microtik
Páginas: 4 (830 palabras)
Publicado: 31 de julio de 2013
Protegiendo Nuestro Mikrotik/Router de los ataques.
Una de las recomendaciones que siempre se hacen en redes, es en lo posible dejar una máquina destinada sólo a firewall, loque se cumple utilizando mikrotik, pues requiere de exclusividad de un PC. Pero la protección no pasa solo por eso, además debemos proteger nuestro mikrotik de los ataques tanto de diccionarios como delos distintos escaneos de puertos y demases.
A continuación les muestro un firewall bastante intuitivo, el cual consiste en dejar abiertos los puertos que ocupa mikrotik, es decir, 80para mostrar el WebBox, 21 para el ftp, 22 para SSH, 23 para telnet y 8291 para Winbox.
Además como en mi caso no se utilizan mucho los servicios anterior mente mencionados desde las afuerasde la red interna, se crearán reglas que creen listas de las IP que intentan y/o acceden al router por todos los puertos, identificando mediante tipos de listas los servicios que se describieron.
Es así en donde nos encontramos con listas de ip para winbox, ssh, weebbox, telnet, ftp, y para el resto de los intentos en los otros puertos. Además, bloquearemos las conexiones inválidas, que sonaquellas que llegan desde supuestas redes internas 10.x.x.x, 172.x.x.x, 192.x.x.x etc.. Regularemos que nuestro router sea cerrado y admita solo la red interna (en mi caso 10.8.1.0/24) y además unalista de las ip externas conocidas y que considero fiables.
Para quienes no quieren entender mucho de las reglas, hagan un copy-paste de lo siguiente, en la ventana de Terminal, dentro de ip firewallfilter. Es decir les aparecerá esto:
Luego copien estos códigos:
add chain=input connection-state=established action=accept comment="Aceptar \
conexiones establecidas" disabled=noadd chain=input connection-state=related action=accept comment="Aceptar \
related conexiones" disabled=no
add chain=input connection-state=invalid action=drop comment="Rechazar \
...
Una de las recomendaciones que siempre se hacen en redes, es en lo posible dejar una máquina destinada sólo a firewall, loque se cumple utilizando mikrotik, pues requiere de exclusividad de un PC. Pero la protección no pasa solo por eso, además debemos proteger nuestro mikrotik de los ataques tanto de diccionarios como delos distintos escaneos de puertos y demases.
A continuación les muestro un firewall bastante intuitivo, el cual consiste en dejar abiertos los puertos que ocupa mikrotik, es decir, 80para mostrar el WebBox, 21 para el ftp, 22 para SSH, 23 para telnet y 8291 para Winbox.
Además como en mi caso no se utilizan mucho los servicios anterior mente mencionados desde las afuerasde la red interna, se crearán reglas que creen listas de las IP que intentan y/o acceden al router por todos los puertos, identificando mediante tipos de listas los servicios que se describieron.
Es así en donde nos encontramos con listas de ip para winbox, ssh, weebbox, telnet, ftp, y para el resto de los intentos en los otros puertos. Además, bloquearemos las conexiones inválidas, que sonaquellas que llegan desde supuestas redes internas 10.x.x.x, 172.x.x.x, 192.x.x.x etc.. Regularemos que nuestro router sea cerrado y admita solo la red interna (en mi caso 10.8.1.0/24) y además unalista de las ip externas conocidas y que considero fiables.
Para quienes no quieren entender mucho de las reglas, hagan un copy-paste de lo siguiente, en la ventana de Terminal, dentro de ip firewallfilter. Es decir les aparecerá esto:
Luego copien estos códigos:
add chain=input connection-state=established action=accept comment="Aceptar \
conexiones establecidas" disabled=noadd chain=input connection-state=related action=accept comment="Aceptar \
related conexiones" disabled=no
add chain=input connection-state=invalid action=drop comment="Rechazar \
...
Leer documento completo
Regístrate para leer el documento completo.