Mikrotik Firewall

download Mikrotik Firewall

of 48

  • date post

    14-Dec-2014
  • Category

    Documents

  • view

    672
  • download

    28

Embed Size (px)

Transcript of Mikrotik Firewall

MikroTik RouterOS - FirewallFiltros de Firewall, Sistema de deteccin de intrusin a la red (NIDS), Traslacin de direcciones de red (NAT)

Estructura de los filtros de FirewallReglas de filtrado estan organizadas en cadenas Hay cadenas de default y cadenas definidas por el usuario Hay 3 cadenas por default input procesa los paquetes que tienen como destino final el ruteador/firewall output procesa los paquetes enviados por nuestro ruteador/firewall forward procesa los paquetes que pasan a traves de nuestro ruteador/firewall Cada cadena definida por el usuario debe estar subordinada cuando menos a una de las cadenas de default2

Diagrama de la estructura de filtrado del firewall

3

Filtros de firewallEl filtrado de firewall es una herramienta para filtrar trfico Esto consiste de una serie de reglas que tienen la secuencia de reglas tipo: SI-ENTONCES 0) SI ENTONCES 1) SI ENTONCES 2) SI ENTONCES Si el paquete no cumple con todas las condiciones de la regla, este es enviado a la siguiente regla. Si el paquete cumple todas las condiciones de la regla, la accin especificada es aplicada.4

Reglas de filtrado en Winbox

5

Cadenas de filtrado de firewallTu puedes re-rutear trafico a cadenas definidas por el usuario, usando la accin jump (y dado el caso, rerutear de vuelta con la opcin return)

Usuarios pueden aadir cualquier numero de cadenasEstas son usadas para optimizar la estructura del firewall y hacerla mas manejable Tambien ayudan a mejorar el performance reduciendo el numero promedio de reglas procesadas por paquete

6

Cadenas definidas por el usuario

7

Tcticas de construccin de un firewall

Tire todo lo unnecesario, acepte Acepte lo dems. lo necesario, tire lo dem

8

Monitoreo de ConexionesEl sistema Connection Tracking (o Conntrack) es el corazn del firewall, este recopila y maneja todas las conexiones activas. Deshabilitando el Connection Tracking el sistema pierde su capacidad de ofrecer NAT asi como la mayor parte de las condiciones de filtrado y marcado. Cada entrada de la tabla representa un intercambio bidireccional de datos Usa muchos recursos de CPU (deshabilitalo si no ests usando firewall o nat)9

Proceso del Conntrack

10

Conntrack en Winbox

11

Condicin: Estado de ConexinEs el estatus asignado a cada paquete por el sistema de conecction tracking:New paquete esta abriendo una nueva conexin Established paquete forma parte de una conexin establecida Invalid paquete no forma parte de alguna conexin conocida Related paquete esta abriendo una nueva conexin, pero en cierta manera tiene relacin con alguna conexin ya conocida

Estado de conexin Estado TCP

12

Estado de Conexin

13

Ejemplo de la primer regla de filtrado

14

Cadena InputProteger el ruteador permitir solamente los servicios necesarios desde fuentes confiables.

Laboratorio de Cadena InputCree 3 reglas para asegurar que solamente los paquetes con estado de conexin new procederan a entrar al firewallDrop a todas las conexiones con estado invalidAccept all connection-state related packets Accept all connection-state established packets

Crea 2 reglas para asegurar que solamente tu te conectars a tu ruteadorAccept a todos los paquetes desde la ip de tu laptopDrop a todo lo demas16

Mantenimiento de firewallEscribe comentarios en cada regla, para hacer a tu ruteador/firewall mas manejable Checa los contadores de cada regla, para que determines la actividad de cada regla Cuida la posicin de la regla, esto es muy importante Usa la accin passthrough para determinar la cantidad de trafico antes de aplcar cualquier accin

Usa la accion log para coleccionar informacin detallada del trfico.

17

Accin log

18

Servicios RouterOS

19

Laboratorio de Servicios RouterOSCrea reglas para permitir que solamente los servicios necesarios que provee nuestro equipo, puedan ser accedidos desde la red publica

Usa la accin logpara determinar esos serviciosCrea una regla para permitir winbox, ssh y telnet desde la red del instructor (10.1.2.0/24) Ordena las reglas de manera adecuada

Escribe comentarios para cada regla

20

IMPORTANTELos filtros de firewall no filtran comunicaciones a nivel de MAC Debes deshabilitar las funcionalidades MACTELNET y MAC-WINBOX al menos desde la interface publica Debes deshabilitar la funcionalides de descubrimiento y el ruteador no se descubrir por si solo nunca mas (/ip neighbor discovery menu)21

MAC-telnet y MAC-winbox

22

Cadena ForwardProteccin de nuestra red a virus y ataques desde Internet y proteccin de Internet de ataques desde nuestra red

Laboratorio de cadena forwardCree 3 reglas para asegurar que solamente los paquetes con estado de conexin new procederan a travs del firewall a la cadena forward (lo mismo que hicimos en el laboratorio de cadena input). Cree reglas para cerrar el trafico a los puertos de los virus mas popularesDrop TCP y UDP rango de puertos 137-139 Drop TCP y UDP puerto 44524

Filtrado de puertos de virusAl momento hay algunos cientos de trojanos activos y al menos 100 gusanos activos Puedes bajar una lista completa de bloqueo de puertos de virus (alrededor de 500 puertos) desde wiki.mikrotik.com Algunos virus y trojanos usan puertos de servicios estandar y NO pueden ser bloqueados.

25

Bogon IPsHay alrededor de ~4,3 miles de millones de direcciones IPv4 Hay algunos rangos restringidos para uso en la red publica. Hay muchos rangos de IP's reservados (no usados al momento) para propsitos especficos Hay muchsimos rangos de direcciones IP no usados

Puedes encontrar informacion acerca de los rangos no usados en: http://www.completewhois.com/bogons/26

Opciones de Lista de DireccionesCon la lista de direcciones puedes crear una regla que aplique para varias direcciones ip o varios segmentos ip, que esten ingresados en la lista. Lo puedes usar como lista de origen o de destino

Se crea en el menu /ip firewall address-list

27

Ejemplo de lista de direccionesHaz una lista de direcciones de las mas comunes IP's de Bogons

28

Knock PortUsando listas de acceso por tiempo, podemos implamentar un sistema mas seguro para entrar a nuestros equipos desde direcciones inseguras o publicas. Se genera una regla para que cuando el equipo reciba una peticin por un puerto conocido alto (ejemplo: 12789) que la direccion origen la meta a una lista de direcciones (lista_segura) durante un tiempo de... 1 minuto.Enseguida una regla de filtrado en input por el puerto de servicio (winbox tcp port 8291) donde solo se permita la generacin de nueva conexin a la lista (lista_segura). Tenemos un minuto para entrar a partir de que hicimos el knock. Una vez dentro, ya no nos sacar. Ese procedimiento tendra que hacerse cada vez que se quisiera entrar.29

Knock PortEjemplo:

30

Knock PortEjemplo...

31

Knock PortEjemplo...

32

Knock PortCon estas reglas, para poder entrar va winbox a nuestro equipo, primero hay que hacer un knock al puerto 12789 haciendo desde nuestra laptop: telnet 12789

A partir de esto tenemos un minuto para entrar via winbox a nuestro equipo, si pasa ese tiempo tenemos que repetir el knock.

33

Laboratorio de filtrado de direccionesPermite paquetes hacia tu red desde direcciones vlidas de InternetPermite paquetes hacia tu red que vengan desde direcciones vlidas de tus clientes Permite salir paquetes desde tu red y con destino a direcciones vlidas de tus clientes Permite paquetes salir desde tu red solo hacia direcciones vlidas de Internet34

Cadenas definidas por el UsuarioEstructura de firewall, cadenas reutilizables

Protocolo ICMPProtocolo de mensajes de Control de Internet (ICMP) es bsicamente una herramienta de anlisis y reparacin de una red, debe ser permitido pasar a travs del firewall Un tpico ruteador usa solo 5 tipos de mensajes ICMP (tipo:cdigo) Para PING - mensajes 0:0 y 8:0 Para TRACEROUTE mensajes 11:0 y 3:3 Para Path MTU discovery mensaje 3:4 Cualquier otro tipo de mensajes de ICMP debera ser bloqueado36

Ejemplo de regla para ICMP

37

Laboratorio para cadena ICMPHaga una nueva cadena ICMP Acepte los 5 tipos de mensaje ICMP necesarios Drop a todo lo dems de ICMP Mueva todos los paquetes de ICMP a esta nueva cadena

Cree una regla con accin jump en la cadena de inputVerifique el orden de la regla

Cree una regla con accin jump en la cadena de forwardVerifique el orden de la regla38

Regla de jumppara ICMP

39

Tipos de intrusin a la redIntrusin a la red es un serio y riesgoso problema de seguridad que puede resultar no solamente en denegacion temporal de servicios, sino incluso en un total rechazo a servicios de red Podemos anotar los 4 mayores tipos de intrusiones: Ping flood Escaneo de puertos

Ataque de DoSAtaque de DDoS

40

Ping FloodPing flood usalmente consiste de un volumen de mensajes aleatorios de ICMP Con la condicin limit es posible ajustar una regla para que se cumpla con cierto lmite Esta accion usualmente es usada junto con una regla igual anterior pero con accin log41

Escaneo de puertosEs una prueba secuencial buscando puertos abiertos TCP (UDP) PSD (Deteccin de escaneo de puertos) solo es posible con el protocolo TCP Puertos Bajos De 0 al 1023

Puertos AltosDel 1024 al 6553542

Laboratorio de proteccin de intrusosAjuste las 5 reglas de ICMP para cumplirse con un lmite de 5 paquetes por segundo con una posibilidad de 5 paquetes de desborde o burst Cree la protecin PSDCree una regla de drop PSD en la cadena de input Verifque su orden

Cree una regla de drop PSD en la cadena de forwardVer