básico Para Equipos Mikrotik

Herramientas

Buscar tema

Visualizar