Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 89 vistas

    Protegiendo Nuestro Mikrotik

    Cargado por

    Gregorio Lazarde
    Este documento proporciona instrucciones para configurar un firewall en un router Mikrotik para protegerlo de ataques. Explica cómo configurar reglas para permitir solo el tráfico de la red interna, bloquear conexiones inválidas de otras redes, y agregar direcciones IP a listas negras cuando intentan acceder a puertos específicos como SSH, FTP y Winbox para identificar posibles ataques. También incluye código de configuración de firewall que los lectores pueden copiar directamente en su router Mikrotik.

    Copyright:

    © All Rights Reserved
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd

    Protegiendo Nuestro Mikrotik

    Cargado por

    Gregorio Lazarde
    89 vistas6 páginas
    Este documento proporciona instrucciones para configurar un firewall en un router Mikrotik para protegerlo de ataques. Explica cómo configurar reglas para permitir solo el tráfico de la red interna, bloquear conexiones inválidas de otras redes, y agregar direcciones IP a listas negras cuando intentan acceder a puertos específicos como SSH, FTP y Winbox para identificar posibles ataques. También incluye código de configuración de firewall que los lectores pueden copiar directamente en su router Mikrotik.

    Título original

    Protegiendo Nuestro Mikrotik.doc

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOC, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento proporciona instrucciones para configurar un firewall en un router Mikrotik para protegerlo de ataques. Explica cómo configurar reglas para permitir solo el tráfico de la red interna, bloquear conexiones inválidas de otras redes, y agregar direcciones IP a listas negras cuando intentan acceder a puertos específicos como SSH, FTP y Winbox para identificar posibles ataques. También incluye código de configuración de firewall que los lectores pueden copiar directamente en su router Mikrotik.

    Copyright:

    © All Rights Reserved
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd
    Descargar como doc, pdf o txt
    89 vistas6 páginas

    Protegiendo Nuestro Mikrotik

    Cargado por

    Gregorio Lazarde
    Este documento proporciona instrucciones para configurar un firewall en un router Mikrotik para protegerlo de ataques. Explica cómo configurar reglas para permitir solo el tráfico de la red interna, bloquear conexiones inválidas de otras redes, y agregar direcciones IP a listas negras cuando intentan acceder a puertos específicos como SSH, FTP y Winbox para identificar posibles ataques. También incluye código de configuración de firewall que los lectores pueden copiar directamente en su router Mikrotik.

    Copyright:

    © All Rights Reserved
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd
    Descargar como doc, pdf o txt
    Está en la página 1de 6

    Protegiendo Nuestro Mikrotik/Router de los ataques.

    Una de las recomendaciones que siempre se hacen en redes, es en lo posible

    mquina destinada slo a firewall, lo que se cumple utilizando mikrotik, pues requier

    exclusividad de un PC. Pero la proteccin no pasa solo por eso, adems debemos pro
    nuestro mikrotik de los ataques tanto de diccionarios como de los distintos escaneos
    y demases.

    A continuacin les muestro un firewall bastante intuitivo, el cual consiste en

    abiertos los puertos que ocupa mikrotik, es decir, 80 para mostrar el WebBox, 21 par
    para SSH, 23 para telnet y 8291 para Winbox.

    Adems como en mi caso no se utilizan mucho los servicios anterior mente menciona

    las afueras de la red interna, se crearn reglas que creen listas de las IP que intentan

    acceden al router por todos los puertos, identificando mediante tipos de listas los ser
    se describieron.

    Es as en donde nos encontramos con listas de ip para winbox, ssh, weebbox, t

    para el resto de los intentos en los otros puertos. Adems, bloquearemos las conexio

    invlidas, que son aquellas que llegan desde supuestas redes internas 10.x.x.x, 172.

    192.x.x.x etc.. Regularemos que nuestro router sea cerrado y admita solo la red inte

    caso 10.8.1.0/24) y adems una lista de las ip externas conocidas y que considero fia

    Para quienes no quieren entender mucho de las reglas, hagan un copy-paste de

    siguiente, en la ventana de Terminal, dentro de ip firewall filter. Es decir les aparecer

    Luego copien estos cdigos:

    add chain=input connection-state=established action=accept comment="Aceptar \


    conexiones establecidas" disabled=no
    add chain=input connection-state=related action=accept comment="Aceptar \
    related conexiones" disabled=no
    add chain=input connection-state=invalid action=drop comment="Rechazar \
    conexiones invlidas" disabled=no
    add chain=input src-address=!10.8.1.0/24 src-address-list="Intentos SSH" \
    action=drop comment="Bloquear Lista SSH" disabled=no
    add chain=input src-address=!10.8.1.0/24 src-address-list="Lista Telnet" \
    action=drop comment="Bloquea Lista Telnet" disabled=no
    add chain=input src-address=!10.8.1.0/24 src-address-list="Bloqueo de \
    Invalidos Router" action=drop comment="Bloqueo Lista de Invalidos" \
    disabled=no

    add chain=input src-address=!10.8.1.0/24 src-address-list="Entradas por FTP" \


    action=drop comment="Bloquear Lista FTP" disabled=no
    add chain=input protocol=tcp dst-port=21 action=add-src-to-address-list \
    address-list="Entradas por FTP" address-list-timeout=0s comment="Crea \
    Lista de IPs que entran al FTP" disabled=no
    add chain=input protocol=tcp dst-port=21 action=accept comment="Aceptar \
    Conexiones FTP" disabled=no
    add chain=input protocol=tcp dst-port=80 action=add-src-to-address-list \
    address-list="Accesos Via Web" address-list-timeout=0s comment="Crea Lista \
    de IPs que ven WebBox" disabled=no
    add chain=input protocol=tcp dst-port=80 action=accept comment="Acepta WebBox" \
    disabled=no
    add chain=input protocol=udp action=accept comment="UDP" disabled=no
    add chain=input protocol=icmp limit=50/5s,2 action=accept comment="Aceptar \
    pings limitados" disabled=no
    add chain=input protocol=icmp action=drop comment="Rechazar pings execibos" \
    disabled=no
    add chain=input protocol=tcp dst-port=23 action=add-src-to-address-list \
    address-list="Lista Telnet" address-list-timeout=0s comment="Lista Telnet" \
    disabled=no
    add chain=input protocol=tcp dst-port=23 action=accept comment="Acepta Telnet" \
    disabled=no
    add chain=input protocol=tcp dst-port=22 action=add-src-to-address-list \
    address-list="Intentos SSH" address-list-timeout=0s comment="Crea Lista de \
    Entradas SSH" disabled=no
    add chain=input protocol=tcp dst-port=22 action=accept comment="SSH" \
    disabled=no
    add chain=input src-address=10.8.1.0/24 action=accept comment="Conexiones \
    desde la red Local" disabled=no
    add chain=input protocol=tcp dst-port=8291 action=add-src-to-address-list \
    address-list=Winbox address-list-timeout=0s comment="Agrega IPs Que entran \
    por Winbox" disabled=no
    add chain=input protocol=tcp dst-port=8291 action=log log-prefix="Entrada por \
    Winbox" comment="Log entradas por WinBox" disabled=no
    add chain=input protocol=tcp dst-port=8291 action=accept comment="winbox" \

    disabled=no
    add chain=input protocol=tcp dst-port=23 action=accept comment="Aceptar \
    Conexiones Telnet" disabled=no
    add chain=input action=add-src-to-address-list address-list="Bloqueo de \
    Invalidos Router" address-list-timeout=0s comment="Lista de IP por \
    acciones fuera de reglas" disabled=no
    add chain=input action=drop comment="Rechazar todo lo dems" disabled=no

    Como nota tiene que fijarse que las reglas admiten la red interna 10.8.1.0/2

    que cambien su segmento de red correspondiente a travs del mismo winbox, o bien
    pegar estas reglas.

    Ahora si van grficamente IP Firewall y a Adress List, podrn seleccionar las


    las IP que se han conectado por los servicios, y las invlidas.

    Para hacer menos restrictivo el firewall, pueden deshabilitar alguno de los blo

    lista, esto se hace presionando la X de winbox, o por comandos editan la regla y el D


    lo cambian a Disable=yes.

    Una fotito de como se ve el firewall y las listas de direcciones:

    Espero que les guste el firewall, basado en elwiki de mikrotik, editado y con

    las IP. Cualquier sugerencia, reclamo o algo por el estilo, posteen en este mismo info

    Saludos cordiales, Carlos Campano.

    Cerrar ventana

    También podría gustarte