Firewall de seguridad básica para proteger Routers Mikrotik de ataques externos. - WispHub.net

Firewall seguridad básica para Router Mikrotik.

WispHub ahora proporciona una serie de reglas de firewall de seguridad básica para equipos Mikrotik.
Esta opción solo se recomienda para equipos nuevos que no contengan ningún tipo de regla en el apartado de Firewall/Filter Rules del RB.

Características principales:

  • Permitir Acceso al RB por Winbox, web, ssh, telnet entre otros servicios, solo a los administradores de red.
  • Bloquear puerto DNS desde WANs (Exterior).
  • Bloquear puerto WebProxy desde WANs (Exterior) útil para proteger sus ips públicas por riesgo a hacer baneadas en lista negra (blacklists).
  • Permitir acceso a internet solo a IPs autorizadas (Clientes registrados en el sistema).

Nota:

Si ya cuenta con reglas de firewall para seguridad y solo necesita la opción de clientes autorizados haga click aquí.

Importante leer.

Esta implementación no requiere soporte técnico y por ahora no tiene ningún costo para su completa configuración, basta con seguir todos los pasos mencionados a continuación. Las reglas han sido probadas y no causará un mal funcionamiento en tu red. Favor de usarlas de manera responsable. Se recomienda usar estas reglas en un router con pocos clientes, una vez ha comprendido su funcionamiento puede aplicarlo en todos sus routers en producción para evitar algún inconveniente.

Pasos de Implementación

Video tutorial

Por pasos

Nos dirigimos al apartado de Sistema->Routers: https://wisphub.net/router/

Será redirigido a una serie de pasos a seguir:

1Paso 1 - Autorizar IPs / Agregar de Administracion de red.

Importante Leer las siguientes instrucciones del paso 1.

1. Agregar IPs de tipo: Autorizar IP/Segmento LAN:

1.1.-Si del segmento LAN de tus clientes, hay IPs que no sean de tipo residencial es decir clientes (IPS) de cortesía que no se encuentren en WispHub, debe de ingresarlas ya que al instalar las reglas no tendrán servicio. 
Ejemplo: 
En mi caso doy servicio de cortesía a un familar con la IP: 192.168.66.99

1.2.-Ingresar todas las IPs o segmentos de todos los equipos de red administrativos ej: sectoriales, Routers, ONUs ect. de lo contrario perderá comunicación entre ellos (ping).

Para fines de este manual cuento con las siguientes Equipos: 192.168.100.254, 192.168.200.254

Estas ips se agregaran en al addresslist: ips_autorizadas_wisphub

2. Agregar IPs de tipo: Administrador de red:


2.2.- Ingresar todas las direcciones IPS o rangos de técnicos, administradores de red, ya que no podrán acceder al Router por medio de winbox, web u otros servicios.
Ejemplo: 
En mi caso las siguientes IPs de mis técnicos serian las siguientes:  192.168.66.101, 192.168.66.102. 

2.2.-Si su router cuenta con IP Pública asignada. Para que se pueda ingresar desde exterior.
Se tiene que agregar la IP Publica con la que esta saliendo a internet. 
Ejemplo.
Mi router cuenta con la siguiente IP Pública asignada: 187.155.59.111
Para que pueda acceder por medio de winbox o web desde afuera de mi red. 
Como primer paso tengo que conocer la IP pública con la estoy saliendo a internet,, si no sabe con que ip esta saliendo puede consultar:https://www.cualesmiip.com/
en mi caso estoy fuera de mi red pero salgo con otra IP: 198.155.98.115
dicha ip se agregaría como Administrador de red

Estas ips se agregaran en al addresslist: administrador_red_wisphub
 

Para fines de este manual así quedaría.

Guardar cambiar, y verificar en el Router que se hallan creado los siguientes address-list con las ips ingresadas.

2Paso 2. Autorizar todos los clientes existentes en el Router.

Será redirigido a una nueva vista, esto seleccionar y autorizar todos los clientes existentes en el router.

verificar en el router en IP/Firewall/AddressList que todos los clientes se hayan creado con el address-list: ips_autorizadas_wisphub

3Paso 3. Autorizar Planes de Internet

será redirigido a la siguiente lista de planes de Internet.

4Paso 4. Instalar reglas firewall de seguridad básica.

Será redirigido a la siguiente ventana.

1. Habilitar/Deshabilitar Servicios (Puertos):

Este formulario no es requierido, al instalar las reglas de seguridad básica, por default se crearán 2 reglas

  • Permitir acceso al Router por Winbox solo a los administradores.
  • Permitir acceso al Router por Web solo a los administradores.

Del mismo modo puede restringir, editar el acceso otros servicios del RB tales como, ssh, telenet, ftp, ect.

  • Acceso a todas las IPs: Implica que  cualquier Privada/Pública, pueda ingresar al Router..
  • Acceso a solo administradores de red: Solo las IPs que fueron agregadas como administradores de red en el paso 1 podrán acceder al Router

2. Instalar reglas seguridad básica.

Este formulario es requerido y se tiene que seleccionar su interface de conexión con el provedor (WAN) de su RB.

Al instalar las reglas se mostrará una ventana de confirmación, el cual indica que tuvo que haber realizado todos los pasos anteriores. ya que de lo contrario sus clientes no tendrán servicio e incluso no podrá acceder a su rb.

Verificar las siguientes reglas firewall en mikrotik

Funcionamiento

Clientes Autorizados

Una forma sencilla de probar el funcionamiento de clientes autorizados es tomar una ip de nuestro rango LAN la cual aún no se encuentre registrado en el sistema.

Ejemplo. Cuento con la IP: 192.168.66.188 si me asigno esa ip como estática no deberia tener servicio.

Si registro esta como cliente en el sistema tendrá acceso a internet.

Si el plan de Internet que se le esta asignando al cliente ya fue autorizado, lo cual se hizo en el paso 3 

el cliente se autorizará de forma automática. En mi caso confirmo que la ip del cliente se halla agreado con el adresslist: ips_autorizadas_wisphub

Verificamos que tengamos acceso a internet.

Acceso a servicios solo administradores

En el inicio de esta documentación en el paso 1, aprendimos como poder agregar todas las ips las cuales van a tener acceso al router por medio de winbox, web, ssh, telenet u otros servicios.

Lo cual en teoría ninguna ip del rango lan/ ip publica / vpn va a poder a conectarse por winbox o web u otros servicios del rb hasta que sean agregados como administradores de red.

Ejemplo: Si tengo la ip 192.168.66.188 la cual solo esta como cliente, no podrá acceder a servidor Mikrotik.

 

Cabe mencionar en el paso 1 se agrego la ip 192.168.66.101 como tipo Administrador de red.

Me asigno la ip 192.168.66.101 , como estática y estoy dentro de la red podrá acceder al router.
Verificamos si ahora podemos acceder al router.

¿Cómo acceder a mi RouterBoard si tiene IP Pública asignada?

Ejemplo, mi routerboard cuenta con la siguiente IP Pública: 187.155.XX.XX

Para poder acceder por medio de winbox desde otra red. 

Como primer paso tenemos que conocer la ip publica de la otra red con la que estamos saliendo a internet, puede usar https://www.cualesmiip.com/ 

en mi caso estoy saliendo con la IP:201.163.XX.XX

Entonces el escenario seria el siguiente:

Router (HOST): 187..155.XX.XX

IP que hará la petición para conectarse al Router: 201.163.XX.XX

Para poder conectarme al router por medio de winbox o web, tenemos que agregar la ip con la que estamos saliendo, en mi caso: 201.163.XX.XX

Nos regresamos de nuevo al paso 1 y agregamos la ip como tipo administrador de red

Verificamos que ahora tengamos acceso al rb.

Nota:

Recordar que en el paso 4 que puede bloquear/desbloquear el acceso a otros servicios del router, ej: ssh, telnet, ftp, api, ect.

Protección de IP Pública evitar que este en lista negra (blacklists).

Cuando contamos con IP pública y utilizamos la función de Web Proxy de nuestro equipo Routerboard es muy importante tener una regla que no permita hacer uso de nuestra IP publica vía Proxy ya que podemos recibir ataques por medio este medio. 

Al instalar las reglas de seguridad básica de wisphub del paso 4 se crea una regla para prevenir ataques vía Proxy con esto evitamos que nuestra ips publicas que esten asignadas al router, no corran el riesgo de ser baneadas en lista negra (blacklists).

Puede hacer un test de ello, siguiendo los pasos del siguiente post: http://foroisp.com/threads/1600-Seguridad-Web-Proxy-en-MikroTik

Acceso otros puertos

Al momento de instalar las reglas de seguridad básica de wisphub se bloquean el acceso a todos los puertos, a excepción de winbox, web el cual solo está permitido solo a las ips que se agreguen como administrador de red.

En el paso 4. se tiene la opción de permitir otros servicios como:
winbox, web, ssh. telenet, api, ftp.
Ya sea a:
Todas las IPs: Acceso a todo el mundo
Administradores de red: Acceso solo las ips que están en el adress-list: administrador_red_wisphub

¿Cómo abrir un nuevo puerto?

En el RB en Firewall/Filter rules, buscamos la regla: Permitir acceso WINBOX para administradores - WispHub

Hacemos doble click, seleccionamos Copy

Action: Input
Chain: Especificar la cadena input u otra personalizada
Protocol: seleccionamos el protocolo por donde viaja el puerto
Port: Puerto el cual queremos que tenga acceso.
Src. AddressList: 

  • Si queremos que todo el mundo tenga acceso a ese puerto lo dejamos vacío
  • Si queremos que solo tengan acceso los administradores seleccionamos el addresslist; administrador_red_wisphub.

Ejemplo. 

Quiero abrir el puerto para que todas las VPNs de mi red puedan acceder a mi Router.

Resultado.

8 de Febrero de 2021 a las 18:08 - Visitas: 30272