L'opció de tallafocs “raw” a MikroTik RouterOS és una eina poderosa per mitigar atacs, inclosos els basats en ICMP (Internet Control Message Protocol).

El tallafoc “raw” treballa en una etapa molt primerenca del processament de paquets, cosa que li permet bregar eficaçment amb paquets no desitjats abans que consumeixin recursos del sistema més enllà del processament bàsic.

Per mitigar atacs ICMP, com el ping flood (un tipus d'atac DDoS on l'atacant satura la víctima amb paquets ICMP per esgotar els seus recursos), pots fer servir regles a la taula “raw” per descartar o limitar aquest trànsit.

Això és perquè les regles en aquesta taula es processen abans que les de les taules “filter” i “nat”, permetent una intervenció primerenca i minimitzant l'impacte en el rendiment del router.

Configurant Regles al Firewall Raw per Mitigar Atacs ICMP

Aquí tens un exemple de com configurar una regla al tallafoc “raw” per limitar els paquets ICMP:

1. Accedeix al teu router MikroTik mitjançant Winbox, WebFig, o SSH.
2. Aneu a la secció de Firewall “raw”:
   • A Winbox o WebFig: Ves a IP > Firewall i després a la pestanya Raw.
   • A la línia d'ordres: Utilitza l'ordre /ip firewall raw.
3. Afegeix una regla per limitar el trànsit ICMP:
   • Per Winbox o WebFig: Fes clic a + per afegir una nova regla. A la pestanya General, selecciona icmp en el camp Protocol. A la pestanya Action, tria drop o limit com a acció i configura els paràmetres segons les teves necessitats.
   • A la línia d'ordres: Utilitza una ordre similar a /ip firewall raw add action=drop chain=prerouting protocol=icmp icmp-options=8:0 limit=10,20:packet.

Aquest exemple bàsicament diu: “Descarta els paquets ICMP tipus 8 (echo request) que excedeixin un límit de 10 paquets per segon amb un burst de 20 paquets”. Ajusta el límit i el burst segons el trànsit normal esperat i la capacitat de la teva xarxa.

Consideracions

• Precisió: Assegureu-vos de configurar les regles de manera precisa per evitar bloquejar el trànsit ICMP legítim, que és útil per a diagnòstics de xarxa i control de flux.
• Monitorització: És recomanable monitoritzar el trànsit ICMP regularment per ajustar les regles basades en el comportament observat i evitar falsos positius.
• Complementarietat: Encara que el tallafoc “raw” és efectiu per mitigar atacs, considera usar-lo en conjunt amb altres mesures de seguretat, com a regles de tallafocs a la taula “filter”, per a una protecció completa.

L'ús del tallafocs “raw” pot ser una mesura eficaç per mitigar atacs ICMP, però ha de ser part d'un enfocament més ampli i estratègic de la seguretat de la xarxa.