Saltar a contenido

TP - INTRODUCCIÓN A FIREWALL EN MIKROTIK

Este trabajo práctico se centra en la implementación de una política de seguridad corporativa avanzada utilizando el firewall de MikroTik. El objetivo principal es transformar una red con conectividad básica en un entorno seguro y segmentado, donde el acceso a los recursos se controla estrictamente según el rol de cada usuario dentro de la empresa.

Para poder concentrarnos exclusivamente en las tareas de seguridad, partiremos de una red base ya operativa. Esta configuración inicial incluye un switch con las VLANs ya definidas (IT, Empleados e Invitados) y un router MikroTik nateado que ya provee conectividad básica a Internet a través de sus interfaces VLAN y servicios DHCP.

A partir de este punto, nuestro trabajo será construir las "murallas" y "reglas de acceso" lógicas para proteger la infraestructura y aplicar las políticas de la empresa.

Descripción del laboratorio

Esta práctica se desarrolla en un laboratorio virtual de PNETLab, diseñado para simular una red corporativa real con múltiples segmentos de red.

Topología

El siguiente diagrama muestra la arquitectura de la red que implementaremos. Se utiliza una topología "Router on a Stick", donde un único enlace troncal (trunk) desde el router hacia el switch transporta el tráfico de todas las VLANs.

Windows Firewall
Topología de red de ejemplo

Conexionado

En el presente ejemplo, la interconexión de los equipos virtuales en PNETLab se realizará de la siguiente manera:

ROUTER MIKROTIK

Interfaz propia Conexión
ether1 INTERNET
ether2 e0/0 SWITCH CISCO L2

SWITCH CISCO L2

Interfaz propia Conexión
e0/0 ether2 ROUTER MIKROTIK
e0/1 eth0 Linux Q4OS/Ubuntu (VLAN IT)
e0/2 eth0 Linux Q4OS/Ubuntu (VLAN Empleados)
e0/3 eth0 Linux Q4OS/Ubuntu (VLAN Invitados)

Tabla de subnetting y VLANs

A partir de la red entregada (por ejemplo, 192.168.50.0/24), deberá realizarse el subneteo (VLSM) para optimizar el uso de direcciones, según la cantidad de hosts requeridos por subred: IT (6 hosts), EMPLEADOS (63 hosts) e INVITADOS (30 hosts).

Práctica de Firewall

Tu tarea es implementar las siguientes políticas de seguridad para proteger la red de la empresa y controlar el acceso según el rol de cada usuario.

Tarea 1: Establecer la base de seguridad (firewall stateful)

  • Situación: Todo firewall moderno debe ser stateful. Esta es la configuración base para optimizar el rendimiento y la seguridad.
  • Consigna:
    • En las cadenas input y forward, crear reglas al inicio para aceptar ✅ tráfico established y related.
    • Crear reglas para descartar ❌ tráfico invalid.
  • Indicador de éxito: Los contadores de estas reglas aumentan con el tráfico normal.

Tarea 2: Asegurar el acceso administrativo

  • Situación: El router es el punto más crítico de la red. Esta tarea blinda el acceso administrativo.
  • Consigna:
  • Crear una Address List para la IP estática de la PC de IT (ej: IT_ADMIN_IP con 192.168.50.98).
  • Crear Address Lists para cada subred (ej: LAN_IT, LAN_EMPLEADOS, LAN_INVITADOS).
  • Permitir en la cadena input el acceso por SSH (TCP 22) y WinBox (TCP 8291) solo si el origen está en IT_ADMIN_IP.
  • Permitir en input el tráfico ICMP (ping) que se origine únicamente en la Address List de la VLAN de IT.
  • Permitir en input consultas DNS (UDP/TCP 53) desde todas las VLANs internas.
  • Nota: El bloqueo final para el tráfico no autorizado en esta cadena se implementará en la Tarea 5.

  • Opcional (pero recomendado): Deshabilitá todos los servicios innecesarios del router (telnet, www, ftp, api) y bloqueá la gestión por capa 2 (MAC-Winbox/MAC-SSH) para que solo se use IP.

  • Indicador de éxito:

  • ✅ Solo la PC de IT puede acceder al router por SSH/WinBox y hacerle ping.

  • ❌ Desde otras VLANs, el acceso administrativo y el ping al router son denegados.

  • ✅ Todos los clientes pueden usar el router para resolver nombres de dominio.

Tarea 3: Control de navegación con listas dinámicas (FQDN)

  • Situación: Aplicar políticas de navegación diferenciadas usando listas por FQDN (RouterOS v7+).
  • Consigna:
  • Lista Negra (Empleados):
    • Crear la Address List Sitios_Bloqueados con dominios como facebook.com, instagram.com, x.com, etc.
    • Bloquear en forward el tráfico desde la Address List de Empleados si el destino es la lista Sitios_Bloqueados.
  • Lista Blanca (Invitados):
    • Crear la Address List Servicios_Permitidos con dominios como gmail.com, google.com, mercadopago.com.ar, mercadopago.com, mercadolibre.com, mercadolibre.com.ar, paypal.com, etc.
    • Permitir en forward el tráfico web (TCP 80/443) desde la Address List de Invitados solo si el destino está en la lista.
    • Bloquear todo el resto del tráfico que se origine en la Address List de Invitados.
  • Indicador de éxito:
  • ✅ Empleados no pueden acceder a redes sociales, pero sí a otros sitios permitidos.
  • ✅ Invitados solo pueden acceder a los servicios de la lista blanca y no tienen navegación libre.

Tarea 4: Aislamiento de redes y acceso controlado

  • Situación: Aplicar "confianza cero" entre redes, aislando IT de Empleados, salvo un portal web específico.

  • Consigna (Parte A)

  • Instalación del Servidor (en la PC de IT) Instalar Apache para alojar http://<IP_SERVIDOR_IT> en la PC de IT (Ubuntu/Q4OS).

# Actualizar sistema e instalar el paquete
sudo apt update && sudo apt install apache2 -y

# Crear la página de inicio en la raíz del sitio
sudo sh -c 'echo "<h1>Servidor Interno de IT</h1>" > /var/www/html/index.html'

# Asignar la propiedad al usuario 'www-data'
sudo chown -R www-data:www-data /var/www/html

# Iniciar y habilitar el servicio
sudo systemctl start apache2
sudo systemctl enable apache2
  • Indicador de éxito:

  • ✅ Para verificar que el servidor funciona correctamente, abrí un navegador web en la misma PC de IT y visitá la dirección http://localhost. Deberías ver el mensaje "Servidor Interno de IT".

  • Consigna (Parte B)

    • Firewall en MikroTik Para implementar esta política de forma estricta, aplicarás tres reglas en forward en el siguiente orden:
      • Bloquear Ping: Drop tráfico ICMP desde la Address List de Empleados a la de IT.
      • Permitir Acceso Web (Excepción): Accept tráfico TCP 80 desde la Address List de Empleados hacia la IP <IP_SERVIDOR_IT>.
      • Bloquear el Resto: Drop todo el resto del tráfico desde la Address List de Empleados hacia la de IT.

    • Indicadores de Éxito:

      • ✅ Desde la PC de Empleados, se puede acceder al servidor web en http://<IP_SERVIDOR_IT>/.

      • ❌ El ping desde Empleados a la PC de IT falla.

      • ❌ Cualquier otro intento de conexión desde Empleados a IT (ej: por SSH) es bloqueado.

      • ✅ En WinBox, los contadores de las tres reglas de firewall aumentan al realizar las pruebas.

Tarea 5: Permitir salida a internet, bloqueo final y logs

  • Situación: Cerrar la política de seguridad, permitir el acceso a Internet a las redes autorizadas y registrar eventos importantes.
  • Consigna:
  • Permitir salida a Internet: Crear una regla accept en forward para que las VLANs de IT y Empleados puedan navegar a Internet. (La red de Invitados ya tiene su política de whitelist definida en la Tarea 3).
  • Drop Final: Asegurarse de que la última regla de input y forward sea action=drop.
  • Logging: Activar Log=yes en las reglas de drop final, utilizando un prefijo claro (ej: ACCESO-INVALIDO) y un Limit.
  • Indicadores de éxito:
  • ✅ Los equipos tienen acceso a internet y se aplican filtros según subred.
  • ✅ Los intentos de acceso no autorizados quedan registrados en el Log de MikroTik.