¿Cómo proteger nuestro MikroTik?

Al colocar un MikroTik como router de borde debemos tomar ciertos recaudos, y reglas de protección básicas para evitar ataques o inconvenientes con IPs públicas. Por esto detallaremos aspectos de seguridad esenciales.

Bloquear peticiones DNS desde redes externas

Al configurar el Servidor DNS en MikroTik y activar la opción “Allow Remote Request” exponemos el puerto 53 UDP a peticiones de DNS provenientes de internet. Si no bloqueamos estas peticiones podemos observar tráfico inusual y un uso de CPU excesivo.

El bloqueo debe ser realizado en Filter con la siguiente regla:

/ip firewall filter add action=drop chain=input comment="block dns external" dst-port=53 in-interface=interface_wan protocol=udp

📘

IMPORTANTE

En la regla deberá modificar el valor de in-interface por el nombre de la interfaz WAN que utilice en el MikroTik.

En el caso de tener asignadas las interfaces WAN en Wispro, puede utilizar directamente la siguiente regla para evitar crear una regla por cada WAN que posea su MikroTik:

/ip firewall filter add action=drop chain=wispro_input comment="block dns external" dst-port=53 in-interface-list=wispro_wans protocol=udp

Para conocer cómo asignar las interfaces WAN y LAN diríjase a:

Bloquear peticiones a WebProxy desde redes externas

Al igual que en el servicio DNS; cuando activamos el WebProxy sobre un MikroTik con IP pública expondremos el puerto del servicio a internet. Para evitar un excesivo uso de Upload y CPU por parte de consultas externas de este servicio, se deberán bloquear las peticiones que ingresen por la WAN del MikroTik.

El servicio de WebProxy es utilizado por Wispro para generar notificaciones web, por esto, si usa ese apartado no se deberá deshabilitar el servicio. De todas maneras puede proteger su equipo colocando la siguiente regla:

/ip firewall filter add action=drop chain=input comment="block web-proxy external" dst-port=8080 in-interface=interface_wan protocol=udp

📘

IMPORTANTE

Por defecto el servicio WebProxy trabaja sobre el puerto 8080, si utiliza otro puerto para ello deberá colocar el correspondiente en el parámetro dst-port de la regla.

En el caso de tener asignadas las interfaces WAN en Wispro, puede utilizar directamente la siguiente regla para evitar crear una regla por cada WAN que posea su MikroTik:

/ip firewall filter add action=drop chain=input comment="block web-proxy external" dst-port=8080 in-interface-list=wispro_wans protocol=udp

Bloquear clientes con spamware

Es común que los usuarios finales de la red posean equipos infectados con spamware y que generen ráfagas de paquetes por el puerto 25. Esto trae como consecuencia que se coloquen en blacklist las IPs públicas asignadas al MikroTik. Para evitar eso se pueden utilizar las siguientes reglas:

/ip firewall filter add chain=forward protocol=tcp dst-port=25 src-address-list=clientes_spamware action=drop comment="block spammers - port 25 tcp"
/ip firewall filter add chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5 action=add-src-to-address-list address-list=clientes_spamware address-list-timeout=1d comment="IP clients spamware or infected port 25 tcp"

Esta última regla contendrá las IPs de los clientes que realicen ráfagas de paquetes por el puerto 25 tcp, el cual se les bloqueará durante 24 h. Se recomienda revisar cuáles son las IP que se van agregando al address list "clientes_spamware", y comunicarles que poseen equipos infectados.

📘

BLOG

¿Consultas?
Contáctenos al chat