Páginas

lunes, 21 de septiembre de 2020

FastTrack Mikrotik

Según la wiki de Mikrotik "El controlador IPv4 FastTrack se utiliza automáticamente para las conexiones marcadas. Utilice la acción del cortafuegos "fasttrack-connection" para marcar conexiones para FastTrack."

En otras palabras, es un método para acelerar el flujo de paquetes a través del router. Las conexiones establecidas o relacionadas se pueden marcar para fasttrack. De manera que omite todo el procesamiento del firewall, el seguimiento de la conexión, la cola simple entre otras. Podemos hacer fasttrack a los protocolos tcp y udp. Hay que tener en cuenta que si aplicamos fasttrack no podremos utilizar las colas simples ni el queue tree.

Reglas para habilitar el fasttrack:

/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related
/ip firewall filter add chain=forward action=accept connection-state=established,related

La segunda regla es para dejar pasar los paquetes que no pueden hacer fasttrack.







Mikrotik es genial!.
Posted by at No hay comentarios:
Labels: , , , ,

domingo, 20 de septiembre de 2020

Firewall Bridge - PPPoE

Las interfaces bridge en RouterOS soportan el firewall. El flujo de tráfico que pasa por el bridge puede ser procesado por el Bridge Firewall y se se activa desde Bridge - Settings - Use IP Firewall (por defecto esta opción viene desactivada). Es importante activar el uso de Use IP Firewall para que los paquetes pasen los procesos que contienen Prerouting, Forward y Postrouting.



En RouterOS hay otro tipo de Firewall que es el Bridge Firewall que opera en capa 2 del modelo OSI (a diferencia del El IP Firewall que opera en capa 3). En capa 2 a nivel de MAC se manejan Frame que no tienen una dirección IP, tiene la MAC de origen y la MAC destino y alguna otra información en el header.

Vamos a implementar el filtrado de paquetes y añadir una capa de seguridad en el flujo desde y a través del bridge. Por defecto la comunicación en capa 2 no se le aplica ninguna medida de seguridad. RouterOS tiene una opción Bridge Firewall que puede utilizarse siempre que tengamos un bridge en el dispositivo para poder filtrar el contenido entre los puertos que pertenecen al bridge.

En la actualidad la mayoría de ISP utilizan el protocolo PPPoE. Un equipo principal que será el Servidor PPPoE y en el otro extremo un Cliente conectado a través de fibra óptica, cobre, link inalámbrico o cualquier otro medio conectando nuestro router con el cliente final y utilizando el protocolo PPPoE se le entrega una dirección IP y los límites de ancho de banda. 

La seguridad la implementaremos en el Switch en modo bridge para permitir solo el tráfico PPPoE. Ningún otro tráfico será permitido. Utilizaremos GNS3 e imágenes CHR.

Es imprescindible que el Switch utilice el sistema RouterOS



Abrimos el Winbox y veremos los tres dispositivos que vamos a utilizar

Accedemos al Server a través de Cloud (conexión loopback que me permite acceder a los equipos virtuales).  


Cambiamos el nombre a los dispositivos para poder identificarlos



Vamos a IP Neighbors para averiguar a que interfaz está conectado al Switch



Renombrar la interfaz para saber cual es el puerto que comunica con el Switch


Asignar una dirección IP al puerto ether4_switch. 
 


Tenemos que activar Use IP Firewall en la pestaña Settings del Bridge.




Habilitar un servidor PPPoE en la interfaz en la que tendremos conectado nuestro cliente. 


Añadir un usuario que será utilizado por nuestro cliente, el Service pppoe, el profile default, la dirección local y la dirección remota. 


En el perfil limitamos la velocidad de subida y bajada a 10Mb para que cuando el cliente se conecte con el perfil default utilice una cola simple de 10Mb de velocidad. 


Configuración del cliente


Bridge cliente y puertos. 


En el cliente vamos a IP Neighbors para saber a que puerto está conectado el Switch 


Cambiamos el nombre de la interfaz Necesitamos agregar un cliente pppoe


Cambiamos el nombre de la interfaz


En Dial Out introducimos el usuario y contraseña que definimos en el servidor y agregar ruta por defecto


En Interface List vemos que ya está conectado


En Status vemos la dirección IP local y la dirección IP remota 


En IP Address veremos una dirección IP asignada dinámicamente 


 Agregamos una IP a la interfaz física que comunica con el Switch para tener un tipo de comunicación diferente al PPPoE y poder bloquearlo desde Filters Bridge del Switch para permitir el tráfico solo pppoe.

Al hacer ping a la dirección del Servidor obtenemos respuesta


y si hacemos ping a la ip de la interfaz física del servidor y también obtenemos respuesta. Luego estableceremos reglas en el Switch para impedir está tráfico.


Vamos al Switch 


Nos conectamos a través de Winbox


Activamos en Bridge Settings todas las opciones


El bridge y puertos del Switch



En Bridge Filters habilitamos las reglas que permitan la autenticación y el tráfico PPPoE 





Las diferentes opciones MAC Protocol


Regla que bloquea el resto del tráfico.




Nos volvemos a conectar al cliente para comprobar que solo el tráfico PPPoE está permitido





Mikrotik es genial!.
Posted by at No hay comentarios:
Labels: , , , , , , , ,

miércoles, 2 de septiembre de 2020

ARP (Address Resolution Protocol) Mikrotik

ARP crea una relación entre la dirección IP (layer 3) con la MAC address (layer 2). Opera de forma dinámica aunque puede ser configurado manualmente. La tabla ARP nos da información de la dirección IP, la dirección MAC y la interfaz en la cual está conectado el dispositivo. El tamaño de la Table ARP depende de la cantidad de dispositivos conectados.


Static ARP

seguridad

las entradas ARP pueden ser agregadas manualmente. La interfaz de red puede ser configurada a reply-only, de manera que solo aceptará entradas manuales. Los routers de los clientes no tendrán acceso a Internet si utilizan una IP diferente a la asignada. Si un usuario cambia su dirección IP sin nuestra autorización no coincidirá con la agregada manualmente a la tabla ARP y no tendrá conexión a Internet.



Las entradas ARP pueden ser convertidas en estática dando doble clic y clicando en Make Static. Pasa de dinámica estática. En el signo + puedo asignar una entrada estática a ARP, poniendo la dirección IP, la MAC address y la interfaz. Podemos agregar cualquier cantidad de clientes repitiendo el proceso. Es el primer mecanismo para agregar Static ARP.




El siguiente paso es ir a Interface, doble clic en la interfaz y en la entrada ARP cambiamos enabled por reply-only. A partir de este momento la interfaz solo aceptará entradas ARP estáticas o manuales, no dinámicas. Si se conecta alguien con un cable a cualquier entrada Ethernet no va a tener acceso a Internet porque no lo tenemos registrado en la Table ARP.



DHCP Server puede agregar entradas dinámicamente ARP combinando ¨static leases y ¨reply only ARP¨ combinando seguridad y facilidad de uso. Entramos en DHCP Server para poner la entrada Address Only en ¨static only¨ y en la parte inferior veremos ¨Add ARP For Leales¨, de manera que, cuando un cliente se conecte nos agregará una entrada a la tabla ARP.



Si elimino la tabla ARP me desconectará del Winbox. Para ingresar tengo que renovar la dirección IP, en el momento que el DHCP Server me asigne una dirección IP seré agregado a la tabla ARP. Ahora desconecto el cable de mi portátil y lo conecto de nuevo y ya tendré acceso. En IP ARP estará la entrada marcada como DCH - dynamic, complete, DHCP.

Mikrotik es genial!.

Posted by at 1 comentario:
Labels: , , , , , , , ,
Suscribirse a: Entradas (Atom)