Todas las direcciones IP públicas disponibles son escaneadas constantemente por bots y servicios como shodan.io, y cualquiera puede usar esta información para realizar ataques de fuerza bruta y ejecutar cualquier exploit conocido. El ataque de puertos es una forma rentable de protegerse contra esto, ya que no expone ningún puerto y simplemente escucha los intentos de conexión. Si se realiza la secuencia correcta de intentos de conexión, el cliente se considera seguro y se añade a una lista de direcciones seguras que eluden las reglas del firewall WAN.
Ejemplo de configuración
Suponemos que ya has configurado un firewall que bloquea todos los intentos de conexión desde el puerto WAN, por lo que deberás agregar reglas adicionales.
Primero, crea una regla de firewall que escuche en un puerto determinado y agregue la IP de origen conectada a una lista de direcciones; este es el primer paso.
u0026lt;codeu003e/ip/firewall/filter add action=add-src-to-address-list address-list=888 address-list-timeout=30s chain=input dst-port=888 in-interface-list=WAN protocol=tcpu0026lt;/codeu003eLuego, agrega una regla que haga lo mismo en otro puerto, pero que sólo apruebe las IP que ya están en la primera lista. Puedes repetir este paso tantas veces como quieras.
u0026lt;codeu003e/ip/firewall/filter add action=add-src-to-address-list address-list=555 address-list-timeout=30s chain=input dst-port=555 in-interface-list=WAN protocol=tcp src-address-list=888u0026lt;/codeu003eFinalmente, el último golpe se agregará a una lista de IP confiable y se aceptará cualquier entrada.
u0026lt;codeu003e/ip/firewall/filter add action=add-src-to-address-list address-list=secured address-list-timeout=30m chain=input dst-port=222 in-interface-list=WAN protocol=tcp src-address-list=555 /ip/firewall/filter add action=accept chain=input in-interface-list=WAN src-address-list=securedu0026lt;/codeu003eToque para acceder
Para acceder a la placa desde la WAN, se puede utilizar un cliente que toca puertos, pero una simple línea de bash con nmap puede hacer el trabajo.
u0026lt;codeu003efor x in 888,555,222; do nmap -p $x -Pn xx.xx.xx.xx; doneu0026lt;/codeu003eBlacklists
A menos que uses muchos golpes, un simple escaneo de puertos podría activar accidentalmente los puertos correctos en el orden correcto, por lo que es recomendable agregar también una lista negra.
En la parte superior de tu pila de firewall, agrega una regla de eliminación para la lista negra.
u0026lt;codeu003e/ip/firewall/filter add action=drop chain=input disabled=yes in-interface-list=WAN src-address-list=blacklistu0026lt;/codeu003eLuego, agrega las IP sospechosas a la lista negra.
Puertos defectuosos: aquellos que nunca serán utilizados por un usuario confiable y, por lo tanto, tienen una alta penalización de tiempo de espera.
u0026lt;codeu003e/ip/firewall/filter add action=add-src-to-address-list address-list=blacklist address-list-timeout=1000m chain=input disabled=yes dst-port=666 in-interface-list=WAN protocol=tcpu0026lt;/codeu003ePuertos que ralentizan significativamente el proceso de escaneo de puertos hasta el punto de hacerlo inútil, pero que nunca bloquearán a un usuario real por mucho tiempo.
Esto podría incluir todos los puertos, excepto los puertos de acceso no autorizado. La clave es que la IP de origen no esté ya en la lista segura y, por lo tanto, esos puertos se puedan usar después de un acceso no autorizado exitoso.
u0026lt;codeu003e/ip/firewall/filter add action=add-src-to-address-list address-list=blacklist address-list-timeout=1m chain=input disabled=yes dst-port=21,22,23,8291,10000-60000 in-interface-list=WAN protocol=tcp src-address-list=!securedu0026lt;/codeu003eLas reglas de lista negra de esta sección se han añadido con la opción «disabled=yes» para evitar bloquear al usuario. Habilita las reglas de filtro una vez que el acceso alternativo esté disponible o utiliza el <Modo seguro>.
Utiliza una frase de contraseña para cada golpe
Podrías ir incluso más allá y enviar una frase de contraseña con cada golpe.
Advertencia: Las reglas de capa 7 consumen muchos recursos. No las uses a menos que sepas lo que haces.
A continuación, crea una comprobación de expresiones regulares de capa 7 que pueda solicitarse en la regla de toque.
u0026lt;codeu003e/ip firewall layer7-protocol add name=pass regexp=u0022^passphrase/$u0022u0026lt;bru003e/ip firewall filteru0026lt;bru003eadd action=add-src-to-address-list address-list=888 address-list-timeout=30s chain=input dst-port=888 in-interface-list=WAN protocol=udp layer7-protocol=passu0026lt;/codeu003eCreado por Normunds R., actualizado por última vez por Gļebs K. el sept 02, 2024
Ayuda de Mikrotik
Ilustración propia, generada con IA
