+ Responder ao Tópico



  1. #1

    Padrão Firewall input, proteger mikrotikDepois do

    Galera boa noite,
    depois do ultimo problema que tivemos com os UBNTs decidi compartilhar um pouco das coisas que uso pra aumentar a segurança contra essas coisas(virus,ataques,etc)...
    Então segue o meu primeiro vídeo montando um firewall no mikrotik, para proteger o equipamento contra acessos indevidos, seja de clientes, de funcionários, ou ate mesmo externos....



    quem quiser copiar o firewal direto sem ver o video segue as regras:

    /ip firewall filter
    add action=add-src-to-address-list address-list=toc-01 address-list-timeout=2m chain=input dst-port=10000 protocol=tcp
    add action=jump chain=input disabled=yes jump-target=entrada-00 protocol=!icmp
    add action=add-src-to-address-list address-list=toc-02 address-list-timeout=2m chain=input dst-port=1000 protocol=tcp src-address-list=toc-01
    add action=add-src-to-address-list address-list=toc-03 address-list-timeout=20s chain=input dst-port=20000 protocol=tcp src-address-list=toc-02
    add action=add-src-to-address-list address-list=autorizados address-list-timeout=1h chain=input dst-port=31 protocol=tcp src-address-list=toc-03
    add action=jump chain=entrada-00 jump-target=entrada-01 src-address-list=!autorizados
    add action=jump chain=entrada-01 connection-state=new jump-target=entrada-02
    add action=jump chain=entrada-02 jump-target=drop protocol=!ospf
    add action=drop chain=drop




    Se ajudei, crica na esterlina

  2. #2

    Padrão Re: Firewall input, proteger mikrotikDepois do

    Nao pude ver o video pois estou na 3g amigo, mas passando o olho nas regras, acredito que vc configurou um Port knocking, e apesar de nao muito atual, ainda é uma excelente estrategia de liberação de portas de acesso.

    Abraço

  3. #3

    Padrão Re: Firewall input, proteger mikrotikDepois do

    Sim, isso mesmo... Mas prefiro um termo n tecnico: "toc-toc"... Porem a enfase é bloqueio do acesso, o "toc-toc" Port knocking é para a galera não reclamar que precisa acessar de diferentes lugares... E imagino que quanto mais simples no começo, maior facilidade na implementação, e depois do pessoal ver como a melhora a segurança acredito que ai se empolguem (pelo menos uma parte), e busquem novas formas de aumentar a segurança...

    Cara não se se vc ja fez esse teste, mas depois escolhe alguns prefixos do brasil aleatórios que não seja das grandes operadoras, e usa um port scan... A quantidade de equipamentos completamente "abertos" é absurda, snmp,dns(conheco muitos q marcam "alow remote request" por acharem q sem isso o mtk n faz consultas dns), sem contar alguns q ainda deixam equipamentos com ip publico e senha default...

    O Brasil precisa de um mutirão para mudar essa realidade...