Mientras escribo esto, se me ocurre pensar en Mikrotik como una especie de navaja suiza… porque son equipos realmente muy poderosos y alguno de sus modelos son de bolsillo.
Configurarlos require de conocimientos sobre la plataforma, y hasta lograrlo te agarras algunos dolores de cabeza…
Idea principal del funcionamiento Después de unas horas de pensar y realizar algunos laboratorios llegue a la siguiente conclusion: “La mejor solución es crear zonas de seguridad asociadas a una interfaz o grupo interfaces”
¿Cómo sería esto?
Crear zonas de seguridad nos permitirá filtrar el tráfico entre ellas. Imaginemos que nuestro firewall tiene 3 Interfaces: Ether1: Conectada a Internet, Ether2: Conectada a la red LAN y Ether3: Conectada a una DMZ.
Según el razonamiento propuesto, quedaría de la siguiente manera:
Interfaz Zona IP Ether1 UNTRUST 192.168.81.0/24 Ether2 TRUST 192.168.86.0/24 Ether3 DMZ 190.68.122.0/29
Con éste esquema, todo lo que esté conectado en la interfaz ether1 será nuestra zona “UNTRUST” o salida a internet, ether2 “TRUST” será nuestra LAN y en la interfaz ether3 zona “DMZ” estarán nuestros servers expuestos.
Cada zona puede contener una o más redes e interfaces según el diseño.
Avanzando con éste idea…
¿Cómo maneja el flujo de datos?
RouterOS, el sistema que corre está basado en Linux. El flujo de datos se maneja con “chains” (cadenas) que por defecto son 3. El tráfico que viaja hacia el dispositivo se llama “INPUT”, el que viaja a través de él es “FORWARD” y el que sale desde él se llama “OUTPUT”.
INPUT
Se trata del tráfico dirigido desde una zona hacia el equipo. Por ejemplo, ejecutar ssh, ping, telnet o un escaneo desde la zona trust hacia el Gateway en “ether2” es un INPUT.
FORWARD
El flujo de datos entre zonas, se maneja a través de la chain “forward”. Por ejemplo, intentar acceder vía rdp desde la zona TRUST hacia un server en la zona DMZ o ingresar a una web vía HTTPs en la zona UNTRUST desde la zona TRUST.
Los filtros se aplicarán entre zonas. Podríamos solo permitir ping (echo request 0:0 y echo reply 0:8) desde la zona DMZ hacia la zona TRUST y HTTP (TCP 80) hacia la zona UNTRUST. Si algún equipo ubicado, en la zona DMZ intentara acceder a una web vía HTTPs (TCP 443) en la zona untrust no podría porque sólo le permitimos HTTP (TCP 80).
OUTPUT
Son los paquetes que genere el equipo. Por ejemplo, cuando configuramos los NTP Servers para sincronizar la hora necesita permisos para salir a una respectiva zona con el puerto UDP 123. Otro ejemplo, al momento configurar en el dispositivo los servers de DNS será necesario dar permisos de output TCP/UDP 53, hacia la zona en la que se encuentren los severs de DNS.
En el próximo artículo: ¿Cómo filtrar tráfico entre zonas?
Comments