Evitar Ataque a MikroTik Webproxy y DNS cache

fuente: http://www.ryohnosuke.com/foros/showthread.php?t=61

Bueno, ya muchos sabrán que MikroTik dispone de un Web Proxy server y un DNS Cache,
pero muchas veces al momento de configurarlo no solemos cololocar las reglas necesarias
para bloquear el acceso a estos recursos desde internet.

Muchos ser harán esta pregunta ¿Que podría pasar si no bloqueo el acceso a estos servicios
desde internet?

La respuesta no es muy complicada. Si el servicio está abierto, por ejemplo el webproxy,

cualquier tipo de spyware, malware o virus en general, podría informar esta falla de seguridad
en nuestro servidor y aprovecharse de nosotros haciendo peticiones desde nuestro web proxy
a internet, obviamente nos está consumiendo nuestra propia línea, y con más énfasis, nuestro
escaso upload.

Cuando esto ocurre, se siente una extraña lentitud, y un uso bastante desproporcionado del
upload del WAN respecto al upload de la interfaz de los clientes. Si se llega a abrir google
para hacer una búsqueda, este te devolverá un mensaje con en esta imagen.

Bueno, luego de tanto preámbulo, vamos al grano.

Bloqueo webproxy externo:

Código:

/ip firewall filter add action=drop chain=input comment="Bloqueo webproxy

externo" disabled=no dst-port=8080 in-interface=pppoe-out1 protocol=tcp

Bloqueo DNS cache externo:

Código:

/ip firewall filter add action=drop chain=input comment="Bloqueo DNS cache

externo" disabled=no dst-port=53 in-interface=pppoe-out1 protocol=udp
 Voy a desmantelar un poco la primera regla e intentaré explicarla para que se hagan una idea
de qué están copiando y pegando en sus servidores.

 action=drop, “arroja” los paquetes, no serán procesados.

 chain=input, utiliza la cadena input (conexiones y/o paqutes cuyo destino final sean el mismo
servidor).
 in-interface=pppoe-out1, interfaz de entrada de las conexiones y/o paquetes (que serán
bloqueados por action=drop), en este caso es el pppoe-out1. Se tiene que cambiar por la
interfaz WAN que corresponda.
 protocol=tcp, protocolo de transmisión, el más utilizando en internet junto con en protocolo
UDP.
 dst-port=8080, puerto destino (que será bloqueado por action=drop), por defecto de webproxy
es el puerto 8080.

Saludos
No tiene que ver la posicion de estas reglas, se supone que si estan abajo de todas funciona
igual verdad..?
Funcionan sí, pero revisa que no tengas un accept en la cadena input, arriba de estas que la
puedan inutilizar…

Evitar ataque de ping al servidor MikroTik

fuente: http://www.ryohnosuke.com/foros/showthread.php?t=28

Este ejemplo bloquea los packetes de 99 bytes a más.

Código:

/ip firewall filter add action=drop chain=input comment="" disabled=no in-

interface=pppoe-out1 packet-size=128-65535 protocol=icmp

in-interface, interfaz de entrada a limitar el ping. Puede ser LAN, WAN, etc.

packet-size, tamaño de paquetes a bloquear.

Nota: Si se quiere bloquear completamente el ping, simplemente hay que remover la parte
“packet-size”:
Código:

/ip firewall filter add action=drop chain=input comment="" disabled=no in-

interface=pppoe-out1 protocol=icmp

Saludos.

Prevenir ataque SSH y FTP

Bueno soy bastante nuevo esto pero he tenido ataques ftp y ssh y buscando y buscando
encontré la solución (tal vez conocida por muchos) para este tipo de problemas. Si estaba en
el foro no la encontré.

Como saber si te están atacando de estas dos formas? fácil, entra a log y veras algo como
esto.

este es el típico ataque ftp; en el ataque ssh es prácticamente lo mismo pero al final va el ssh.

Este script bloquea una ip al noveno intento fallido de conexion, donde al décimo intento, esta
ip entra en una lista donde se bloqueará por 3 horas (puedes modificar las horas a tu gusto)
Código:

/ip firewall filter

add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop

comment=”Bloquear Ataques FTP”

add chain=output action=accept protocol=tcp content=”530 Login incorrect” dst-

limit=1/1m,9,dst-address/1m

add chain=output action=add-dst-to-address-list protocol=tcp content=”530 Login incorrect”

address-list=ftp_blacklist address-list-timeout=3h

Este otro script bloquea la ip que intente cuatro intentos fallidos de conexion en un minuto.
Esta dirección ingresará a una lista donde se bloqueará cualquier ataque ssh proveniente de
esa ip por 10 dias (puedes modificar los días a tu gusto)

Código:

/ip firewall filter

add chain=input action=drop protocol=tcp src-address-list=ssh_blacklist dst-port=22
comment=”Proteccion VSC contra ataques via SSH”

add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-

address-list=ssh_stage3 address-list=ssh_blacklist address-list-timeout=1w3d dst-port=22

add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-

address-list=ssh_stage2 address-list=ssh_stage3 address-list-timeout=1m dst-port=22

add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-

address-list=ssh_stage1 address-list=ssh_stage2 address-list-timeout=1m dst-port=22

add chain=input action=add-src-to-address-list connection-state=new protocol=tcp address-

list=ssh_stage1 address-list-timeout=1m dst-port=22

Otra opción es cambiar los puertos en IP/Services. Personalmente intente cambiar el puerto
del ftp pero el ataque seguía asi que no funciono

en mi caso. Con el ataque ssh cambie el puerto y santo remedio pero nunca estan demás
estos script.

Espero que le sirva a mas de alguno

saludos

paquetes inválidos

fuente: http://www.ryohnosuke.com/foros/showthread.php?t=1776

/ip firewall filter

add action=drop chain=forward comment=”Filtra paquetes invalidos” connection-state=invalid
disabled=no
add action=accept chain=forward comment=”Acepta conecciones relacionadas” connection-
state=related disabled=no
add action=accept chain=forward comment=”Acepta conecciones Establecidas” connection-
state=established disabled=no

port scanners

fuente: http://www.ryohnosuke.com/foros/showthread.php?t=1776

add action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w

chain=input comment=”Port scanners to list ” disabled=no protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w
chain=input comment=”NMAP FIN Stealth scan” disabled=no protocol=tcp tcp-
flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w
chain=input comment=”SYN/FIN scan” disabled=no protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w
chain=input comment=”SYN/RST scan” disabled=no protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w
chain=input comment=”FIN/PSH/URG scan” disabled=no protocol=tcp tcp-
flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w
chain=input comment=”ALL/ALL scan” disabled=no protocol=tcp tcp-
flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=”port scanners” address-list-timeout=2w
chain=input comment=”NMAP NULL scan” disabled=no protocol=tcp tcp-
flags=!fin,!syn,!rst,!psh,!ack,!urg