Protege tu Mikrotik: Reglas de seguridad básicas para RouterOS
Si quiere evitar que tus sistemas de información, computadores, servidores, dispositivos móviles que están dentro de tu red LAN sean comprometidos por un atacante, lo primero que debes hacer bien es proteger tu router de borde evitando que un atacante puede acceder a él, si esto sucede entonces toda tu red estará comprometida haciendo que un atacante tenga alcance sobre cualquier dispositivo conectado a tu red LAN o incluso otros Router o equipos de Firewall conectados a través de la red WAN.
La seguridad de la red es una acción para prevenir el uso no autorizado de sus dispositivos de red. La seguridad de la red es una característica destacada que asegura responsabilidad, confidencialidad, integridad y sobre todo protección contra amenazas externas e internas como problemas basados en email, virus, spam, gusanos, troyanos entre otras.
A continuación, te proporciono un sencillo script que te permitirá tener una protección básica en tu dispositivo RouterOS. Recuerda que deber agregar la ruta IP/Firewall/Address Lists en la lista support debes agregar las IP desde las cuales se podrá acceder a tu equipo, también debes agregar o cambiar los puertos del script por los que utilices.
# RouterOS 6.48 | Jose Benitez | www.jbenitez.com
#
/ip firewall filter
add action=add-src-to-address-list address-list=Syn_Flooder \
address-list-timeout=30m chain=input comment=\
"Add Syn Flood IP to the list" connection-limit=30,32 protocol=tcp \
tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" \
src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner \
address-list-timeout=1w chain=input comment="Port Scanner Detect" \
protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" \
src-address-list=Port_Scanner
add action=drop chain=input comment="Bloquear el acceso a RouterOS | Antes de \
activar esta regla agregue su red WAN o LAN para permitirle el acceso en l\
a lista de direcciones support " disabled=yes dst-port=\
8728,8291,80 protocol=tcp src-address-list=!support
add action=jump chain=input comment="Jump for icmp input flow" jump-target=\
ICMP protocol=icmp
add action=jump chain=forward comment="Jump for icmp forward flow" \
jump-target=ICMP protocol=icmp
add action=drop chain=forward comment="Drop to bogon list" dst-address-list=\
bogons
add action=drop chain=forward comment="Avoid spammers action" dst-port=25,587 \
protocol=tcp src-address-list=spammers
add action=accept chain=input comment="Accept DNS - UDP" port=53 protocol=udp
add action=accept chain=input comment="Accept DNS - TCP" port=53 protocol=tcp
add action=accept chain=input comment="Accept to established connections" \
connection-state=established
add action=accept chain=input comment="Accept to related connections" \
connection-state=related
add action=accept chain=input comment="Full access to SUPPORT address list" \
src-address-list=support
add action=drop chain=input comment="Bloquear el acceso a todas la redes excep\
to las que se encuentren dentro de la lista de direcciones support " \
disabled=yes
add action=accept chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=\
icmp
add action=accept chain=ICMP comment="Time Exceeded" icmp-options=11:0 \
protocol=icmp
add action=accept chain=ICMP comment="Destination unreachable" icmp-options=\
3:0-1 protocol=icmp
add action=accept chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp
Comments
psd=21,3s,3,1 Hola porque se utiliza el valor de 21 y no menos o mas? Es un valor por defecto?
Hola Noel, el valor de psd de 21 es el que viene por defecto, tú puedes poner el que quieras de acuerdo a tus necesidades, lo importante es que hagas pruebas de ataques y lo ajustes a tus necesidades.