Protegiendo Nuestro Mikrotik/Router de los ataques

Freddy — Thu, 21 Jan 2010 16:32:05 +0000

Una de las recomendaciones que siempre se hacen en redes, es en lo posible dejar una máquina destinada sólo a firewall, lo que se cumple utilizando Mikrotik, pues requiere de exclusividad de un PC. Pero la protección no pasa solo por eso, además debemos proteger nuestro Mikrotik de los ataques tanto de diccionarios como de los distintos escaneos de puertos y demases.

A continuación les muestro un firewall bastante intuitivo, el cual consiste en dejar abiertos los puertos que ocupa Mikrotik, es decir, 80 para mostrar el WebBox, 21 para el ftp, 22 para SSH, 23 para telnet y 8291 para Winbox.

Además como en mi caso no se utilizan mucho los servicios anterior mente mencionados desde las afueras de la red interna, se crearán reglas que creen listas de las IP que intentan y/o acceden al router por todos los puertos, identificando mediante tipos de listas los servicios que se describieron.

Es así en donde nos encontramos con listas de ip para Winbox, ssh, weebbox, telnet, ftp, y para el resto de los intentos en los otros puertos. Además, bloquearemos las conexiones inválidas, que son aquellas que llegan desde supuestas redes internas 10.x.x.x, 172.x.x.x, 192.x.x.x etc.. Regularemos que nuestro router sea cerrado y admita solo la red interna (en mi caso 10.8.1.0/24) y además una lista de las ip externas conocidas y que considero fiables.

Para quienes no quieren entender mucho de las reglas, hagan un copy-paste de lo siguiente, en la ventana de Terminal, dentro de ip firewall filter. Es decir les aparecerá esto:

Luego copien estos códigos:

add chain=input connection-state=established action=accept comment=”Aceptar \
conexiones establecidas” disabled=no
add chain=input connection-state=related action=accept comment=”Aceptar \
related conexiones” disabled=no
add chain=input connection-state=invalid action=drop comment=”Rechazar \
conexiones inválidas” disabled=no
add chain=input src-address=!10.8.1.0/24 src-address-list=”Intentos SSH” \
action=drop comment=”Bloquear Lista SSH” disabled=no
add chain=input src-address=!10.8.1.0/24 src-address-list=”Lista Telnet” \
action=drop comment=”Bloquea Lista Telnet” disabled=no
add chain=input src-address=!10.8.1.0/24 src-address-list=”Bloqueo de \
Invalidos router” action=drop comment=”Bloqueo Lista de Invalidos” \
disabled=no
add chain=input src-address=!10.8.1.0/24 src-address-list=”Entradas por FTP” \
action=drop comment=”Bloquear Lista FTP” disabled=no
add chain=input protocol=tcp dst-port=21 action=add-src-to-address-list \
address-list=”Entradas por FTP” address-list-timeout=0s comment=”Crea \
Lista de IPs que entran al FTP” disabled=no
add chain=input protocol=tcp dst-port=21 action=accept comment=”Aceptar \
Conexiones FTP” disabled=no
add chain=input protocol=tcp dst-port=80 action=add-src-to-address-list \
address-list=”Accesos Via Web” address-list-timeout=0s comment=”Crea Lista \
de IPs que ven WebBox” disabled=no
add chain=input protocol=tcp dst-port=80 action=accept comment=”Acepta WebBox” \
disabled=no
add chain=input protocol=udp action=accept comment=”UDP” disabled=no
add chain=input protocol=icmp limit=50/5s,2 action=accept comment=”Aceptar \
pings limitados” disabled=no
add chain=input protocol=icmp action=drop comment=”Rechazar pings execibos” \
disabled=no
add chain=input protocol=tcp dst-port=23 action=add-src-to-address-list \
address-list=”Lista Telnet” address-list-timeout=0s comment=”Lista Telnet” \
disabled=no
add chain=input protocol=tcp dst-port=23 action=accept comment=”Acepta Telnet” \
disabled=no
add chain=input protocol=tcp dst-port=22 action=add-src-to-address-list \
address-list=”Intentos SSH” address-list-timeout=0s comment=”Crea Lista de \
Entradas SSH” disabled=no
add chain=input protocol=tcp dst-port=22 action=accept comment=”SSH” \
disabled=no
add chain=input src-address=10.8.1.0/24 action=accept comment=”Conexiones \
desde la red Local” disabled=no
add chain=input protocol=tcp dst-port=8291 action=add-src-to-address-list \
address-list=Winbox address-list-timeout=0s comment=”Agrega IPs Que entran \
por Winbox” disabled=no
add chain=input protocol=tcp dst-port=8291 action=log log-prefix=”Entrada por \
Winbox” comment=”Log entradas por Winbox” disabled=no
add chain=input protocol=tcp dst-port=8291 action=accept comment=”Winbox” \
disabled=no
add chain=input protocol=tcp dst-port=23 action=accept comment=”Aceptar \
Conexiones Telnet” disabled=no
add chain=input action=add-src-to-address-list address-list=”Bloqueo de \
Invalidos router” address-list-timeout=0s comment=”Lista de IP por \
acciones fuera de reglas” disabled=no
add chain=input action=drop comment=”Rechazar todo lo demás” disabled=no

Como nota tiene que fijarse que las reglas admiten la red interna 10.8.1.0/24, por lo que cambien su segmento de red correspondiente a través del mismo Winbox, o bien antes de pegar estas reglas.

Ahora si van gráficamente IP Firewall y a Adress List, podrán seleccionar las listas y ver las IP que se han conectado por los servicios, y las inválidas.

Para hacer menos restrictivo el firewall, pueden deshabilitar alguno de los bloqueos por lista, esto se hace presionando la X de Winbox, o por comandos editan la regla y el Disable=no lo cambian a Disable=yes.

Una fotito de como se ve el firewall y las listas de direcciones:

Espero que les guste el firewall, basado en elwiki de Mikrotik, editado y con las listas de las IP. Cualquier sugerencia, reclamo o algo por el estilo, posteen en este mismo informativo.

Configurando Mikrotik Routeros con Winbox Internet Inalambrico wifi

Freddy — Wed, 20 Jan 2010 22:40:45 +0000

En este documento se trata de explicar de una forma sencilla como configurar mikrotik, también contiene imágenes para hacer esto más entendible.

Primer Paso “Entrando a Mikro”

Se supone que después de tener instalado mikrotik en una CF o disco duro, se debe conectar a mikrotik por medio de un cable cruzado o usando un swtich, no es necesario definir una ip.

Para esto se necesitara lo siguiente:
1 Cable cruzado
El pc con mikro y otro pc
Poseer winbox, programa cliente, con el cual entraremos a configurar mikrotik..

Se ejecuta Winbox y se selecciona el botón “…” ahí debe aparecer la MAC de la tarjeta a la cual estamos conectados.
Login: admin. Password: “vacio, sin nada”

Teniendo todo esto, le damos Connect.

Segundo Paso “Definición de nombre para Interfaces”

Una vez que estamos dentro. hay que nombres que podamos entender a las Iterfaces. Para hacer eso, nos dirigimos a “Interfaces”

Tercer Paso “Definición de IP’s para Interfaces”

Como hacemos esto?? Hay que ir a la opción IP – Addresses, luego agregar las interfaces, para eso hacemos “+” y aparecerá una ventana, en la cual hay q definir el Hades, network, y todo eso, además la interfaz a la cual se esta asignando los IP

Cuarto Paso “Crear Conexión PPPoE”

Este paso, es solo para quienes tienen por conexión pppoe, para eso vamos a la opción PPP, en la cual elegimos la opción PPPoE Client. En General, le damos el nombre a nuestro gusto, en Dial Out se introduce el nombre de usuario y la contraseña, y solo se deja desmarcado la opción “Dial on Demmand,” y en le profile se deja “Default”

Quinto Paso “Definir UPnP para las interfaces”

Bueno aca solo se define que tipo es la tarjeta, si es interna o externa, y hay que dejar el Seetings de la siguiente forma.

Sexto Paso “Primeros Pasos para Configurar DHCP Server”

Primero hay que definir el POOL, el cual contiene los numero IP correlativos de la red, la cuales pueden ser 10.10.0.2-10.10.0-254

Ahora se debe crear el DHCP Server, para eso nos dirigimos a IP – DHCP Server, luego de damos agregar “+” y ahí.. le damos el nombre que nosotros queramos… y la interface seria LAN (nombre de la interface que le puse asi), luego asiganamos el POOL que antes habiamos creado, y en Autoritative le ponemos “no”

Después de crear el DHCP Server, hay que crear la Network, para eso obviamente vamos a la pestaña Network. En la ventana que aparece, le ponemos todos nuestros IP.

Septimo Paso “Definir DNS para Mikrotik”

En esta paso, solo introducimos los IP de nuestro DNS, para eso vamos al siempre y bien ponderado IP – DNS y en la pestaña Static le damos a la opción Settings y ahí van los DNS.

Octavo Paso “Creando Masquerade”

Nos dirigimos a IP-Firewall-NAT y agregamos chain=srnat —-> Action=Masquerade

Eso es todo, cualquier cosa consultar a www.mikrotik.org.

Cusco Wi-Fi Internet Inalambrico » Winbox

Protegiendo Nuestro Mikrotik/Router de los ataques

Configurando Mikrotik Routeros con Winbox Internet Inalambrico wifi