A opção de firewall “bruto” no MikroTik RouterOS é uma ferramenta poderosa para mitigar ataques, incluindo aqueles baseados em ICMP (Internet Control Message Protocol).

O firewall bruto funciona em um estágio muito inicial do processamento de pacotes, permitindo lidar efetivamente com pacotes indesejados antes que eles consumam recursos do sistema além do processamento básico.

Para mitigar ataques ICMP, como o ping Flood (um tipo de ataque DDoS em que o invasor inunda a vítima com pacotes ICMP para esgotar seus recursos), você pode usar regras na tabela bruta para descartar ou limitar esse tráfego.

Isso ocorre porque as regras nesta tabela são processadas antes daquelas nas tabelas filter e nat, permitindo intervenção antecipada e minimizando o impacto no desempenho do roteador.

Configurando regras no firewall bruto para mitigar ataques ICMP

Aqui está um exemplo de como configurar uma regra no firewall bruto para limitar pacotes ICMP:

1. Acesse seu roteador MikroTik via Winbox, WebFig ou SSH.
2. Vá para a seção Firewall “bruto”:
   • No Winbox ou WebFig: Vá para IP > Firewall e então para a guia Raw.
   • Na linha de comando: use o comando /ip firewall raw.
3. Adicione uma regra para limitar o tráfego ICMP:
   • Para Winbox ou WebFig: Clique + para adicionar uma nova regra. Na aba General, Escolha icmp no campo Protocol. Na aba Action, escolha drop o limit como uma ação e configure os parâmetros de acordo com suas necessidades.
   • Na linha de comando: Use um comando semelhante a /ip firewall raw add action=drop chain=prerouting protocol=icmp icmp-options=8:0 limit=10,20:packet.

Este exemplo basicamente diz: “Descarte pacotes ICMP tipo 8 (solicitação de eco) que excedam o limite de 10 pacotes por segundo com uma explosão de 20 pacotes”. Ajuste o limite e a intermitência com base no tráfego normal esperado e na capacidade da sua rede.

Considerações

• Precisão: certifique-se de configurar as regras com precisão para evitar o bloqueio do tráfego ICMP legítimo, o que é útil para diagnósticos de rede e controle de fluxo.
• Monitoramento: É aconselhável monitorar regularmente o tráfego ICMP para ajustar as regras com base no comportamento observado e evitar falsos positivos.
• complementaridade: embora o firewall bruto seja eficaz na mitigação de ataques, considere usá-lo em conjunto com outras medidas de segurança, como regras de firewall na tabela de filtros, para proteção completa.

O uso de firewall bruto pode ser uma medida eficaz para mitigar ataques ICMP, mas deve fazer parte de uma abordagem estratégica mais ampla à segurança de rede.