Certified Security Engineer

(MTCSE)

Guayaquil, Ecuador
Mayo 13 - 14, 2019
Agenda

• Horario: 09:00 AM – 05:00 PM

• 1h Almuerzo: 01:00 PM
• Examen de Certificación: 1 hora

2
INTRODUCE
YOURSELF

3
Presentación Personal

• Su nombre y compañía en la que trabaja

• Sus conocimientos previos de redes
• Sus conocimientos previos de RouterOS
• Cuál es su expectativa de este curso?
• Por favor, anotar su número (XY): ___

4
LAB SETUP

5
Laboratorio Inicial
SSID : AP-MTCSE

BAND : 2.4 / 5 Ghz

KEY : MikroTikLab

AP

R1 R2 Rn

Conexión Inalámbrica
Conexión Cableada

6
INTRODUCCIÓN A LA
SEGURIDAD

7
¿De qué trata la seguridad?

• La seguridad es sobre la protección de los activos.

• D. Gollmann, Computer Security, Wiley
• Confidencialidad: Proteger la privacidad personal y la
información de propiedad.
• Integridad: Asegurar el no-repudio y la autenticidad de la
información.
• Disponibilidad: Garantizar el acceso continuo, uso oportuno y
confiable de la información.

8
¿De qué trata la seguridad?

• Prevención: Tomar medidas que eviten que sus activos sean

dañados (o robados)
• Detección: Tomar medidas para que pueda detectar cuándo,
cómo y quién ha dañado un activo.
• Reacción: Tomar medidas para que pueda recuperar sus
activos

9
Ataques de Seguridad, Mecanismos & Servicios

• Ataque de Seguridad: Cualquier acción que comprometa la

seguridad de la información.
• Mecanismo de Seguridad: Un proceso o un dispositivo
diseñado para detectar, prevenir o recuperar un ataque de
seguridad.
• Servicio de Seguridad: Un servicio destinado a contrarrestar
los ataques de seguridad, generalmente mediante la
implementación de uno o más mecanismos de seguridad.

10
Amenazas de Seguridad / Ataques

FLUJO NORMAL

Fuente de Destino de
Información Información

11
Amenazas de Seguridad / Ataques

INTERRUPCIÓN

Fuente de Destino de
Información Información

“Los servicios o datos se vuelven no disponibles, inutilizables, destruidos, tales como

la pérdida de archivos, denegación de servicio, etc.”

12
Amenazas de Seguridad / Ataques

INTERCEPCIÓN

Fuente de Destino de
Información Información

Atacante

“Un sujeto no autorizado ha obtenido acceso a un objeto, para robar datos y/o
escuchar a otros en la comunicación, etc.”

13
Amenazas de Seguridad / Ataques

MODIFICACIÓN

Fuente de Destino de
Información Información

Atacante

“Cambio no autorizado de datos o alteración de servicios, tales como alteración de

datos, modificación de mensajes, etc. ”

14
Amenazas de Seguridad / Ataques

FABRICACIÓN

Fuente de Destino de
Información Información

Atacante

“Se generan datos o actividades que normalmente no existían, como agregar una
contraseña a un sistema, reproducir mensajes enviados anteriormente, etc.”

15
Tipos de Amenazas / Ataques

Interrupción

Ataques / Amenazas
Modificación
Activos

Ataque / Amenaza Fabricación

Ataques / Amenazas
Intercepción
Pasivos

16
Mecanismos de Seguridad

• Cifrado: Transformar los datos en algo que un atacante no

puede entender, es decir, proporcionar un medio para
implementar la confidencialidad, así como permitir que el
usuario verifique si los datos se han modificado.
• Autenticación: Verificar la identidad reclamada de un sujeto,
como el nombre de usuario, la contraseña, etc.
• Autorización: Comprobar si el sujeto tiene derecho a realizar
la acción solicitada.
• Auditoría: Seguimiento de qué sujetos accedieron a qué,
cuándo y de qué manera. En general, la auditoría no
proporciona protección, pero puede ser una herramienta para
el análisis de problemas.

17
AMENAZAS COMUNES

18
Amenazas comunes de seguridad

Botnet
“Colección de robots de software, o bots que crean un
ejército de computadoras infectadas (conocidas como zombies)
que son controladas remotamente por el creador”

Lo que puede hacer:

• Enviar correos spam con virus adjuntos.
• Difundir todo tipo de malware.
• Puede usar su computadora como parte de un ataque de
denegación de servicio contra otros sistemas.

19
Amenazas comunes de seguridad

Denegación de Servicio Distribuido (DDoS)

“Un ataque de denegación de servicio distribuido (DDoS),
es cuando un usuario malintencionado obtiene una red de
computadoras zombies para sabotear un sitio web o un servidor
específico.”

Lo que puede hacer:

• El tipo más común y obvio de ataque DDoS ocurre cuando un
atacante “inunda” una de con información inútil.
• La inundación de mensajes entrantes al sistema objetivo
esencialmente lo obliga a apagarse, negando así el acceso a
usuarios legítimos.

20
Amenazas comunes de seguridad

Hackear
“Hackear es un término usado para describir las
acciones tomadas por alguien par obtener acceso no autorizado a
una computadora o sistema.”

Lo que puede hacer:

• Encontrar debilidades (o errores preexistentes) en su
configuración de seguridad y explotarlos para acceder a su
sistema.
• Instalar un caballo de troya, proporcionando una puerta trasera
para que puedan acceder a su información.

21
Amenazas comunes de seguridad

Malware
“Malware es una de las formas más comunes de infiltrarse
o dañar su computadora, es un software que infecta su
computadora, como virus, gusanos, caballos de troya, spyware y
adware.”

Lo que puede hacer:

• Intimidar con el scareware, que suele ser un mensaje emergente que le indica que
su computadora tiene un problema de seguridad u otra información falsa.
• Formatear el disco duro de su computadora para que pierda toda su información.
• Alterar o borrar archivos.
• Robar información sensible.
• Enviar correos electrónicos en su nombre..
• Tomar el control de su computadora y de todo el software que se ejecuta en ella.

22
Amenazas comunes de seguridad

Suplantación de Identidad (Phishing)

“Los delincuentes cibernéticos utilizan el Phishing con mucha
frecuencia porque es fácil de ejecutar y puede producir los resultados que
están esperando con muy poco esfuerzo.”

Lo que puede hacer:

• Engañarlo para que les brinde información pidiéndole que actualice,
valide o confirme su cuenta. A menudo se presenta de una manera que
parece oficial e intimidante, para alentarlo a tomar medidas.
• Proporciona a los delincuentes cibernéticos su nombre de usuario y
contraseña para que puedan acceder a sus cuentas (cuenta bancaria en
línea, cuentas de compras, etc.), y robar sus números de tarjeta de
crédito.

23
Amenazas comunes de seguridad

Ransomware
“Ransomware es un tipo de malware que restringe el
acceso a su computadora o sus archivos y muestra un mensaje que
exige pago para que se elimine la restricción.”

Lo que puede hacer:

• Bloqueo de página Ransomware: Muestra una imagen que le
impide acceder a su computadora.
• Cifrado Ransomware: Cifra los archivos en el disco duro de su
sistema y, a veces, en unidades de red externas e incluso algunas
unidades de almacenamiento en la nube, impidiendo que las abra.

24
Amenazas comunes de seguridad

Spam
“El Spam es uno de los métodos más comunes para enviar y
recopilar información de personas confiadas.”

Lo que puede hacer:

• Molestarte con correo no deseado.
• Crear una carga para los proveedores de servicios y las empresas para
filtrar los mensajes electrónicos.
• Robar su información engañándolo para que siga los siguientes enlaces
o ingrese detalles con ofertas y promociones demasiado buenas para ser
ciertas.
• Proporcionar un medio para el envío de malware, estafas, fraudes y
amenazas a su privaciad.

25
Amenazas comunes de seguridad

Falsificación (Spoofing)
“Esta técnica se usa a menudo junto con el Phishing en
un intento de robar su información.”

Lo que puede hacer:

• Enviar spam utilizando su dirección de correo electrónico, o una
variación de su dirección de correo electrónico, a su lista de
contactos.
• Recrea sitios web que se parecen mucho al sitio auténtico. Esto
podría ser una institución financiera u otro sitio que requiera
iniciar sesión u otra información personal.

26
Amenazas comunes de seguridad

Spyware & Adware

“Esta técnica es utilizada a menudo por terceros para
infiltrarse en su computadora o robar su información sin que usted lo
sepa.”

Lo que puede hacer:

• Recopilar información sobre usted sin su conocimiento y dársela a
terceros.
• Enviar sus nombres de usuario, contraseñas, hábitos de navegación,
lista de aplicaciones que ha descargado, configuraciones e incluso la
versión de su sistema operativo a terceros.
• Cambia la forma en que tu computadora funciona sin tu conocimiento..
• Lo llevará a sitios no deseados o lo inundará con anuncios emergentes
incontrolables.

27
Amenazas comunes de seguridad

Caballo de Troya
“Un programa malicioso que está disfrazado como, o
incrustado dentro, de software legítimo. Es un archivo ejecutable que se
instalará y ejecutará automáticamente una vez que se descargue.”

Lo que puede hacer:

• Borrar sus archivos.
• Usar su computadora para hackear otras computadoras..
• Mirarte a través de tu cámara web.
• Registrar sus pulsaciones de teclado (como el número de tarjeta de
crédito que ingresó en una compra en línea).
• Registrar nombres de usuario, contraseñas y otra información personal.

28
Amenazas comunes de seguridad

Virus
“Programas informáticos maliciosos que a menudo se envían
como un archivo adjunto de correo electrónico o una descarga con la
intención de infectar su computadora.”

Lo que puede hacer:

• Enviar spam.
• Proveer a los delincuentes acceso a su computadora y listas de
contactos.
• Escanear y encontrar información personal como contraseñas en su
computadora.
• Secuestrar su navegador web.
• Deshabilitar sus configuraciones de seguridad.
• Mostrar anuncios no deseados.

29
Amenazas comunes de seguridad

Worm
“Un gusano, a diferencia de un virus, va a trabajar solo
sin adjuntarse a los archivos o programas. Vive en la memoria de
su computadora, no daña ni altera el disco duro y se propaga al
enviarse a otras computadoras en una red.”

Lo que puede hacer:

• Difundirse a todos en tu lista de contactos.
• Provocar una gran cantidad de daños al cerrar partes de Internet,
causando estragos en una red interna y costando a las empresas
enormes cantidades de ingresos perdidos.

30
DESPLIEGUE DE SEGURIDAD
CON MIKROTIK

31
Router MikroTik: Firewall Principal

DATA CENTER

OFICINAS
INTERNET

INVITADOS

32
Router MikroTik: Firewall Principal

Ventajas
• Topología simple.
• Fácil de administrar.

'
Desventajas
• Concentrarse en un único punto de falla.
• Demanda altos recursos.

33
Router MikroTik: Firewall Dedicado

DATA CENTER

OFICINAS
INTERNET

INVITADOS

34
Router MikroTik: Firewall Dedicado

Ventajas
• Menor consumo de recursos en cada router.
• Seguridad enfocada en cada red.

Desventajas
• Diferentes segmentos de red, diferentes tratamientos.
• Necesidad de configurar un Firewall diferente en cada router.
• Posibilidad de configurar reglas de Firewall dobles en los
otros routers.

35
Router MikroTik como IPS

DATA CENTER

OFICINAS
INTERNET

INVITADOS

36
Router MikroTik como IPS

Ventajas
• Limpiar todas las configuraciones de Firewall en el router,
porque todas las configuraciones ya están definidas en el IPS.

Desventajas
• Necesita un dispositivo de alto recurso en MikroTik como IPS.

** Sistema de Prevención de Intrusos??

37
Router MikroTik con IDS (Trigger)

DATA CENTER

OFICINAS
INTERNET

IDS SERVER
INVITADOS

38
Router MikroTik con IDS (Trigger)

Ventajas
• Todas las reglas de Firewall son creadas automáticamente por
el API desde el servidor IDS.

Desventajas
• Necesita un dispositivo adicional como disparador del tráfico
malo.
• Necesita un dispositivo potente para reflejar todo el tráfico de
las redes.
• Necesita scripts especiales para enviar información al router.
• Costoso

39
ATAQUES A LAS CAPAS
DEL MODELO OSI

40
Protocolo MikroTik Neighbor Discovery

• El protocolo MikroTik Neighbor Discovery (MNDP) permite

"encontrar" otros dispositivos compatibles con MNDP o CDP
(Cisco Discovery Protocol) o LLDP en el dominio de
broadcast Layer2..
• Funciona en interfaces que admiten el protocolo IP y tienen al
menos una dirección IP y en todas las interfaces similares a
Ethernet, incluso sin direcciones IP
• Está habilitado de forma predeterminada para todas las nuevas
interfaces similares a Ethernet.
• Usa el protocolo UDP puerto 5678

41
Ataque MNDP

• Esta herramienta enviará muchos vecinos CDP "falsos" al

dispositivo RouterOS.

42
Ataque MNDP

• RouterOS está recibiendo información sobre miles de

dispositivos vecinos "falsos".

43
Ataque MNDP

• Está agotando los recursos e

impactando en el rendimiento
del router.

/tool profile freeze-frame-interval=1

/system resource cpu print

44
Prevención: Ataque MNDP

• Para evitar tales ataques, debemos seleccionar qué interfaces

pueden comunicarse utilizando MNDP / CDP / LLDP.

• Crear una "lista de interfaces" y seleccionar las interfaces para

habilitar el descubrimiento de vecinos (MNDP)

45
Prevención: Ataque MNDP

• Creación de una "lista de interfaces" para acceder al protocolo

MikroTik Neighbor Discovery Protocol

/interface list add name=NEIGHBOR

/interface list member
add interface=etherX list=NEIGHBOR
add interface=etherY list=NEIGHBOR

46
Prevención: Ataque MNDP

• IP > Neighbors > Discovery Settings y establezca la

configuración de descubrimiento en la "lista de interfaces”
creada anteriormente.

/ip neighbor discovery-settings set discover-interface-list=NEIGHBOR

47
Ataque DHCP Starvation

• Un ataque que funciona mediante la difusión de solicitudes

DHCP con direcciones MAC falsificadas.

• El ataque “DHCP Starvation” se dirige a los servidores

DHCP, por lo que las solicitudes DHCP falsificadas son
creadas por un atacante con la intención de agotar todas las
direcciones IP disponibles que pueden ser asignadas por el
servidor DHCP.

48
Ataque DHCP Starvation

• Esta herramienta envía múltiples solicitudes DHCP “falsas” al

router

49
Ataque DHCP Starvation

• El atacante agota las concesiones DHCP con múltiples

solicitudes al router.

50
Prevención: Ataque DHCP Starvation

• El atacante usa una nueva dirección MAC para solicitar un

nuevo arrendamiento DHCP.
• Restrinja el número de direcciones MAC en el puerto del
switch.
• No podrá arrendar más direcciones IP que las direcciones
MAC permitidas en el puerto

port-security
Router max 1 MAC
port-security
max 1 MAC

51
Servidor DHCP Falso (Rogue)

• Un servidor DHCP no autorizado es un servidor DHCP en una

red que no está bajo el control administrativo.
• Está configurado en una red por un atacante, para
aprovecharse de los clientes.

52
Servidor DHCP Falso (Rogue)

53
Servidor DHCP Falso (Rogue)

• Server ID – ID del servidor, el nombre que será enviará la respuesta al

DHCP([Link]);
• Start IP – IP inicial del rango de direcciones para clientes ([Link]);
• End IP – IP final del rango de direcciones para clientes ([Link]);
• Time The Lease (secs) – Tiempo en segundos por la que es entregada la IP
• Time The Renew (secs) – Tiempo en segundos de cuántos clientes deben
renovar la IP asignada.
• Subnet Mask – Máscara de subred para los clientes ([Link]);
• Router – Puerta de enlace para los clientes ([Link] ,dirección del
servidor falso);
• DNS Server – Servidores DNS para los clientes ([Link] ,direcciones
de DNS falsos);
• The Domain – Nombre de dominio local en la red ( [Link] );

54
Prevención: DHCP Falso (Rogue)
• Habilitar DHCP Snooping en el Swtich.
• Configurar el puerto del router como “DHCP Snooping Trusted”
• Direcciones IP y MAC de clientes conocidos.
• La alerta DHCP de RouterOS solo envía información, no
detiene o evita un ataque.
DHCP Snooping enabled

Router trusted untrusted

untrusted

[Link]

55
Ataque TCP SYN

SYN

SYN-ACK

• Este tipo de ataque aprovecha el “three-way handshake” para

establecer la comunicación TCP.
• En la inundación SYN, el atacante envía al destino una gran
cantidad de paquetes TCP/SYN.
• Estos paquetes tienen una dirección de origen y el equipo de
destino responde (paquete TCP/SYN-ACK) de vuelta a la IP
de origen, intentando establecer una conexión TCP.

56
Ataque TCP SYN

• Escaneando el puerto disponible en el destino, el objetivo

normal generalmente es el puerto 80 / servicio http

57
Ataque TCP SYN

• Descarga e instala “hping3” y ejecuta el siguiente comando:

58
Ataque TCP SYN

• “IP > Firewall > Connections” por favor observar los paquetes
“syn sent” desde direcciones de origen aleatorias.

59
Ataque TCP SYN

• Tráfico de la interface, usando Torch:

60
Ataque TCP SYN

• El ataque está agotando los recursos del router e impactando el

rendimiento

tool profile freeze-frame-interval=1 system resource cpu print

61
Prevención: Ataque TCP SYN

• Limitar la cantidad de paquetes de solicitud de conexión TCP.

• Reducir el tiempo del “syn-received"
• Y configurar la opción “tcp syn-cookies”

62
Prevención: Ataque TCP SYN

• Crear reglas de firewall para prevenir la inundación de TCP SYN

/ip firewall filter

add action=jump chain=forward comment="SYN Flood protect FORWARD" connection-state=new jump-
target=syn-attack protocol=tcp tcp-flags=syn
add action=jump chain=input comment="SYN Flood protect INPUT" connection-state=new jump-target=syn-
attack protocol=tcp tcp-flags=syn
add action=accept chain=syn-attack connection-state=new limit=400,5:packet protocol=tcp tcp-flags=syn
add action=drop chain=syn-attack connection-state=new protocol=tcp tcp-flags=syn

63
Prevención: Ataque TCP SYN

• IP > Settings y habilitar la opción

“TCP SynCookies”

/ip settings set tcp-syncookies=yes

64
Ataque TCP SYN

• Ejecutar hping3 nuevamente

65
Preventing TCP SYN Attack

• Estas reglas detienen el ataque TCP SYN, pero siguen

afectando los recursos del CPU. (necesita un router más
potente para prevenir)

66
Ataque: UDP Flood

• Una inundación de paquetes UDP no explota ninguna

vulnerabilidad.
• El objetivo de las inundaciones de paquetes UDP es crear y
enviar una gran cantidad de datagramas UDP desde
direcciones IP falsificadas al servidor de destino.
• Cuando un servidor recibe este tipo de tráfico, no puede
procesar todas las solicitudes y consume su ancho de banda al
enviar paquetes ICMP de "destino inaccesible”.

67
Ataque: UDP Flood

• Escaneando el puerto disponible en el destino, el objetivo

normal generalmente es el puerto 53 / servicio dns

68
Ataque: UDP Flood

• Comience a atacar el puerto 53 (DNS) del protocolo UDP con

hping3

69
Ataque: UDP Flood

• “IP > Firewall > Connections” por favor observar los paquetes
“udp” desde direcciones de origen aleatorias.

70
Ataque: UDP Flood

• Tráfico de la interface, usando Torch:

71
Ataque: UDP Flood

• El ataque está agotando los recursos del router e impactando el

rendimiento

72
Prevención: Ataque UDP Flood

• Deshabilite el reenviador de DNS en MikroTik si no es

necesario.
• Si en "IP -> DNS" – La opción “Allow remote request” esta
habilitada, asegúrese que exista una regla de firewall adecuada
para evitar ataques de DNS entrantes.
• Rate-limiting for each new udp connection.

73
Prevención: Ataque UDP Flood

• Deshabilitar "Allow Remote

Requests" en el router

74
Prevención: Ataque UDP Flood

• Bloquear solicitudes DNS “udp/53” desde la interface externa

(WAN)

/interface list add name=OUTSIDE

/interface list member add interface=ether3-internet list=OUTSIDE

/ip firewall raw add action=drop chain=prerouting dst-port=53 in-interface-list=OUTSIDE protocol=udp

75
Prevención: Ataque UDP Flood

• Limitar la cantidad de paquetes de solicitud udp/53

/ip firewall raw

add action=accept chain=prerouting dst-port=53 in-interface-list=!OUTSIDE limit=100,5:packet protocol=udp
add action=drop chain=prerouting dst-port=53 in-interface-list=!OUTSIDE protocol=udp

76
Ataque: ICMP Smurf

• Este tipo de ataque utiliza una gran cantidad de tráfico de

ICMP dirigido a una dirección de broadcast, por ejemplo,
[Link].
• La dirección IP de respuesta está falsificada con la de la
víctima, por ejemplo, [Link]
• Todas las respuestas se envían a la víctima en lugar de la IP
utilizada para los pings.
• Dado que una única dirección de broadcast puede admitir un
máximo de 255 hosts, un ataque de ICMP Smurf amplifica un
solo ping 255 veces.

77
Ataque: ICMP Smurf

• Comience el ataque ICMP smurf con direcciones aleatorias.

78
Ataque: ICMP Smurf

• Todo el tráfico del atacante como dirección de destino tiene la

dirección de broadcast de la red

79
Ataque: ICMP Smurf

80
Ataque: ICMP Smurf

• El ataque está agotando los recursos del router e impactando el

rendimiento

81
Prevención: Ataque ICMP Smurf

• Configure el router para no reenviar o aceptar paquetes

dirigidos a direcciones de broadcast.
• Configure hosts individuales o routers para que no respondan
a las solicitudes de ping del exterior

82
Prevención: Ataque ICMP Smurf

/ip firewall filter

add action=drop chain=input dst-address-type=broadcast icmp-options=0:0-255 protocol=icmp
add action=drop chain=input in-interface-list=OUTSIDE protocol=icmp

83
Ataque: Contraseñas por Fuerza Bruta

• Un ataque de fuerza bruta es un método de prueba y error que

se utiliza para obtener información, como la contraseña de un
usuario o cualquier otra información de credenciales.
• En un ataque de fuerza bruta, un software automatizado es
utilizado para generar un gran número de conjeturas
consecutivas en cuanto al valor de los datos deseados.

84
Ataque: Contraseñas por Fuerza Bruta

• Router bajo un ataque de fuerza bruta por SSH.

85
Ataque: Contraseñas por Fuerza Bruta

• Router bajo un ataque de fuerza bruta por Telnet.

86
Prevención: Ataque de fuerza bruta

• Limitar el número de veces que un usuario puede intentar

iniciar sesión sin éxito.
• Bloqueo temporal de usuarios que superan el número máximo
especificado de intentos de inicio de sesión fallidos.
• Exigir a los usuarios crear contraseñas complejas.
• Realizar cambios de contraseña periódicamente.

87
Prevención: Ataque de fuerza bruta

88
Prevención: Ataque de fuerza bruta

/ip firewall filter

add action=drop chain=input comment="Drop SSH Brute Forcers" dst-port=22 protocol=tcp \
src-address-list=brute-force_blacklist
add action=add-src-to-address-list address-list=brute-force_blacklist address-list-timeout=1d chain=input \
connection-state=new dst-port=22,23 protocol=tcp src-address-list=bruteforce_stage3
add action=add-src-to-address-list address-list=bruteforce_stage3 address-list-timeout=30s chain=input \
connection-state=new dst-port=22,23 protocol=tcp src-address-list=bruteforce_stage2
add action=add-src-to-address-list address-list=bruteforce_stage2 address-list-timeout=30s chain=input \
connection-state=new dst-port=22,23 protocol=tcp src-address-list=bruteforce_stage1
add action=add-src-to-address-list address-list=bruteforce_stage1 address-list-timeout=1m chain=input \
connection-state=new dst-port=22,23 protocol=tcp

89
Detección de Escaneo de Puertos

• Una escaneo de puertos es un método para determinar qué

puertos de una red están abiertos o disponibles.
• La ejecución de un escaneo de puertos en una red o servidor
revela qué puertos están abiertos y escuchando (recibiendo
información)
• Las herramientas de escaneo de puertos (como NMAP) pueden
detectar qué versión de una aplicación se está ejecutando en un
puerto.
• El escaneo de puertos es la "puerta" para iniciar un ataque o
penetración en sus redes.

90
Detección de Escaneo de Puertos

• Escaneando puertos abiertos a un objetivo:

91
Prevención: Escaneo de Puertos

• Crear reglas para detectar el escaneo de puertos desde el router

y bloquear la direcciones IP que lo generan.

92
Prevención: Escaneo de Puertos

/ip firewall filter

add action=drop chain=input src-address-list="port scanners"
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input
comment="Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input
comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input
comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input
comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input
comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=\
fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input
comment="ALL/ALL scan" protocol=tcp tcp-flags=\
fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input
comment="NMAP NULL scan" protocol=tcp tcp-flags=\
!fin,!syn,!rst,!psh,!ack,!urg

93
ASEGURANDO TU
ROUTER

94
PORT KNOCKING

95
Qué es Port Knocking

• Port knocking es un método que permite el acceso al router solo

después de recibir una secuencia de intentos de conexión en un
conjunto de puertos abiertos.
• Una vez que se recibe la secuencia correcta de los intentos de
conexión, el RouterOS agrega dinámicamente la IP de origen del host
a la lista de direcciones permitidas y podrá conectarse a su router.
• You can use some online available port-knock clients, or manually
connect router IP address with defined ports.
• El “golpe” de puertos en sí mismo es similar a un protocolo secreto y
puede consistir en cualquier número de TCP, UDP, ICMP u otros
paquetes de protocolo a puertos numerados en la máquina de destino

96
Cómo funciona: Port Knocking

Host que intenta establecer una conexión

con el primer “knocking-port”

RouterOS dinámicamente añade la IP de

origen a una lista de permitidos

Host que intenta establecer una conexión con

el segundo “knocking-port”

RouterOS verificará si la conexión proviene de una

IP en la lista de pe permitidos

Si la IP es la misma y el tiempo entre el primer y

segundo intentado esta dentro del tiempo especificado,
el Host podrá establecer una conexión con router.

97
Cómo funciona: Port Knocking

/ip firewall filter

add action=drop chain=input dst-port=8291 protocol=tcp src-address-list=!knock-final
add action=add-src-to-address-list address-list=knock1 address-list-timeout=10s chain=input dst-port=11111 \
protocol=tcp
add action=add-src-to-address-list address-list=knock2 address-list-timeout=10s chain=input dst-port=22222 \
protocol=tcp src-address-list=knock1
add action=add-src-to-address-list address-list=knock-final address-list-timeout=1d chain=input \
dst-port=33333 protocol=tcp src-address-list=knock2

98
Cómo funciona: Port Knocking

Port Knocking para Windows

Port Knocking para Linux

apt-get install knockd or yum install knockd

knock [Link]-address-or-domain 12345:tcp 54321:udp

99
CONEXIONES
SEGURAS

100
Qué es una conexión segura

• Una conexión que está cifrada por uno o más protocolos de

seguridad para garantizar la seguridad de los datos que fluyen
entre dos o más nodos.
• Cuando una conexión no está encriptada, cualquier persona
con conocimiento sobre cómo hacerlo puede escucharla
fácilmente.
• Protege los datos que se transfieren de una computadora a
otra.

101
Certificados Auto-Firmados

ip service set www-ssl certificate=www

102
Certificados Auto-Firmados

103
Certificados Auto-Firmados

104
Certificados Válidos Gratuitos

ip service set www-ssl certificate=certificate.crt_0

105
Certificados Válidos Gratuitos

106
PUERTOS POR
DEFECTO PARA
LOS SERVICIOS
107
Puertos por Defecto para Servicios

• En redes TCP/IP y UDP, , un puerto es un punto final de una

conexión lógica y la forma en que un programa cliente
especifica un programa de servidor específico en una
computadora en una red.
• El número de puerto identifica qué tipo de puerto es, y qué
tipo de servicio están sirviendo esos puertos.
• Algunos puertos tienen números que les asigna la IANA, y
estos se denominan "puertos conocidos" que se especifican en
RFC1700.
• Los números de puerto van de 0 a 65535, pero solo los
números de puerto 0 a 1023 están reservados para servicios
privilegiados y puertos designados como conocidos.

108
Puertos por Defecto para Servicios

/ip service set telnet disabled=yes

/ip service set ftp disabled=yes
/ip service set www port=8800
/ip service set ssh port=22000
/ip service set www-ssl disabled=no port=44300
/ip service set api disabled=yes
/ip service set winbox port=58291

NB: Obscurity is not security - you should also use firewall rules

109
 TUNNELING A
TRAVÉS DE SSH

110
Qué es Túnel SSH

• Un túnel SSH consiste en un túnel cifrado creado mediante la

conexión del protocolo SSH.
• El túnel SSH se puede utilizar para encapsular el tráfico no
cifrado y transmitirlo a través de un canal cifrado.

111
Cómo funciona SSH ?

El host se conecta a RouterOS mediante ssh

con el parámetro de reenvío de puerto local

RouterOS aceptó conexiones ssh desde el host

El host intenta abrir el puerto sin cifrar (80) desde el túnel

ssh a través de la red de reenvío de puerto local

RouterOS envía una solicitud http desde el host

a través del túnel ssh

112
Configurando un Túnel SSH

SSH Local-Forwarding para Windows

SSH Local-Forwarding para Linux

ssh –L 80:[Link]:80 [Link]-or-domain

113
Configurando un Túnel SSH

114
 FIREWAL
CON ESTADOS

115
RouterOS implementa un firewall con estado.
Un firewall con estado es un firewall capaz de
rastrear conexiones ICMP, UDP y TCP.

Esto significa que el firewall puede identificar si

un paquete está relacionado con el paquete
anterior.

El firewall puede rastrear el estado operativo.

116
Connection Tracking

117
Connection Tracking

118
Connection Tracking

119
Laboratorio: ICMP Tracking

/interface ethernet
set [ find default-name=ether1 ] comment="To Internet"
name=ether1-internet
set [ find default-name=ether2 ] comment="To Lan" name=ether2-Lan

/ip pool
add name=dhcp_pool0 ranges=[Link]-[Link]

/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=ether2-Lan
name=dhcp1

120
Laboratorio: ICMP Tracking

/ip address
add address=[Link]/24 interface=ether2-Lan network=[Link]

/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1-
internet

/ip dhcp-server network

add address=[Link]/24 gateway=[Link]

/ip firewall nat

add action=masquerade chain=srcnat out-interface=ether1-internet

/system identity
set name=R1

121
Laboratorio: ICMP Tracking

122
Laboratorio: ICMP Tracking

123
Laboratorio: ICMP Tracking

/ip firewall mangle

add action=mark-connection chain=forward dst-address=[Link] new-
connection-mark=icmp passthrough=yes protocol=icmp
add action=mark-packet chain=forward connection-mark=icmp new-packet-
mark=icmpout out-interface=ether1-internet passthrough=yes
add action=mark-packet chain=forward connection-mark=icmp new-packet-
mark=icmpin out-interface=ether2-Lan passthrough=yes

124
Laboratorio: ICMP Tracking

/ip firewall mangle

add action=mark-connection chain=forward dst-address=[Link]
new-connection-mark=icmp passthrough=yes protocol=icmp

125
Laboratorio: ICMP Tracking

126
Laboratorio: ICMP Tracking

127
Laboratorio: ICMP Tracking

/ip firewall mangle

add action=mark-packet chain=forward connection-mark=icmp new-packet-
mark=icmpout out-interface=ether1-internet passthrough=yes

128
Laboratorio: ICMP Tracking

129
Laboratorio: ICMP Tracking

/ip firewall mangle

add action=mark-packet chain=forward connection-mark=icmp new-packet-
mark=icmpin out-interface=ether2-Lan passthrough=yes

130
Laboratorio: ICMP Tracking

131
Laboratorio: Áreas Seguras

132
Laboratorio: Áreas Seguras

/interface bridge
add fast-forward=no name=Lan

/interface ethernet
set [ find default-name=ether1 ] name=E1-ToInternet

/interface list
add name=WAN
add name=LAN

133
Laboratorio: Áreas Seguras

/ip pool
add name=dhcp_pool0 ranges=[Link]-[Link]

/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=Lan name=dhcp1

/interface bridge port

add bridge=Lan interface=ether2
add bridge=Lan interface=ether3
add bridge=Lan interface=ether4

/interface list member

add interface=E1-ToInternet list=WAN
add interface=Lan list=LAN

134
Laboratorio: Áreas Seguras

/ip address
add address=[Link]/24 interface=Lan network=[Link]

/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=E1-
ToInternet

/ip dhcp-server network

add address=[Link]/24 gateway=[Link]

/ip firewall filter

add action=drop chain=forward comment="Drop external traffic"
connection-state=new in-interface-list=WAN

/ip firewall nat

add action=masquerade chain=srcnat out-interface-list=WAN

/system identity
set name=R1

135
FLUJO DE
PAQUETES

136
Flujo de Paquetes

137
Flujo de Paquetes

138
Flujo de Paquetes

139
Flujo de Paquetes

140
Flujo de Paquetes

141
TABLA
RAW

142
Tabla RAW

• Raw table offer two chains - prerouting and output.

• The function of the raw table is to process the packets
before the conntrack process.
• This is much more efficient.

143
Tabla RAW: Chains

144
Tabla RAW

145
Tabla RAW: Paquetes Descartados

146
Tabla RAW: Paquetes Descartados

147
Tabla RAW: Ataque Synflood

/ip firewall filter

add action=drop chain=input protocol=tcp tcp-flags=syn in-
interface=E1-ToInternet

148
Tabla RAW: Ataque Synflood

149
Tabla RAW: Ataque Synflood

/ip firewall raw

chain=input action=drop tcp-flags=syn protocol=tcp in-interface=E1-
ToInternet

150
Tabla RAW: Ataque Synflood

151
Tabla RAW: Ataque Synflood

Pruébalo en tu router!

152
 DEFAULT
CONFIGURATION

153
MikroTik Default Configuration
• All RouterBOARDs from factory come with a default configuration.
There are several different configurations depending on the board
type:
• CPE router
• LTE CPE AP router
• AP router (single or dual band)
• PTP Bridge (AP or CPE)
• WISP Bridge (AP in ap_bridge mode)
• Switch
• IP only
• CAP (Controlled Access Point)
• When should you remove the default-configuration and set up the
router from scratch?

154
CPE Router
• In this type of configurations router is configured as wireless client
device.
• WAN interface is Wireless interface.
• WAN port has configured DHCP client, is protected by IP firewall
and MAC discovery/connection is disabled.

155
CPE Router
• List of routers using this type of configuration:
• RB711, 911, 912, 921, 922 - with Level3 (CPE) license
• SXT
• QRT
• SEXTANT
• LHG
• LDF
• DISC
• Groove
• Metal

156
LTE CPE AP router
• This configuration type is applied to routers that have both an LTE
and a wireless interface.
• The LTE interface is considered as a WAN port protected by the
firewall and MAC discovery/connection disabled.
• IP address on the WAN port is acquired automatically. Wireless is
configured as an access point and bridged with all available
Ethernet ports.
• List of routers using this type of configuration:
• wAP LTE kit
• LtAP mini kit

157
AP Router (single or dual band)
• This type of configuration is applied to home access point routers to be
used straight out of the box without additional configuration (except
router and wireless passwords)
• First Ethernet port is configured as a WAN port (protected by firewall,
with a DHCP client and disabled MAC connection/discovery)
• Other Ethernet ports and wireless interfaces are added to local LAN
bridge with an IP [Link]/24 and a DHCP server
• In case of dual band routers, one wireless is configured as 5 GHz access
point and the other as 2.4 GHz access point.
• List of routers using this type of configuration:
• RB450, 751, 850, 951, 953, 2011, 3011, 4011
• mAP, wAP, hAP, OmniTIK

158
PTP Bridge (AP or CPE)
• Bridged ethernet with wireless interface
• Default IP address [Link]/24 is set on the bridge interface
• There are two possible options - as CPE and as AP
• For CPE wireless interface is set in "station-bridge" mode.
• For AP "bridge" mode is used.
• List of routers using this type of configuration:
• DynaDish - as CPE

159
WISP Bridge
• Configuration is the same as PTP Bridge in AP mode, except that
wireless mode is set to ap_bridge for PTMP setups.
• Router can be accessed directly using MAC address.
• If device is connected to the network with enabled DHCP server,
configured DHCP client configured on the bridge interface will get
the IP address, that can be used to access the router.
• List of routers using this type of configuration:
• RB 911,912,921,922 - with Level4 license
• cAP, Groove A, Metal A, RB711 A
• BaseBox, NetBox
• mANTBox, NetMetal

160
Switch
• This configuration utilises switch chip features to configure
dumb switch.

• All ethernet ports are added to switch group and default IP

address [Link]/24 is set on master port.
• RoS 6.41 onwards uses Hardware Offload and places all
ports into a Bridge instead.
• List of routers using this type of configuration:
• FiberBox
• CRS without wireless interface

161
IP Only
• When no specific configuration is found, IP address
[Link]/24 is set on ether1, or combo1, or sfp1.
• List of routers using this type of configuration:
• RB 411,433,435,493,800,M11,M33,1100
• CCR

162
CAP
• This type of configuration is used when device is to be used as a
wireless access point which is controlled by the CAPsMAN
• When CAP default configuration is loaded, ether1 is considered as a
management port with a DHCP client
• All other Ethernet interfaces are bridged and all wireless interfaces are
set to be managed by the CAPsMAN
• None of the current boards come with the CAP mode enabled from
the factory. The above mentioned configuration is applied to all
boards with at least one wireless interfaces when set to the CAP mode

163
IPv6
• Note. The IPv6 package by default is disabled on RouterOS v6. When
enabled, after the first reboot, default configuration will be applied to
the IPv6 firewall as well.

164
Print the factory default-configuration
• /system default-configuration print

165
IP firewall to a router
• Work with new connections to decrease load on a router;
• Create address-list for IP addresses that are allowed to access your
router;
• Enable ICMP access (optionally);
• Drop everything else, log=yes might be added to log packets that hit
the specific rule;

166
IP firewall for clients
• Established/related packets are added to fasttrack** for faster data
throughput
• firewall will work with new connections only;
• Drop invalid connection and log them with prefix invalid;
• Drop attempts to reach non public addresses from your local network
(rfc1918) ([Link]/8, [Link]/12, [Link]/16)
• drop forward dst-address-list=not_in_internet
• bridge1 is local network interface
• log attempts with prefix="!public_from_LAN";

** note Fasttrack limitations for Queues etc

167
IP firewall for clients
• Drop incoming packets that are not NATed,
• ether1 is public interface, log attempts with !NAT prefix;
• Drop incoming packets from Internet, which are not public IP
addresses (rfc1918),
• ether1 is public interface,
• log attempts with prefix="!public";
• Drop packets from LAN that does not have LAN IP,
• [Link]/24 is local network used subnet;

168
MANAGEMENT
ACCESS

169
RouterOS services
• /ip service disable telnet,ftp,www,api,api-ssl

170
Change default ports
• /ip service set ssh port=2200

171
Restrict access by ip
• /ip service set winbox address=[Link]/24

172
Mac-server
RouterOS has built-in options for easy management access to network
devices even without IP configuration. On production networks the
particular services should be set to restricted access (e.g. only internal
interfaces) or disable entirely!

/tool mac-server set allowed-interface-list=none

/tool mac-server mac-winbox set allowed-interface-list=none
/tool mac-server ping set enabled=no

173
Bandwidth Test
Bandwidth test server is used to test throughput between two
MikroTik routers. It is recommended to disable it on a production
environment.
/tool bandwidth-server set enabled=no

174
DNS Cache
DNS cache facility can be used to provide domain name resolution for
the router itself as well as for the clients connected to it.
In case the DNS cache is not required on your router or if another router
is used for such purposes, DNS cache should be disabled:
/ip dns set allow-remote-requests=no

If DNS cache is left enabled be sure to protect UDP/53 on the input

chain with firewall rules

175
Other Client Services
/ip proxy set enabled=no
/ip socks set enabled=no
/ip upnp set enabled=no
/ip cloud set ddns-enabled=no update-time=no

176
More Secure SSH - Strong-Crypto=Yes
Introduces following changes in the SSH configuration:
• Prefer 256 and 192 bit encryption instead of 128 bits
• Disable null encryption
• Prefer sha256 for hashing instead of sha1
• Disable md5
• Use 2048bit prime for Diffie Hellman exchange instead of
1024bit

/ip ssh set strong-crypto=yes

177
Unused interfaces
In order to protect from unauthorised access, it is considered good
practice to disable all unused interfaces on the router

178
 BRIDGE
FIREWALL

179
Bridge Firewall

The bridge firewall implements packet filtering and thereby provides

security functions that are used to manage data flow to, from and
through bridge.

180
Bridge Firewall

181
Bridge Firewall

182
Lab. Only PPPoE Traffic

183
Lab. Only PPPoE Traffic

R1 Setup (PPPoE Server)

/interface ethernet
set [ find default-name=ether1 ] name=E1-ToBridge

/ip address
add address=[Link]/30 interface=E1-ToBridge
network=[Link]

184
Lab. Only PPPoE Traffic

/interface pppoe-server server

add disabled=no interface=E1-ToBridge

/ppp secret
add local-address=[Link] name=test password=test \
remote-address=[Link] service=pppoe

/system identity
set name=R1

185
Lab. Only PPPoE Traffic

R3 Setup (PPPoE Client)

/interface ethernet
set [ find default-name=ether1 ] name=E1-ToBridge

/interface pppoe-client
add disabled=no interface=E1-ToBridge name=test password=test \
user=test

/ip address
add address=[Link]/30 interface=E1-ToBridge \
network=[Link]

/system identity set name=R3

186
Lab. Only PPPoE Traffic

Bridge Setup

/interface bridge
add name=bridge1

/interface ethernet
set [ find default-name=ether2 ] name=E2-ToR1
set [ find default-name=ether3 ] name=E3-ToR3

/interface bridge filter

add action=accept chain=forward mac-protocol=pppoe
add action=accept chain=forward mac-protocol=pppoe-discovery
add action=drop chain=forward

187
Lab. Only PPPoE Traffic

/interface bridge port

add bridge=bridge1 interface=E2-ToR1
add bridge=bridge1 interface=E3-ToR3

/system identity
set name=Bridge

188
ICMP FILTERING

189
What is ICMP Filtering
• ICMP helps networks to cope with communication problems
• No authentication method; can be used by hackers to crash
computers on the network
• Firewall/packet filter must be able to determine, based on its
message type, whether an ICMP packet should be allowed to pass

190
ICMPv4 FILTERING

191
Table Filtering Recommendations

Sourced from Through Destined to

ICMPv4 Message
Device Device Device
ICMPv4-unreach-net Rate-Limit Rate-Limit Rate-Limit

ICMPv4-unreach-host Rate-Limit Rate-Limit Rate-Limit

ICMPv4-unreach-proto Rate-Limit Deny Rate-Limit

ICMPv4-unreach-port Rate-Limit Deny Rate-Limit

ICMPv4-unreach-frag-needed Send Permit Rate-Limit

ICMPv4-unreach-src-route Rate-Limit Deny Rate-Limit

ICMPv4-unreach-net-unknown (Depr) Deny Deny Deny

ICMPv4-unreach-host-unknown Rate-Limit Deny Ignore

ICMPv4-unreach-host-isolated (Depr) Deny Deny Deny

ICMPv4-unreach-net-tos Rate-Limit Deny Rate-Limit

Recommendations for ICMPv4

192
Table Filtering Recommendations

Sourced from Through Destined to

ICMPv4 Message
Device Device Device
ICMPv4-unreach-host-tos Rate-Limit Deny Rate-Limit

ICMPv4-unreach-admin Rate-Limit Rate-Limit Rate-Limit

ICMPv4-unreach-prec-violation Rate-Limit Deny Rate-Limit

ICMPv4-unreach-prec-cutoff Rate-Limit Deny Rate-Limit

ICMPv4-quench Deny Deny Deny

ICMPv4-redirect-net Rate-Limit Deny Rate-Limit

ICMPv4-redirect-host Rate-Limit Deny Rate-Limit

ICMPv4-redirect-tos-net Rate-Limit Deny Rate-Limit

ICMPv4-redirect-tos-host Rate-Limit Permit Rate-Limit

ICMPv4-timed-ttl Rate-Limit Permit Rate-Limit

Recommendations for ICMPv4

193
Table Filtering Recommendations

Sourced from Through Destined to

ICMPv4 Message
Device Device Device
ICMPv4-timed-reass Rate-Limit Permit Rate-Limit

ICMPv4-parameter-pointer Rate-Limit Deny Rate-Limit

ICMPv4-option-missing Rate-Limit Deny Rate-Limit

ICMPv4-req-echo-message Rate-Limit Permit Rate-Limit

ICMPv4-req-echo-reply Rate-Limit Permit Rate-Limit

ICMPv4-req-router-sol Rate-Limit Deny Rate-Limit

ICMPv4-req-router-adv Rate-Limit Deny Rate-Limit

ICMPv4-req-timestamp-message Rate-Limit Deny Rate-Limit

ICMPv4-req-timestamp-reply Rate-Limit Deny Rate-Limit

ICMPv4-info-message (Depr) Deny Deny Deny

Recommendations for ICMPv4

194
Table Filtering Recommendations

Sourced from Through Destined to

ICMPv4 Message
Device Device Device
ICMPv4-info-reply (Depr) Deny Deny Deny

ICMPv4-mask-request Rate-Limit Deny Rate-Limit

ICMPv4-mask-reply Rate-Limit Deny Rate-Limit

Recommendations for ICMPv4

195
ICMPv4 Error Messages
• Echo Reply (Type 0, Code 0)
• Destination Unreachable (Type 3)
• Net Unreachable (Code 0)
• Host Unreachable (Code 1)
• Protocol Unreachable (Code 2)
• Port Unreachable (Code 3)
• Fragmentation Needed and DF Set (Code 4)
• Source Route Failed (Code 5)
• Destination Network Unknown (Code 6) (Deprecated)
• Destination Host Unknown (Code 7)
• Source Host Isolated (Code 8) (Deprecated)
• Communication with Destination Network Administratively
Prohibited (Code 9) (Deprecated)

196
ICMPv4 Error Messages
• Destination Unreachable (Type 3)
• Communication with Destination Host Administratively
Prohibited (Code 10) (Deprecated)
• Network Unreachable for Type of Service (Code 11)
• Host Unreachable for Type of Service (Code 12)
• Communication Administratively Prohibited (Code 13)
• Host Precedence Violation (Code 14)
• Precedence Cutoff in Effect (Code 15)

197
ICMPv4 Error Messages

• Source Quench (Type 4, Code 0)

• Redirect (Type 5)
• Redirect Datagrams for the Network (Code 0)
• Redirect Datagrams for the Host (Code 1)
• Redirect datagrams for the Type of Service and Network (Code 2)
• Redirect Datagrams for the Type of Service and Host (Code 3)
• Time Exceeded (Type 11)
• Time to Live Exceeded in Transit (Code 0)
• Fragment Reassembly Time Exceeded (Code 1)

198
ICMPv4 Error Messages
• Parameter Problem (Type 12)
• Pointer Indicates the Error (Code 0)
• Required Option is Missing (Code 1)

199
ICMPv4 Informational Messages
• Echo or Echo Reply Message
• Echo Message (Type 8, Code 0)
• Echo Reply Message (Type 0, Code 0)
• Router Solicitation or Router Advertisement message
• Router Solicitation Message (Type 10, Code 0)
• Router Advertisement Message (Type 9, Code 0)
• Timestamp or Timestamp Reply Message
• Timestamp Message (Type 13, Code 0)
• Timestamp Reply Message (Type 14, Code 0)

200
ICMPv4 Informational Messages
• Information Request or Information Reply Message (Deprecated)
• Information Request Message (Type 15, Code 0)
• Information Reply Message (Type 16, Code 0)
• Address Mask Request or Address Mask Reply
• Address Mask Request (Type 17, Code 0)
• Address Mask Reply (Type 18, Code 0)

201
How the ICMP Filtering Works

202
How the ICMP Filtering Works

/ip firewall filter

add action=jump chain=forward jump-target=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" \
icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"

203
ENCRYPTED TUNNELS
ON ROUTEROS

204
L2TP/IPsec

205
What is L2TP/IPsec
• L2TP stands for Layer 2 Tunnelling Protocol. L2TP was first proposed
in 1999 as an upgrade to both L2F (Layer 2 Forwarding Protocol) and
PPTP (Point-to-Point Tunnelling Protocol)
• Because L2TP does not provide strong encryption or authentication by
itself, another protocol called IPsec is most often used in conjunction
with L2TP
• Used together, L2TP and IPsec is much more secure than PPTP
(Point-to-Point Tunnelling Protocol), but also slightly slower

206
What is L2TP/IPsec
• L2TP/IPSec offers high speeds, and high levels of security for
transmitting data
• It generally makes use of AES ciphers for encryption
• L2TP sometimes has problems traversing firewalls due to its use of
UDP port 500 which some firewalls have been known to block by
default

207
Lab Setup

INTERNET

R1
L2TP/IPsec

208
Setup L2TP/IPsec Server

/interface l2tp-server server set authentication=mschap1,mschap2 \

enabled=yes ipsec-secret=84GsvZAtUQnE use-ipsec=yes

209
Setup L2TP/IPsec Server

/ppp secret add name=demo password=demo local-address=[Link] \

remote-address=[Link] profile=default-encryption service=l2tp

210
Setup L2TP/IPsec Client

211
Setup L2TP/IPsec Client

212
Setup L2TP/IPsec Client

213
Setup L2TP/IPsec Client

214
Setup L2TP/IPsec Client

215
SSTP

216
What is SSTP
• Microsoft introduced Secure Socket Tunnelling Protocol (SSTP) in
Windows Vista and it still considered to be a Windows-only platform
even though it is available on a number of other operating systems.
• It has very similar advantages as OpenVPN as SSTP uses SSLv3 and it
has greater stability as it is included with Windows which also makes it
simpler to use.
• It uses the same port used by SSL connections; port 443.
• It uses 2048 bit encryption and authentication certificates.
• SSTP uses SSL transmissions instead of IPsec because SSL supports
roaming instead of just site-to-site transmissions.
• RouterOS has both the SSTP server and client implementation

217
How the SSTP works

tcp connection
ssl negotiation

SSTP over HTTPS

IP binding

SSTP tunnel

218
How the SSTP works
• TCP connection is established from client to server (by default on
port 443)
• SSL validates server certificate. If certificate is valid connection is
established otherwise connection is torn down. (But see note below)
• The client sends SSTP control packets within the HTTPS session
which establishes the SSTP state machine on both sides

219
How the SSTP works
• PPP negotiation over SSTP. Client authenticates to the server and
binds IP addresses to SSTP interface
• SSTP tunnel is now established and packet encapsulation can begin.
• Note: Two RouterOS devices can establish an SSTP tunnel even
without the use of certificates (not in accordance with Microsoft
standard)
• It is recommended to use the certificates at all times!

220
Lab Setup

INTERNET

R1
SSTP

221
Self-signed Certificate

certificate add name=sstp country=ES state=Toledo locality=Illescas organization=IT unit=IT \

common-name=[Link] subject-alt-name=DNS:[Link] key-size=2048 days-valid=365 \
key-usage=digital-signature,key-encipherment,tls-client,tls-server

/ certificate sign sstp name=sstp ca=CA

/ certificate set sstp trusted=yes

222
Lab Setup

/interface sstp-server server set authentication=mschap1,mschap2 certificate=sstp default-profile=default-encryption \

enabled=yes force-aes=yes

223
Setup SSTP Server

sstp

/ppp secret add name=demo password=demo local-address=[Link] remote-address=[Link] \

profile=default-encryption service=sstp

224
Setup SSTP Server

SSTP Server

225
Setup SSTP Client

226
Setup SSTP Client

227
Setup SSTP Client

228
IPsec

229
What is IPsec
Internet Protocol Security (IPsec) is a set of protocols defined by the
Internet Engineering Task Force (IETF) to secure packet exchange
over unprotected IPv4 or IPv6 networks such as Internet. Provides
Layer 3 security (RFC 2401)

IPsec Combines different components :

• Security associations (SA)
• Authentication headers (AH)
• Encapsulating security payload (ESP)
• Internet Key Exchange (IKE)

230
What is IPsec

IPsec standardisation defined in :

• RFC 4301 Defines the original IPsec architecture and elements common to
both AH and ESP
• RFC 4302 Defines authentication headers (AH)
• RFC 4303 Defines the Encapsulating Security Payload (ESP)
• RFC 2408 ISAKMP
• RFC 5996 IKE v2 (Sept 2010)
• RFC 4835 Cryptographic algorithm implementation for ESP and AH

231
The Benefits of IPsec
Confidentiality
• By encrypting data
Integrity
• Routers at each end of a tunnel calculate the checksum or hash value
of the data
Authentication
• Signatures and certificates
• All these while still maintaining the ability to route through existing
IP Networks

232
The Benefits of IPsec
Data integrity and source authentication
• Data “signed” by sender and “signature” is verified by the recipient
• Modification of data can be detected by signature “verification”
• Because “signature” is based on a shared secret, it gives source
authentication
Anti-replay protection
• Optional; the sender must provide it but the recipient may ignore

233
The Benefits of IPsec
Key management
• IKE – session negotiation and establishment
• Sessions are rekeyed or deleted automatically
• Secret keys are securely established and authenticated
• Remote peer is authenticated through varying options

234
IPsec Modes
Transport Mode
• IPsec header is inserted into the IP packet
• No new packet is created
• Works well in networks where increasing a packet’s size could cause an
issue
• Frequently used for remote-access VPNs

235
IPsec Modes
Tunnel Mode
• Entire IP packet is encrypted and becomes the data component of a new
(and larger) IP packet.
• Frequently used in an IPsec site-to-site VPN

236
IPsec Architecture

237
Authentication Header (AH)
AH is a protocol that provides authentication of either all or part of
the contents of a datagram through the addition of a header that is
calculated based on the values in the datagram.
What parts of the datagram are used for the calculation, and the
placement of the header, depends whether tunnel or transport mode is
used.

• Provides source authentication and data integrity

• Protection against source spoofing and replay attacks
• Authentication is applied to the entire packet, with the mutable
fields in the IP header zeroed out

238
Authentication Header (AH)
• Operates on top of IP using protocol 51
• In IPv4, AH protects the payload and all header fields except
mutable fields and IP options (such as IPsec option)

MikroTik RouterOS supports the following authentication algorithms

for AH:
• SHA1
• MD5

239
Encapsulating Security Payload (ESP)
Encapsulating Security Payload (ESP) uses shared key encryption to
provide data privacy. ESP also supports its own authentication scheme like
that used in AH, or can be used in conjunction with AH.
ESP packages its fields in a very different way than AH. Instead of having
just a header, it divides its fields into three components:

ESP Header : Comes before the encrypted data and its placement depends on
: whether ESP is used in transport mode or tunnel mode.

ESP Trailer : This section is placed after the encrypted data. It

: contains padding that is used to align the encrypted data.

ESP Auth Data : This field contains an Integrity Check Value (ICV), computed
: in a manner similar to how the AH protocol works, for
: when ESP's optional authentication feature is used.

240
Encapsulating Security Payload (ESP)
• Uses IP protocol 50
• Provides all that is offered by AH, plus data confidentiality
• It uses symmetric key encryption
• Must encrypt and/or authenticate in each packet
• Encryption occurs before authentication
• Authentication is applied to data in the IPsec header as well as the
data contained as payload

241
Encapsulating Security Payload (ESP)

RouterOS ESP supports various encryption and authentication algorithms.

Authentication : SHA1, MD5

Encryption :
DES : 56-bit DES-CBC encryption algorithm;
3DES : 168-bit DES encryption algorithm;
AES : 128, 192 and 256-bit key AES-CBC encryption algorithm;
Blowfish : added since v4.5
Twofish : added since v4.5
Camellia : 128, 192 and 256-bit key Camellia encryption algorithm
: added since v4.5

242
Internet Key Exchanger (IKE)
The Internet Key Exchange (IKE) is a protocol that provides authenticated
keying material for Internet Security Association and Key Management
Protocol (ISAKMP) framework. There are other key exchange schemes that
work with ISAKMP, but IKE is the most widely used one. Together they
provide means for authentication of hosts and automatic management of
security associations (SA).
• “An IPsec component used for performing mutual authentication and
establishing and maintaining Security Associations.” (RFC 5996)
• Typically used for establishing IPSec sessions
• A key exchange mechanism
• Five variations of an IKE negotiation:
• Two modes (aggressive and main modes)
• Three authentication methods (pre-shared, public key encryption, and public key
signature)
• Uses UDP port 500

243
IKE Mode

244
Internet Key Exchanger (IKE)
Phase I
• Establish a secure channel (ISAKMP SA)
• Using either main mode or aggressive mode
• Authenticate computer identity using certificates or pre-shared secret

Phase II
• Establishes a secure channel between computers intended for the
transmission of data (IPsec SA)
• Using quick mode

245
Internet Key Exchanger (IKE)

246
IKE Phase 1 (Main Mode)

• Main mode negotiates an ISAKMP SA which will be used to create

IPsec SAs.
• Three steps
• SA negotiation (encryption algorithm, hash algorithm, authentication
method, which DF group to use)
• Do a Diffie-Hellman exchange
• Provide authentication information
• Authenticate the peer

247
IKE Phase 1 (Main Mode)

248
IKE Phase 1 (Aggressive Mode)

• Uses 3 (vs 6) messages to establish IKE SA

• No denial of service protection
• Does not have identity protection
• Optional exchange and not widely implemented

249
IKE Phase 2 (Quick Mode)

• All traffic is encrypted using the ISAKMP Security

Association
• Creates/refreshes keys
• Each quick mode negotiation results in two IPsec Security
Associations (one inbound, one outbound)

250
IKE Phase 2 (Quick Mode)

251
IKEv2
• Internet Key Exchange Version 2 (IKEv2) is the second-generation
standard for a secure key exchange between connected devices.
• IKEv2 works by using an IPsec-based tunnelling protocol to
establish a secure connection.
• One of the single most important benefits of IKEv2 is its ability to
reconnect very quickly in the event that your VPN connection gets
disrupted.
• Quick reconnections and strong encryption IKEv2 makes an
excellent candidate to use

252
Lab Setup

R1 R2
– Public Address : [Link]/24 – Public Address : [Link]/24
– Local Address : [Link]/24 – Local Address : [Link]/24

253
Lab Setup

INTERNET

R1 R2
IPsec

254
Setup IPsec R1

/ip address
add address=[Link]/24 interface=ether1-to-internet network=[Link]
add address=[Link]/24 interface=ether2-to-local network=[Link]

255
Setup IPsec R1

/ip route add distance=1 gateway=[Link]

256
Setup IPsec R1

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-to-internet

257
Setup IPsec R1

/ip ipsec peer add address=[Link]/32 nat-traversal=no secret=ipsec-lab

258
Setup IPsec R1-NEW

/ip ipsec peer add address=[Link]/32 local-address=[Link] name=peer-R2

258.1
Setup IPsec R1-NEW

/ip ipsec identity add peer=peer-R2 secret=myIPSecLABsecret

258.2
Setup IPsec R1

/ip ipsec policy

add dst-address=[Link]/24 tunnel=yes sa-dst-address=[Link] \
sa-src-address=[Link] src-address=[Link]/24

259
Setup IPsec R1

/ip firewall nat add chain=srcnat dst-address=[Link]/24 src-address=[Link]/24 place-before=0

260
Setup IPsec R2

/ip address
add address=[Link]/24 interface=ether1-to-internet network=[Link]
add address=[Link]/24 interface=ether2-to-local network=[Link]

261
Setup IPsec R2

/ip route add distance=1 gateway=[Link]

262
Setup IPsec R2

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-to-internet

263
Setup IPsec R2-OLD

/ip ipsec peer add address=[Link]/32 nat-traversal=no secret=ipsec-lab

264
Setup IPsec R2-NEW

/ip ipsec peer add address=[Link]/32 local-address=[Link] name=peer-R1

264.1
Setup IPsec R2-NEW

/ip ipsec identity add peer=peer-R1 secret=myIPSecLABsecret

264.2
Lab Setup

/ip ipsec policy

add dst-address=[Link]/24 tunnel=yes sa-dst-address=[Link] \
sa-src-address=[Link] src-address=[Link]/24

265
Lab Setup

/ip firewall nat add chain=srcnat dst-address=[Link]/24 src-address=[Link]/24 place-before=0

266
Lab Setup

267
Lab Setup

268
 MTCSE
SUMMARY

269
Certification Test

• If needed reset router configuration and restore from a backup

• Make sure that you have an access to the [Link]
training portal
• Login with your account
• Choose my training sessions
• Good luck!

270
Thank You!

Thank you
José Manuel Román Fernández Checa
and
Fajar Nugroho
for creating and sharing the initial version of
the MTCSE course materials.

271