Mikrotik 1 Curso 2017 Firewall

MikroTik RouterOS - Firewall
Filtros de Firewall,
Sistema de deteccion de intrusion a la red
(NIDS),
Traslacion de direcciones de red (NAT)
joe.silver97@gmail.com
Estructura de los filtros de Firewall
Reglas de filtrado estan organizadas en cadenas
Hay cadenas de default y cadenas definidas por el usuario
Hay 3 cadenas por default
input procesa los paquetes que tienen como destino
final el ruteador/firewall
output procesa los paquetes enviados por nuestro
ruteador/firewall
forward procesa los paquetes que pasan a traves de
nuestro ruteador/firewall
Cada cadena definida por el usuario debe estar
subordinada cuando menos a una de las cadenas de
default
joe.silver97@gmail.com 2
Diagrama de la estructura de filtrado
del firewall
Filtros de firewall
El filtrado de firewall es una herramienta para filtrar
trafico
Esto consiste de una serie de reglas que tienen la
secuencia de reglas tipo: SI-ENTONCES
0) SI <condicion(es)> ENTONCES <acccion>
1) SI <condicion(es)> ENTONCES <accion>
2) SI <condicion(es)> ENTONCES <accion>
Si el paquete no cumple con todas las condiciones de
la regla, este es enviado a la siguiente regla.
Si el paquete cumple todas las condiciones de la
regla, la accion especificada es aplicada.
Reglas de filtrado en Winbox
Cadenas de filtrado de firewall
Tu puedes re-rutear trafico a cadenas definidas
por el usuario, usando la accion jump (y dado
el caso, rerutear de vuelta con la opcion
return)
Usuarios pueden aadir cualquier numero de
cadenas
Estas son usadas para optimizar la estructura
del firewall y hacerla mas manejable
Tambien ayudan a mejorar el performance
reduciendo el numero promedio de reglas
procesadas por paquete
Cadenas definidas por el usuario
Tacticas de construccion de un firewall
Tire todo lo unnecesario, Acepte lo necesario, tire
acepte lo demas. lo demas
Monitoreo de Conexiones
El sistema Connection Tracking (o Conntrack) es el
corazon del firewall, este recopila y maneja todas las
conexiones activas.
Deshabilitando el Connection Tracking el sistema
pierde su capacidad de ofrecer NAT asi como la mayor
parte de las dondiciones de filtrado y marcado.
Cada entrada de la tabla representa un intercambio
bidireccional de datos
Usa muchos recursos de CPU (deshabilitalo si no
estas usando firewall o nat)
Proceso del Conntrack
Conntrack en Winbox
Condicion: Estado deConexion
Es el estatus asignado acada paquete por el
sistema de coneccion tracking:
New paquete esta abriendo una nueva conexion
Established paquete forma parte de una conexion
establecida
Invalid paquete no forma parte de alguna
conexion conocida
Related paquete esta abriendo una nueva
conexion, pero en cierta manera tiene relacion con
alguna conexion ya conocida
Estado de conexion Estado TCP
Estado de Conexion
Ejemplo de la primer regla de filtrado
Cadena Input
Proteger el ruteador permitir solamente los

servicios necesarios desde fuentes confiables.
Laboratorio de Cadena Input
Cree 3 reglas para asegurar que solamente los
paquetes con estado de conexion new
procederan a entrar al firewall
Drop a todas las conexiones con estado invalid
Accept all connection-state related packets
Accept all connection-state established packets
Crea 2 reglas para asegurar que solamente tu
te conectaras a tu ruteador
Accept a todos los paquetes desde la ip de tu
laptop
Drop a todo lo demas
Mantenimiento de firewall
Escribe comentarios en cada regla, para hacer a tu
ruteador/firewall mas manejable
Checa los contadores de cada regla, para que
determines la actividad de cada regla
Cuida la posicion de la regla, esto es muy importante
Usa la accion passthrough para determinar la
cantidad de trafico antes de aplcar cualquier accion
Usa la accion log para coleccionar informacion
detallada del trafico.
Accion log
Servicios RouterOS
Laboratorio de Servicios RouterOS
Crea reglas para permitir que solamente los
servicios necesarios que provee nuestro
equipo, puedan ser accedidos desde la red
publica
Usa la accion logpara determinar esos
servicios
Crea una regla para permitir winbox, ssh y
telnet desde la red del instructor (10.1.2.0/24)
Ordena las reglas de manera adecuada
Escribe comentarios para cada regla
IMPORTANTE
Los filtros de firewall no filtran comunicaciones
a nivel de MAC
Debes deshabilitar las funcionalidades MAC-
TELNET y MAC-WINBOX al menos desde la
interface publica
Debes deshabilitar la funcionalidas de
descubrimiento y el ruteador no se descubrira
por si solo nunca mas (/ip neighbor discovery
menu)
MAC-telnet y MAC-winbox
Cadena Forward
Proteccion de nuestra red a virus y ataques

desde Internet y proteccion de Internet de
ataques desde nuestra red
Laboratorio de cadena forward
Cree 3 reglas para asegurar que solamente los
paquetes con estado de conexion new
procederan a traves del firewall a la cadena
forward (lo mismo que hicimos en el laboratorio
de cadena input).
Cree reglas para cerrar el trafico a los puertos

de los virus mas populares
Drop TCP y UDP rango de puertos 137-139
Drop TCP y UDP puerto 445
Filtrado de puertos de virus
Al momento hay algunos cientos de trojanos
activos y al menos 100 gusanos activos
Puedes bajar una lista completa de bloqueo de
puertos de virus (alrededor de 500 puertos)
desde wiki.mikrotik.com
Algunos virus y trojanos usan puertos de
servicios estandar y NO pueden ser
bloqueados.
Bogon IPs
Hay alrededor de ~4,3 miles de millones de
direcciones IPv4
Hay algunos rangos restringidos para uso en la red
publica.
Hay muchos rangos de IP's reservados (no usados al
momento) para propositos especificos
Hay muchisimos rangos de direcciones IP no usados
Pueds encontrar informacion acerca de los rangos no
usados en:
http://www.completewhois.com/bogons/
Opciones de Lista de Direcciones
Con la lista de direcciones
puedes crear una regla
que aplique para varias
direcciones ip o varios
segmentos ip, que esten
ingresados en la lista.
Lo puedes usar como lista
de origen o de destino
Se crea en el menu
/ip firewall address-list
Ejemplo de lista de direcciones
Haz una lista de direcciones de las mas
comunes IP's de Bogons
Knock Port
Usando listas de acceso por tiempo, podemos
implamentar un sistema mas seguro para entrar a nuestros
equipos desde direcciones inseguras o publicas.
Se genera una regla para que cuando el equipo reciba una
peticion por un puerto conocido alto (ejemplo: 12789) que
la direccion origen la meta a una lista de direcciones
(lista_segura) durante un tiempo de... 1 minuto.
Enseguida una regla de filtrado en input por el puerto de
servicio (winbox tcp port 8291) donde solo se permita la
generacion de nueva conexin a la lista (lista_segura).
Tenemos un minuto para entrar a partir de que hicimos el
knock. Una vez dentro, ya no nos sacara.
Ese procedimiento tendria que hacerse cada vez que se
quisiera entrar.
Knock Port
Ejemplo:
Knock Port
Ejemplo...
Knock Port
Ejemplo...
Knock Port
Con estas reglas, para poder entrar via winbox
a nuestro equipo, primero hay que hacer un
knock al puerto 12789 haciendo desde nuestra
laptop: telnet <ip_de_nuestro_router> 12789
A partir de esto tenemos un minuto para entrar
via winbox a nuestro equipo, si pasa ese tiempo
tenemos que repetir el knock.
Laboratorio de filtrado de
direcciones
Permite paquetes hacia tu red desde
direcciones validas de Internet
Permite paquetes hacia tu red que vengan
desde direcciones validas de tus clientes
Permite salir paquetes desde tu red y con
destino a direcciones validas de tus clientes
Permite paquetes salir desde tu red solo hacia
direcciones validas de Internet
Cadenas definidas por el Usuario
Estructura de firewall, cadenas reutilizables
Protocolo ICMP
Protocolo de mensajes de Control de Internet (ICMP)
es basicamente una herramienta de analisis y
reparacion de una red, debe ser permitido pasar a
traves del firewall
Un tipico ruteador usa solo 5 tipos de mensajes ICMP
(tipo:codigo)
Para PING - mensajes 0:0 y 8:0
Para TRACEROUTE mensajes 11:0 y 3:3
Para Path MTU discovery mensaje 3:4
Cualquier otro tipo de mensajes de ICMP deberia ser
bloqueado
Ejemplo de regla para ICMP
Laboratorio para cadena ICMP
Haga una nueva cadena ICMP
Acepte los 5 tipos de mensaje ICMP necesarios
Drop a todo lo demas de ICMP
Mueva todos los paquetes de ICMP a esta nueva cadena
Cree una regla con accion jump en la cadena de
input
Verifique el orden de la regla
Cree una regla con accion jump en la cadena de
forward
Verifique el orden de la regla
Regla de jumppara ICMP
Tipos de intrusion a la red
Intrusion a la red es un serio y riesgoso problema de
seguridad que puede resultar no solamente en
denegacion temporal de servicios, sino incluso en un
total rechazo a servicios de red
Podemos anotar los 4 mayores tipos de intrusiones:
Ping flood
Escaneo de puertos
Ataque de DoS
Ataque de DDoS
Ping Flood
Ping flood usalmente
consiste de un volumen de
mensajes aleatorios de
ICMP
Con la condicion limit es
posible ajustar una regla
para que se cumpla con
cierto limite
Esta accion usualmente es
usada junto con una regla
igual anterior pero con
accion log
Escaneo de puertos
Es una prueba secuencial
buscando puertos abiertos
TCP (UDP)
PSD (Deteccion de escaneo de
puertos) solo es posible con el
protocolo TCP
Puertos Bajos
De 0 al 1023
Puertos Altos
Del 1024 al 65535
Laboratorio de proteccion de
intrusos
Ajuste las 5 reglas de ICMP para cumplirse con
un limite de 5 paquetes por segundo con una
posibilidad de 5 paquetes de desborde o burst
Cree la protecion PSD
Cree una regla de drop PSD en la cadena de input
Verifique su orden
Cree una regla de drop PSD en la cadena de
forward
Verifique su orden
Ataques de DoS
El objetivo principal de un ataque DoS es consumir los
recursos del sistema (CPU o ancho de banda), al
punto que los servicios estandar obtienen una
denegacion de servicio
Usualmente el ruteador es atacado con paquetes de
requisicion de conexiones TCP/SYN causando que el
servidor responda con un paquete TCP/SYN-ACK y
esperando por un paquete TCP/ACK.
Muchos atacantes de DoS son clientes infectados con
virus
Proteccion de ataques de DoS
Todas las IP's con mas de 10 conexiones al
ruteador deben ser consideradas
potencialmente atacantes de DoS
Con cada conexion TCP descargada
(dropeada) le permitiremos al ataque crear una
nuevaDeberemos implementar la proteccion en
2 pasos:
Deteccion Crear una lista de sitios de ataque
basado en un limite de conexiones dado.
Supresion Aplicando restricciones a esas ip's
desde donde nos atacan.
Deteccion de ataque de DoS
Supresion del ataque de DoS
Para impedir que el
atacante cree nuevas
conexiones , usaremos
la accion tarpit
Pondremos esta regla
justamente antes de la
regla de deteccion o de
lo contrario la entrada de
la lista de direcciones se
estara reescribiendo
todo el tiempo
Ataques de DDoS
Un ataque distribuido de
denegacion de servicio
es similar a un ataque de
DoS solo que este ocurre
desde muchos sistemas
de manera coordinada.
Lo unico que puede
ayudarnos en esto es
usar la opcion TCPSyn
Cookie en connection
tracking

Mikrotik 1 Curso 2017 Firewall

Uploaded by

Document Information

Original Description:

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Mikrotik 1 Curso 2017 Firewall

Uploaded by

Copyright:

Available Formats

MikroTik RouterOS - Firewall

Proteger el ruteador permitir solamente los

Proteccion de nuestra red a virus y ataques

Cree reglas para cerrar el trafico a los puertos

Estructura de firewall, cadenas reutilizables

You might also like