O que é um Firewall MikroTik ?

Firewall é o nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra, e no Firewall MikroTik, é bem mais simples. Esse conceito inclui os equipamentos de filtros de pacotes e de proxy de aplicações, comumente associados a redes TCP/IP. Os primeiros sistemas firewall nasceram exclusivamente para suportar segurança no conjunto de protocolos TCP/IP.

O termo inglês firewall faz alusão comparativa da função que este desempenha para evitar o alastramento de acessos nocivos dentro de uma rede de computadores a uma parede corta-fogo (firewall), que evita o alastramento de incêndios pelos cômodos de uma edificação. Existe na forma de software e hardware, ou na combinação de ambos (neste caso, normalmente é chamado de “appliance”).

A complexidade da instalação depende do tamanho da rede, da política de segurança, da quantidade de regras que autorizam o fluxo de entrada e saída de informações e do grau de segurança desejado. No MikroTik temos tudo isso de forma personalizada, sendo possível desenvolver nossa política baseada em uma rede de arquitetura TCP/IP, com os benefícios do routerOS.

Como criar Regras para o Firewall MikroTik ?

1. As regras de Firewall são sempre processadas por cadeia, na ordem que são listadas, ou seja, de cima para baixo.
2. As regras de fi rewall funcionam como em programação (expressões condicionais, “se <condição> então <ação>”).
3. Se um pacote não atende TODAS as condições de uma regra, ele passa para a regra seguinte.
4. Quando o pacote atende a TODAS as condições da regra é formada uma ação com ele, não importando as regras que estejam abaixo dessa cadeia, pois NÃO serão processadas.
5. Existem algumas exceções ao crédito acima, que são as ações de “passthrougth” (passar adiante), log e add to address list.
6. Um pacote que não se enquadre em qualquer regra da cadeia, será por default aceito.

Exemplos básicos de regras para  Firewall MikroTik

Subredes e comandos/serviços autorizados

/ip firewall filter
add chain=input connection-state=invalid action=drop\ comment=”Descarta Conexoes Invalidas”
add chain=input connection-state=established action=accept\comment=”Permite conexoes estabelecidas”
add chain=input protocol=icmp action=accept \ comment=”Permite ICMP”
add chain=input src-address=192.168.0.0/24 action=accept \ in-interface=!ether1
add chain=input action=drop comment=”Ignora todo o restante”

 

Criando uma cadeia TCP e negando algumas portas TCP

/ip firewall filter
add chain=tcp protocol=tcp dst-port=69 action=drop comment=”Negar TFTP”
add chain=tcp protocol=tcp dst-port=111 action=drop comment=”Negar RPC portmapper”
add chain=tcp protocol=tcp dst-port=135 action=drop comment=”Negar RPC portmapper”
add chain=tcp protocol=tcp dst-port=137-139 action=drop comment=”Negar NBT”
add chain=tcp protocol=tcp dst-port=445 action=drop comment=”Negar cifs”
add chain=tcp protocol=tcp dst-port=2049 action=drop comment=”Negar NFS”
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment=”Negar NetBus”
add chain=tcp protocol=tcp dst-port=20034 action=drop comment=”Negar NetBus”
add chain=tcp protocol=tcp dst-port=3133 action=drop comment=”Negar BackOriffice”
add chain=tcp protocol=tcp dst-port=67-68 action=drop comment=”Negar DHCP”

Bloqueando acesso FTP por força Bruta em, no máximo, 10 tentativas

/ip firewall filter
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment=”Descarta forca bruta FTP”
add chain=output action=accept protocol=tcp content=”530 Login incorreto” dstlimit=1/1m,9,dst-address 1m
add chain=output action=add-dst-to-address-list protocol=tcp content=”530 Login incorreto” address-list=ftp_blacklist address-list-timeout=3h

 

Como aprender mais sobre o Firewall MikroTik ?

A ENTELCO convida a todos a se inscreverem nos cursos que ajudam os profissionais a projetar e configurar um Firewall MikroTik . Todos estes tópicos são abordados nos treinamento da empresa.

1- Básico – MikroTik Network Associate

2- Avançado – MikroTik Advanced Admin

Faça a sua inscrição agora mesmo e aprenda a montar e configurar um Firewall MikroTik.

Aumente seu conhecimento e garanta a melhor qualidade em sua rede.

Abraços

Rogério Barion

ENTELCO TELECOM