Scribd
Cargar
58 vistas5 páginas

Configuración de Firewall en MikroTik RouterOS

Reglas de seguridad en Mikrotik, filter rules, RAW, etc

Cargado por

JORGE EDINSON OROZCO APONTE
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
58 vistas5 páginas

Configuración de Firewall en MikroTik RouterOS

Reglas de seguridad en Mikrotik, filter rules, RAW, etc

Cargado por

JORGE EDINSON OROZCO APONTE
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

FIREWALL EN MikroTik RouterOS

Un cortafuegos o Firewall es un sistema de seguridad que filtra paquetes IP.

La Seguridad en la red, se establece en 2 frentes

1 - Seguridad Perimetral - Compete a la seguridad misma del router


perimetral.

- Proteccion del router mismo

- Revision de los servicios que corren en el router

Ej. Winbox

- Trafico: INPUT (entrante)

- Trafico: FORWARD (atravezante)

- Trafico: OUTPUT (saliente)

2 - Seguridad Individual de cada host de la red - Compete a todos y cada uno de los hosts de la red.

Ej. Seguridad del PC-Almacen - AntiVirus / Firewall Personal

Ej. Seguridad del PC-Gerencia - AntiVirus / Firewall Personal

Ej. Seguridad del Servidor de Archivos (Ms Active Directory) - AntiVirus / Firewall Personal

Ej. Seguridad del Servidor de Base de Datos - AntiVirus / Firewall Personal

***********VIRUS RANSONWARE***********

Estructura de la Seguridad Perimetral de MKT RouterOS:

---------------------------------------------------------------------------

1 - Filtrado de Paquetes IP (filter rules)

2 - NAT (nat)

3 – Mangle (mangle)

4 - RAW (raw)

5 – Connections (connections)

6 – Address List (address list)

7 - Layer 7 (layer7)
Por tanto el Firewall distingue 2 areas de redes:

1 - Trusted Networks (Redes Confiables)

- Redes Locales: LAN, DMZ, etc

2 - UNTrusted Networks (Redes No Confiables)

- Redes Remotas: WAN: (ISP, Nube de Internet)

Para implementar reglas de filtrado en MikroTik RouterOS, El Sentido o encaminamiento en


RouterOS de los paquetes IP se define en base a 3 cadenas O "CHAINS".

Estos CHAINS son los siguientes:

A - INPUT - Todos los paquetes de red IP que tienen como OBJETIVO al mismo Router
Perimetral.

Ejemplos:

Jose PC-1 ======> Winbox al Router MKT

Miguel PC-2 ====> Putty al Router MKT

B - FORWARD - Se refiere a todos los paquetes de red IP que ATRAVIEZAN al Router Perimetral
sin tenerlo como objetivo sino solo de pasarela ya que el destino de esos paquetes es un nodo
IP ya sea dentro o fuera de mi red Local.

Ejemplos:

Rick PC-3 <===MKT===> YOUTUBE

Luis PC-4 <===MKT===> FACEBOOK

PC-6 Transaccionando una operacion logistica con el Servidor de Aplicaciones de la DMZ

C - OUTPUT - Se refiere a todos los paquetes de red IP que SE ORIGINAN dentrol del mismo
Router o apartir de el y no fuera de el.

Ejemplos:

Envio de ping a [Link] usando la herramienta /tools ping de RouterOS

De esta manera cuando empezemos a programar reglas de filtrado el CHAIN será el primer
objeto a evaluar.
PRACTICAS y EJERCICIOS:

A continuación se presentan enunciados de ejercicios ya solucionados:

Ejercicio 1: Bloquear acceso al router perimetral via WebFIG

Desarrollo:
Paso 1: Determinar el servicio, protocolo y puerto: WebFIG tcp/80

Paso 2: Ingresar a Winbox y dirigirse al menú IP sección Firewall

Paso 3: Dentro de la sección Firewall  Filter rules y agregar una nueva regla

GENERAL: ACTION:

chain: input Action: drop

protocol: tcp

dst-port: 80

Codificacion en RouterOS:

Ejercicio 2: Bloquear el ping desde la LAN hacia el DNS publico de Google.

Desarrollo:
Paso 1: Determinar servidor DNS Google IP [Link]

Paso 2: Ingresar a Winbox y dirigirse al menú IP sección Firewall

Paso 3: Dentro de la sección Firewall  Filter rules y agregar una nueva regla

GENERAL: ACTION:

chain: forward Action: drop

dst-address: [Link]

protocol: icmp

Codificacion en RouterOS:
Ejercicio 3: BLOQUEAR DNS SALIENTE hacia DNS de Google:

Desarrollo:
Paso 1: Determinar servidor DNS Google IP [Link]

Paso 2: Ingresar a Winbox y dirigirse al menú IP sección Firewall

Paso 3: Dentro de la sección Firewall  Filter rules y agregar una nueva regla

GENERAL: ACTION:

chain: output Action: drop

dst-address: [Link]

protocol: icmp

Codificacion en RouterOS:

Como resumen:

1 - Criterios para implementar reglas de Firewall:

General:

1 - Chain: (INPUT, FORWARD, OUTPUT)

2 - Src-Address IP: La direccion IP de Origen de la conexion o paquete

3 - Dst-Address IP: La direccion IP de destino de la conexion o paquete

4 - Protocol: (tcp. udp e icmp)

2 - Acciones a ejecutar tras evaluar el criterio

Action:

3 Otros

3- ORDEN DE PRESCEDENCIA EN REGLAS DE ROUTEROS

Significa que las reglas en RouterOS llevan un numero de orden y que aquellas reglas que
tienen un número menor se << IMPONEN >> sobre las reglas posteriores a ella.

Ej.

REGLA 0: Permitir YOUTUBE solo a los GERENTES

REGLA 1: Bloqueo de YOUTUBE a todos los demas usuarios de la red


FILTRADO DE CONTENIDO CON RouterOS

Existen 3 metodos de filtrado de contenido que se utilizan bajo MkT RouterOS

1 - Filtrado por ADDRESS LIST: El más recomendado

2 - Filtrado por Content: Nivel de filtrado Intermedio

3 - Filtrado por Layer7: Suele presentar alto consumo de CPU

Ejercicio #1:

- Filtrar YOUTUBE

Metodo 1) Youtube - Address-List - Son las direcciones IP de los servidores de Youtube

Metodo 2) Youtube - Content: palabra o frase: [Link]

Metodo 3) Youtube - Layer7 protocol: construcción de contenido a partir de un REGEXP

Ejercicio #2:

- Filtrar FACEBOOK

Ejercicio #3:

- Filtrar NETFLIX

FILTRADO y BLOQUEO DE PORNOGRAFIA

Metodos:

Metodo 1 - Filtrado Tradicional o Standard:

1.1 - Filtrado por Address List

1.2 - Filtrado por Content

1.3 - Filtrado por Layer7

Metodo 2 - Filtrado por Herramientas de Terceros (ESTE ES EL MAS RECOMENDADO)

2.1 Basados en Filtros por DNS

Ej. - OpenDNS

- Norton Safe

2.2 Basados en Filtros por Contenido pero de terceros

Ej. FlashSTART

Metodo 3 - Filtrado Hibrido (Metodo 1 + Metodo 2)

También podría gustarte