¿Cuáles son las reglas que todo router MikroTik debería tener, en firewall filter, nat, etc?
Configurar correctamente el firewall en un router MikroTik es esencial para proteger tu red de accesos no autorizados y otros tipos de amenazas de seguridad. Aunque las reglas específicas pueden variar dependiendo de las necesidades y configuración de cada red, existen ciertas reglas y principios generales que son recomendados para la mayoría de los entornos.
A continuación, se detallan algunas de las reglas y prácticas recomendadas para las secciones de firewall filter, NAT, y otras configuraciones relevantes en RouterOS de MikroTik.
Firewall Filter
El propósito del firewall filter es controlar el tráfico que pasa a través del router, permitiéndote bloquear o permitir tráfico basado en ciertos criterios.
- Bloquear el acceso no autorizado al router:
Asegúrate de restringir el acceso al router desde fuera de tu red local. Esto se hace típicamente bloqueando los puertos de gestión, como el 22 (SSH), 23 (Telnet), 80 (HTTP), 443 (HTTPS), y 8291 (Winbox).
/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"2. Proteger contra ataques comunes:
Implementa reglas para proteger tu red de ataques comunes, como SYN flood, ICMP flood, y port scanning.
SYN Flood Attack
/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"ICMP Flood Attack
/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"3. Permitir tráfico necesario:
Configura reglas para permitir el tráfico legítimo necesario para tu red. Esto incluye el tráfico interno y el tráfico de y hacia Internet basado en tus necesidades específicas.
Suponiendo que deseas permitir el acceso SSH solo desde tu red local:
/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"4. Drop todo lo demás:
Como práctica de seguridad, cualquier tráfico que no haya sido explícitamente permitido anteriormente debería ser bloqueado. Esto se hace típicamente al final de tus reglas de firewall filter con una regla que rechaza o descarta todo otro tráfico.
Esta regla se debe colocar al final de tus reglas de filtro para actuar como una política de denegación por defecto.
/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"NAT (Network Address Translation)
NAT se utiliza comúnmente para traducir las direcciones IP privadas de tu red local a una dirección IP pública para el acceso a Internet.
- Masquerade:
- Utiliza la acción
masqueradeen el chainsrcnatpara permitir que múltiples dispositivos en tu red local compartan una dirección IP pública para el acceso a Internet. Esto es esencial para redes que acceden a Internet a través de una conexión de banda ancha con una sola IP pública.
- Utiliza la acción
- DNAT para servicios internos:
- Si necesitas acceder a servicios internos desde fuera de tu red, puedes utilizar Destination NAT (DNAT) para redirigir el tráfico entrante a las IP privadas correspondientes. Asegúrate de hacer esto solo para los servicios necesarios y considera las implicaciones de seguridad.
Otras Consideraciones de Seguridad
- Actualizaciones de Software:
- Mantén tu router MikroTik actualizado con la última versión de RouterOS y el firmware para proteger contra vulnerabilidades conocidas.
- Seguridad de Layer 7:
- Para tráfico específico de aplicaciones, puedes configurar reglas de Layer 7 para bloquear o permitir tráfico basado en patrones en los paquetes de datos.
- Limitación de Rango de Direcciones IP:
- Restringe el acceso a ciertos servicios del router solo a rangos de direcciones IP específicos, reduciendo así el riesgo de accesos no autorizados.
Recuerda que estas son solo directrices generales. La configuración específica de tu firewall debería basarse en una evaluación detallada de tus necesidades de seguridad, políticas de red, y consideraciones de rendimiento. Además, es recomendable realizar pruebas de seguridad de red regularmente para identificar y mitigar posibles vulnerabilidades.
No hay etiquetas para esta publicación.- Comparte este Artículo
2 comentarios en “¿Cuáles son las reglas que todo router MikroTik debería tener, en firewall filter, nat, etc?”
muy pobre la información de esta apartado pensé que conseguiría una muy detallada información pero bueno no hay prácticamente nada a seguir buscando por internet
José, tu comentario es muy acertado por lo que he procedido a ampliar y actualizar la documentación.
Agradezco mucho tu feedback y espero que ahora despeje tus dudas.