La opción de firewall “raw” en MikroTik RouterOS es una herramienta poderosa para mitigar ataques, incluidos los basados en ICMP (Internet Control Message Protocol).

El firewall “raw” trabaja en una etapa muy temprana del procesamiento de paquetes, lo que le permite lidiar eficazmente con paquetes no deseados antes de que consuman recursos del sistema más allá del procesamiento básico.

Para mitigar ataques ICMP, como el ping flood (un tipo de ataque DDoS donde el atacante satura la víctima con paquetes ICMP para agotar sus recursos), puedes usar reglas en la tabla “raw” para descartar o limitar este tráfico.

Esto se debe a que las reglas en esta tabla se procesan antes que las de las tablas “filter” y “nat”, permitiendo una intervención temprana y minimizando el impacto en el rendimiento del router.

Configurando Reglas en el Firewall Raw para Mitigar Ataques ICMP

Aquí tienes un ejemplo de cómo configurar una regla en el firewall “raw” para limitar los paquetes ICMP:

1. Accede a tu router MikroTik a través de Winbox, WebFig, o SSH.
2. Ve a la sección de Firewall “raw”:
   • En Winbox o WebFig: Ve a IP > Firewall y luego a la pestaña Raw.
   • En la línea de comandos: Utiliza el comando /ip firewall raw.
3. Agrega una regla para limitar el tráfico ICMP:
   • Para Winbox o WebFig: Haz clic en + para agregar una nueva regla. En la pestaña General, selecciona icmp en el campo Protocol. En la pestaña Action, elige drop o limit como acción y configura los parámetros según tus necesidades.
   • En la línea de comandos: Utiliza un comando similar a /ip firewall raw add action=drop chain=prerouting protocol=icmp icmp-options=8:0 limit=10,20:packet.

Este ejemplo básicamente dice: “Descarta los paquetes ICMP tipo 8 (echo request) que excedan un límite de 10 paquetes por segundo con un burst de 20 paquetes”. Ajusta el límite y el burst según el tráfico normal esperado y la capacidad de tu red.

Consideraciones

• Precisión: Asegúrate de configurar las reglas de manera precisa para evitar bloquear el tráfico ICMP legítimo, que es útil para diagnósticos de red y control de flujo.
• Monitorización: Es recomendable monitorear el tráfico ICMP regularmente para ajustar las reglas basadas en el comportamiento observado y evitar falsos positivos.
• Complementariedad: Aunque el firewall “raw” es efectivo para mitigar ataques, considera usarlo en conjunto con otras medidas de seguridad, como reglas de firewall en la tabla “filter”, para una protección completa.

El uso del firewall “raw” puede ser una medida eficaz para mitigar ataques ICMP, pero debe ser parte de un enfoque más amplio y estratégico de la seguridad de la red.