MikroTik como Firewall ?

Quando falamos em proteção de uma rede TCP/IP, podemos usar o MikroTik como Firewall e quando usamos a palavra Firewall significa temos por objetivo aplicar uma política de segurança.

Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra, e MikroTik como Firewall, fica mais simples ainda.

Esse conceito inclui equipamentos, filtros de pacotes e de proxy ou  de aplicações, comumente associados a redes de arquitetura TCP/IP.

Os primeiros sistemas de firewall nasceram exclusivamente para suportar segurança no conjunto de protocolos.

O termo inglês firewall faz alusão comparativa da função que este desempenha para evitar o alastramento de acessos nocivos dentro de uma rede de computadores a uma parede corta-fogo (firewall), que evita o alastramento de incêndios pelos cômodos de uma edificação.

Existe na forma de software e hardware, ou na combinação de ambos (neste caso, normalmente é chamado de “appliance”).

A complexidade da instalação depende do tamanho da rede, da política de segurança, da quantidade de regras que autorizam o fluxo de entrada e saída de informações e do grau de segurança desejado. No MikroTik temos tudo isso de forma personalizada, sendo possível desenvolver nossa política baseada em uma rede de arquitetura TCP/IP, com os benefícios do routerOS.

Como posso criar Regras de Firewall  ?

1. As regras de Firewall são sempre processadas por cadeia, na ordem que são listadas, ou seja, de cima para baixo.
2. As regras de firewall funcionam como em programação (expressões condicionais, “se <condição> então <ação>”).
3. Se um pacote não atende TODAS as condições de uma regra, ele passa para a regra seguinte.
4. Quando o pacote atende a TODAS as condições da regra é formada uma ação com ele, não importando as regras que estejam abaixo dessa cadeia, pois NÃO serão processadas.
5. Existem algumas exceções ao crédito acima, que são as ações de “passthrougth” (passar adiante), log e add to address list.
6. Um pacote que não se enquadre em qualquer regra da cadeia, será por default aceito.

Regras de MikroTik como Firewall

Subredes e comandos/serviços autorizados

/ip firewall filter
add chain=input connection-state=invalid action=drop\ comment=”Descarta Conexoes Invalidas”
add chain=input connection-state=established action=accept\comment=”Permite conexoes estabelecidas”
add chain=input protocol=icmp action=accept \ comment=”Permite ICMP”
add chain=input src-address=192.168.0.0/24 action=accept \ in-interface=!ether1
add chain=input action=drop comment=”Ignora todo o restante”

 

Configurando uma cadeia TCP e negando algumas portas TCP

/ip firewall filter
add chain=tcp protocol=tcp dst-port=69 action=drop comment=”Negar TFTP”
add chain=tcp protocol=tcp dst-port=111 action=drop comment=”Negar RPC portmapper”
add chain=tcp protocol=tcp dst-port=135 action=drop comment=”Negar RPC portmapper”
add chain=tcp protocol=tcp dst-port=137-139 action=drop comment=”Negar NBT”
add chain=tcp protocol=tcp dst-port=445 action=drop comment=”Negar cifs”
add chain=tcp protocol=tcp dst-port=2049 action=drop comment=”Negar NFS”
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment=”Negar NetBus”
add chain=tcp protocol=tcp dst-port=20034 action=drop comment=”Negar NetBus”
add chain=tcp protocol=tcp dst-port=3133 action=drop comment=”Negar BackOriffice”
add chain=tcp protocol=tcp dst-port=67-68 action=drop comment=”Negar DHCP”

Bloqueio de acesso FTP por força Bruta com 10 tentativas

/ip firewall filter
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment=”Descarta forca bruta FTP”
add chain=output action=accept protocol=tcp content=”530 Login incorreto” dstlimit=1/1m,9,dst-address 1m
add chain=output action=add-dst-to-address-list protocol=tcp content=”530 Login incorreto” address-list=ftp_blacklist address-list-timeout=3h

 

Como aprender a usar o MikroTik como Firewall ?

Convido a todos a se inscreverem em cursos que ajudam os profissionais a projetar e configurar um Firewall MikroTik .

Todos estes tópicos são inicialmente abordados nos treinamentos abaixo:

1- Básico Presencial – MikroTik Network Associate

2- Avançado Presencial – MikroTik Advanced Admin

3- Básico On-line ao Vivo (Telepresencial)

4- Avançado On-Line ao Vivo (Telepresencial)

Faça a sua inscrição agora mesmo e aprenda a montar e configurar um Firewall MikroTik.

Aprimore seu conhecimento e garanta a melhor segurança em sua rede.

Abraços

Rogério Barion

ENTELCO TELECOM