Las interfaces bridge en RouterOS soportan el firewall. El flujo de tráfico que pasa por el bridge puede ser procesado por el Bridge Firewall y se se activa desde Bridge - Settings - Use IP Firewall (por defecto esta opción viene desactivada). Es importante activar el uso de Use IP Firewall para que los paquetes pasen los procesos que contienen Prerouting, Forward y Postrouting.
En RouterOS hay otro tipo de Firewall que es el Bridge Firewall que opera en capa 2 del modelo OSI (a diferencia del El IP Firewall que opera en capa 3). En capa 2 a nivel de MAC se manejan Frame que no tienen una dirección IP, tiene la MAC de origen y la MAC destino y alguna otra información en el header.
Vamos a implementar el filtrado de paquetes y añadir una capa de seguridad en el flujo desde y a través del bridge. Por defecto la comunicación en capa 2 no se le aplica ninguna medida de seguridad. RouterOS tiene una opción Bridge Firewall que puede utilizarse siempre que tengamos un bridge en el dispositivo para poder filtrar el contenido entre los puertos que pertenecen al bridge.
En la actualidad la mayoría de ISP utilizan el protocolo PPPoE. Un equipo principal que será el Servidor PPPoE y en el otro extremo un Cliente conectado a través de fibra óptica, cobre, link inalámbrico o cualquier otro medio conectando nuestro router con el cliente final y utilizando el protocolo PPPoE se le entrega una dirección IP y los límites de ancho de banda.
La seguridad la implementaremos en el Switch en modo bridge para permitir solo el tráfico PPPoE. Ningún otro tráfico será permitido. Utilizaremos GNS3 e imágenes CHR.
Es imprescindible que el Switch utilice el sistema RouterOS
Abrimos el Winbox y veremos los tres dispositivos que vamos a utilizar
Accedemos al Server a través de Cloud (conexión loopback que me permite acceder a los equipos virtuales).
Cambiamos el nombre a los dispositivos para poder identificarlos
Vamos a IP Neighbors para averiguar a que interfaz está conectado al Switch
Renombrar la interfaz para saber cual es el puerto que comunica con el Switch
Asignar una dirección IP al puerto ether4_switch.
Tenemos que activar Use IP Firewall en la pestaña Settings del Bridge.
Habilitar un servidor PPPoE en la interfaz en la que tendremos conectado nuestro cliente.
Añadir un usuario que será utilizado por nuestro cliente, el Service pppoe, el profile default, la dirección local y la dirección remota.
En el perfil limitamos la velocidad de subida y bajada a 10Mb para que cuando el cliente se conecte con el perfil default utilice una cola simple de 10Mb de velocidad.
Configuración del cliente
Bridge cliente y puertos.
En el cliente vamos a IP Neighbors para saber a que puerto está conectado el Switch
Cambiamos el nombre de la interfaz Necesitamos agregar un cliente pppoe
Cambiamos el nombre de la interfaz
En Dial Out introducimos el usuario y contraseña que definimos en el servidor y agregar ruta por defecto
En Interface List vemos que ya está conectado
En Status vemos la dirección IP local y la dirección IP remota
En IP Address veremos una dirección IP asignada dinámicamente
Agregamos una IP a la interfaz física que comunica con el Switch para tener un tipo de comunicación diferente al PPPoE y poder bloquearlo desde Filters Bridge del Switch para permitir el tráfico solo pppoe.
Al hacer ping a la dirección del Servidor obtenemos respuesta
y si hacemos ping a la ip de la interfaz física del servidor y también obtenemos respuesta. Luego estableceremos reglas en el Switch para impedir está tráfico.
Vamos al Switch
Nos conectamos a través de Winbox
Activamos en Bridge Settings todas las opciones
El bridge y puertos del Switch
En Bridge Filters habilitamos las reglas que permitan la autenticación y el tráfico PPPoE
Las diferentes opciones MAC Protocol
Regla que bloquea el resto del tráfico.
Nos volvemos a conectar al cliente para comprobar que solo el tráfico PPPoE está permitido
No hay comentarios:
Publicar un comentario