Configuración actual de Firewall

Hola,

Una consulta, a continuación os pego la configuración que tengo de mi Firewall para el RB4011. Como la tengo desde hace tanto tiempo, me gustaría saber si veis alguna cosa que pueda ser mejorable o incluso algún problema o vulnerabilidad que veáis que puedo tener con esta config.

Cualquier ayuda, aporte será bienvenida. Se trata de ser crítico!

A ver qué os parece:

/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment=\
"Acepta el trafico de la vlan del telefono" disabled=yes in-interface=\
vlan3 src-address=10.0.0.0/8
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN

/ip firewall mangle
add action=set-priority chain=postrouting disabled=yes new-priority=4 \
out-interface=vlan3 passthrough=yes
add action=set-priority chain=postrouting new-priority=1 out-interface=\
pppoe-out1

/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes ports=5060,5070
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api-ssl disabled=yes
 
Yo el firewall lo dejaría así (te modifico la regla del voip, para afinarla al máximo y únicamente aceptar RIP, unifico 4500 y 500 en una única regla y sólo acepto la conexión L2TP si viene encriptada)
Código:
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="voip: allow voip" dst-address=224.0.0.9 \
    dst-port=520 in-interface=vlan3 protocol=udp
add action=accept chain=input comment="vpn: allow IPsec" dst-port=4500,500 \
protocol=udp
add action=accept chain=input in-interface=WAN ipsec-policy=in,ipsec \
    comment="vpn: allow only l2tp encrypted with IPSec" dst-port=1701 protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN

Las reglas de mangle te las puedes ahorrar, no hacen nada, y yo no deshabilitaría el SIP en los servicios del router, lo dejaría así (tal y como viene por defecto)

1660840365424.png


Y, en los servicios, habilitaría SSH y metería una clave pública en el router, para poder acceder de forma segura por terminal y sin necesidad de usar una password.

Saludos!
 
Gracias @pokoyo

Alguna duda:

1.- Si unificamos las reglas del 4500 y 500, ¿no tendría sentido meter ahí también la del 1701? Todos estos puertos son para la VPN L2TP/IPSec.
2.- No utilizo, ni voy a utilizar tema de CAPsMAN. Croe que esta regla me viene por defecto. ¿Se puede evitar?
3.- ¿Cómo acotas a RIP solo en el tema VoIP?

Gracias!!!



Yo el firewall lo dejaría así (te modifico la regla del voip, para afinarla al máximo y únicamente aceptar RIP, unifico 4500 y 500 en una única regla y sólo acepto la conexión L2TP si viene encriptada)
Código:
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="voip: allow voip" dst-address=224.0.0.9 \
    dst-port=520 in-interface=vlan3 protocol=udp
add action=accept chain=input comment="vpn: allow IPsec" dst-port=4500,500 \
protocol=udp
add action=accept chain=input in-interface=WAN ipsec-policy=in,ipsec \
    comment="vpn: allow only l2tp encrypted with IPSec" dst-port=1701 protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN

Las reglas de mangle te las puedes ahorrar, no hacen nada, y yo no deshabilitaría el SIP en los servicios del router, lo dejaría así (tal y como viene por defecto)

Ver el adjunto 98160

Y, en los servicios, habilitaría SSH y metería una clave pública en el router, para poder acceder de forma segura por terminal y sin necesidad de usar una password.

Saludos!
 
1.- Si unificamos las reglas del 4500 y 500, ¿no tendría sentido meter ahí también la del 1701?
Puedes, pero en ese caso no aplicarías la regla de seguridad que te acabo de aplicar para que sólo se acepte tráfico para el 1701, si previamente viene encriptado (te pueden tocar a la puerta con el 4500/500, pero no con el 1701). Ahí ya, para gustos, colores. Ahora lo tienes un pelín más seguro de lo que lo tenías previo.


2.- No utilizo, ni voy a utilizar tema de CAPsMAN. Croe que esta regla me viene por defecto. ¿Se puede evitar?
La puedes borrar en ese caso. Sólo la usan equipos con wifi que implementen capsman y sean cap a su vez.


3.- ¿Cómo acotas a RIP solo en el tema VoIP?
Metiendo una regla tal y como la que ves. Que sólo acepta el tráfico de la IP Multicast que se usa para ese protocolo, de esa interfaz, y con destino el puerto 500.

Saludos!
 
Arriba