Configurar corretamente o firewall em um roteador MikroTik é essencial para proteger sua rede contra acessos não autorizados e outros tipos de ameaças à segurança. Embora regras específicas possam variar dependendo das necessidades e da configuração de cada rede, existem certas regras e princípios gerais que são recomendados para a maioria dos ambientes.

Abaixo estão algumas das regras e práticas recomendadas para o filtro de firewall, NAT e outras seções de configuração relevantes no MikroTik RouterOS.

FirewallFiltro

O objetivo do filtro de firewall é controlar o tráfego que passa pelo roteador, permitindo bloquear ou permitir o tráfego com base em determinados critérios.

1. Bloqueie o acesso não autorizado ao roteador:

Certifique-se de restringir o acesso ao roteador de fora da sua rede local. Isso normalmente é feito bloqueando portas de gerenciamento, como 22 (SSH), 23 (Telnet), 80 (HTTP), 443 (HTTPS) e 8291 (Winbox).

/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"

2. Proteja-se contra ataques comuns:

Implemente regras para proteger sua rede contra ataques comuns, como inundação SYN, inundação ICMP e varredura de portas.

Ataque de Inundação SYN

/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"

Ataque de inundação ICMP

/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"

3. Permitir o tráfego necessário:

Configure regras para permitir o tráfego legítimo necessário para sua rede. Isso inclui tráfego interno e tráfego de e para a Internet com base em suas necessidades específicas.

Supondo que você queira permitir acesso SSH apenas da sua rede local:

/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"

4. Abandone todo o resto:

Como prática de segurança, qualquer tráfego que não tenha sido explicitamente permitido anteriormente deverá ser bloqueado. Isso normalmente é feito no final das regras de filtro do firewall com uma regra que rejeita ou descarta todos os outros tráfegos.

Esta regra deve ser colocada no final das regras de filtro para funcionar como uma política de negação padrão.

/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"

NAT (tradução de endereço de rede)

O NAT é comumente usado para converter endereços IP privados em sua rede local em um endereço IP público para acesso à Internet.

1. Baile de máscaras:
   • Use a ação masquerade na cadeia srcnat para permitir que vários dispositivos em sua rede local compartilhem um endereço IP público para acesso à Internet. Isto é essencial para redes que acessam a Internet através de uma conexão de banda larga com um único IP público.
2. DNAT para serviços internos:
   • Se precisar acessar serviços internos de fora da sua rede, você pode usar o Destination NAT (DNAT) para redirecionar o tráfego de entrada para os IPs privados correspondentes. Certifique-se de fazer isso apenas para os serviços necessários e considere as implicações de segurança.

Outras considerações de segurança

1. Atualizações de software:
   • Mantenha seu roteador MikroTik atualizado com a versão mais recente do RouterOS e firmware para proteção contra vulnerabilidades conhecidas.
2. Segurança da Camada 7:
   • Para tráfego específico de aplicativos, você pode configurar regras da Camada 7 para bloquear ou permitir tráfego com base em padrões em pacotes de dados.
3. Limitação de intervalo de endereços IP:
   • Restringe o acesso a determinados serviços de roteador apenas a intervalos de endereços IP específicos, reduzindo assim o risco de acesso não autorizado.

Lembre-se de que estas são apenas diretrizes gerais. Sua configuração específica de firewall deve ser baseada em uma avaliação detalhada de suas necessidades de segurança, políticas de rede e considerações de desempenho. Além disso, é aconselhável realizar testes de segurança de rede regularmente para identificar e mitigar possíveis vulnerabilidades.