Mòdul Professional 6 - UF5: Mikrotik Llistes Blanques

Índex

1. Llicència d'ús

by-nc-sa-eu_.png

https://creativecommons.org/licenses/by-nc-sa/3.0/es/legalcode.ca

2023 Raul Gimenez Herrada

https://alquimiabinaria.cat/

2. Previs

Recordeu que les llistes blanques impliquen que a menys que hi hagi una regla explicita, els paquets per defecte es descarten, per tant el primer que hem d'assegurar és la connectivcitat del equip que configura amb el router.

Per fer-ho es pot aconseguir de moltes formes, l'aproximació més fàcil és habilitant tant l'entrada com sortida de paquets per una interfície concreta que ens servirà d'interfície d'administració. En el nostre cas utilitzarem l'última interfície disponible al Mikrotik, la ether8.

Aquesta interfície tan sols haurà de ser accessible físicament i no estar connectada amb res, a menys que estiguem administrant el router amb el portàtil. D'aquesta forma ho assegurarem amb la protecció física de la infraestructura informàtica.

3. Regles bàsiques

3.1. Regles per defecte de llistes blanques

Descartem tots els paquets que prèviament no haguem acceptat. Ho farem per a les tres cadenes del tallafocs: INPUT OUTPUT FORWARD.

  • Input DROP
  • Output DROP
  • Forward DROP

3.1.1. Verificació

¿Podem fer ping des del router a hosts de les tres xarxes?

3.2. Regle NAT per accedir a Internet des de la xarxa Interna

Com ja vàrem veure a M5, cal fer un source nat per a modificar l'origen dels paquets que surten del nostre router cap a Internet, així sabràn com tornar.

3.2.1. Verificació

Des desde un host de la DMZ o Xarxa Interna podem accedir a un host de Internet?

4. Funcionalitats a activar per a la Xarxa Interna

4.1. Eines de diagnòstic de xarxa

Principalment permetre ping a tot arreu. Quin protocol és?

4.2. Navegació des de la xarxa interna

Per aconseguir navegar caldrà veure quines connexions estàn implicades en la navegació web i caracteritzar els paquets per port de destí, interfície d'origen, interfícies de destí i protocol. També veurem que crearem unes regles genèriques referents als estats dels paquets.

4.3. Actualització i instal·lació de paqueteria

5. Funcionalitats a activar per a la DMZ

5.1. Accés administratiu des de la Xarxa Interna

L'administrador (que simularem amb el Debian Estació de Treball) necessitarà accés per SSH als equips de la DMZ. Però no volem que els altres usuaris de la xarxa ho puguin fer… per tant farem un filtratge per IP i MAC del pc de l'administrador.

5.2. Accés als serveis de la DMZ

Aquí fixem-nos de nou en les connexions necessàries i en el fet que per permetre les connexions desde Internet cal fer un Destination NAT.

Data: 2024-01-07 dg. 00:00

Autor: Raul Gimenez Herrada

Created: 2024-01-15 dl. 08:24