Al colocar un MikroTik como router de borde debemos tomar ciertos recaudos, y aplicar reglas de protección básicas para evitar ataques o inconvenientes con IPs públicas. Por esto detallaremos aspectos de seguridad esenciales.
Bloquear peticiones DNS desde redes externas
Al configurar el Servidor DNS en MikroTik y activar la opción «Allow Remote Request» exponemos el puerto 53 UDP a peticiones de DNS provenientes de internet. Si no bloqueamos estas peticiones podemos observar tráfico inusual y un uso de CPU excesivo.
El bloqueo debe ser realizado en Filter con la siguiente regla:
/ip firewall filter add action=drop chain=wispro_input comment="block dns external" dst-port=53 in-interface-list=wispro_wans protocol=udp
ATENCIÓN
En la regla deberá modificar el valor de «in-interface» por el nombre de la interfaz WAN que utilice en el MikroTik.
En el caso de tener asignadas las interfaces WAN en Wispro, puede utilizar directamente la siguiente regla para evitar crear una regla por cada WAN que posea su MikroTik:
/ip firewall filter add action=drop chain=wispro_input comment="block dns external" dst-port=53 in-interface-list=wispro_wans protocol=udp
¿Le interesaría probar GRATIS un software potente para proveedores de internet?
Bloquear peticiones a WebProxy desde redes externas
Al igual que en el servicio DNS; cuando activamos el WebProxy sobre un MikroTik con IP pública expondremos el puerto del servicio a Internet. Para evitar un excesivo uso de Upload y CPU por parte de consultas externas de este servicio, se deberán bloquear las peticiones que ingresen por la WAN del MikroTik.
El servicio de WebProxy es utilizado por Wispro para generar notificaciones web, por esto, si usa ese apartado no se deberá deshabilitar el servicio. De todas maneras puede proteger su equipo colocando la siguiente regla:
/ip firewall filter add action=drop chain=input comment="block web-proxy external" dst-port=8080 in-interface=interface_wan protocol=udp
ATENCIÓN
Por defecto el servicio WebProxy trabaja sobre el puerto 8080, si utiliza otro puerto para ello deberá colocar el correspondiente en el parámetro «dst-port» de la regla.
En el caso de tener asignadas las interfaces WAN en Wispro, puede utilizar directamente la siguiente regla para evitar crear una regla por cada WAN que posea su MikroTik:
/ip firewall filter add action=drop chain=input comment="block web-proxy external" dst-port=8080 in-interface-list=wispro_wans protocol=udp
Bloquear clientes con spamware
Es común que los usuarios finales de la red posean equipos infectados con spamware y que generen ráfagas de paquetes por el puerto 25. Esto trae como consecuencia que se coloquen en blacklist las IPs públicas asignadas al MikroTik. Para evitar eso se pueden utilizar las siguientes reglas:
/ip firewall filter add chain=forward protocol=tcp dst-port=25 src-address-list=clientes_spamware action=drop comment="block spammers - port 25 tcp"
/ip firewall filter add chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5 action=add-src-to-address-list address-list=clientes_spamware address-list-timeout=1d comment="IP clients spamware or infected port 25 tcp"
Esta última regla contendrá las IPs de los clientes que realicen ráfagas de paquetes por el puerto 25 tcp, el cual se les bloqueará durante 24 h. Se recomienda revisar cuáles son las IPs que se van agregando al address list «clientes_spamware«, y comunicarles que poseen equipos infectados.
Para redes de fibra óptica/FTTH y conocer todas las opciones disponibles con Wispro consulte:
Wispro