Configurar correctament el tallafocs en un router MikroTik és essencial per protegir la teva xarxa d'accessos no autoritzats i altres tipus d'amenaces de seguretat. Encara que les regles específiques poden variar depenent de les necessitats i configuració de cada xarxa, hi ha certes regles i principis generals que són recomanats per a la majoria dels entorns.
A continuació, es detallen algunes de les regles i pràctiques recomanades per a les seccions de firewall filter, NAT, i altres configuracions rellevants a RouterOS de MikroTik.
Firewall Filter
El propòsit del firewall filter és controlar el trànsit que passa a través del router, permetent bloquejar o permetre trànsit basat en certs criteris.
- Bloquejar l'accés no autoritzat al router:
Assegureu-vos de restringir l'accés al router des de fora de la vostra xarxa local. Això es fa típicament bloquejant els ports de gestió, com el 22 (SSH), 23 (Telnet), 80 (HTTP), 443 (HTTPS), i 8291 (Winbox).
/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"
2. Protegir contra atacs comuns:
Implementa regles per protegir la teva xarxa d'atacs comuns, com SYN flood, ICMP flood i port scanning.
Atac d'inundació SYN
/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"
ICMP Flood Attack
/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"
3. Permetre trànsit necessari:
Configura regles per permetre el trànsit legítim necessari per a la teva xarxa. Això inclou el trànsit intern i el trànsit de i cap a Internet basat en les teves necessitats específiques.
Suposant que vols permetre l'accés SSH només des de la teva xarxa local:
/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"
4. Drop tota la resta:
Com a pràctica de seguretat, qualsevol trànsit que no hagi estat explícitament permès anteriorment hauria de ser bloquejat. Això es fa típicament al final de les teves regles de firewall filter amb una regla que rebutja o descarta qualsevol altre trànsit.
Aquesta regla s'ha de col·locar al final de les regles de filtre per actuar com una política de denegació per defecte.
/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"
NAT (traducció d'adreces de xarxa)
NAT s'utilitza normalment per traduir les adreces IP privades de la vostra xarxa local a una adreça IP pública per accedir a Internet.
- mascarada:
- Fes servir l'acció
masquerade
al chainsrcnat
per permetre que múltiples dispositius a la vostra xarxa local comparteixin una adreça IP pública per a l'accés a Internet. Això és essencial per a xarxes que accedeixen a Internet mitjançant una connexió de banda ampla amb una sola IP pública.
- Fes servir l'acció
- DNAT per a serveis interns:
- Si necessiteu accedir a serveis interns des de fora de la vostra xarxa, podeu utilitzar Destination NAT (DNAT) per redirigir el trànsit entrant a les IP privades corresponents. Assegureu-vos de fer això només per als serveis necessaris i considera les implicacions de seguretat.
Altres Consideracions de Seguretat
- Actualitzacions de Software:
- Mantingues el teu router MikroTik actualitzat amb l'última versió de RouterOS i el microprogramari per protegir contra vulnerabilitats conegudes.
- Seguretat de Layer 7:
- Per a trànsit específic d'aplicacions, podeu configurar regles de Layer 7 per bloquejar o permetre trànsit basat en patrons als paquets de dades.
- Limitació de Rang de Adreces IP:
- Restringeix l'accés a certs serveis de l'encaminador només a rangs d'adreces IP específics, reduint així el risc d'accessos no autoritzats.
Recorda que aquestes són només directrius generals. La configuració específica del vostre firewall hauria de basar-se en una avaluació detallada de les teves necessitats de seguretat, polítiques de xarxa, i consideracions de rendiment. A més, és recomanable fer proves de seguretat de xarxa regularment per identificar i mitigar possibles vulnerabilitats.
No hi ha etiquetes per a aquesta publicació.
2 comentaris a “Quines són les regles que tot router MikroTik hauria de tenir, a firewall filter, nat, etc?”
molt pobre la informació d'aquest apartat vaig pensar que aconseguiria una informació molt detallada però bé no hi ha pràcticament res a seguir buscant per internet
José, el teu comentari és molt encertat pel que he procedit a ampliar i actualitzar la documentació.
Agraeixo molt el teu feedback i espero que ara aclareixi els teus dubtes.