Entradas

Bloquear Dominios en Mikrotik

Bloquear dominios en Mikrotik

Mikrotik, como un Firewall, tiene muchas posibilidades, que podemos aprovechar para controlar y gestionar mejor nuestra red.

Vamos a ver un ejemplo de lo que podríamos hacer con ella. En este caso lo que vamos a hacer es ver las distintas formas que tenemos de bloquear el acceso a un dominio, sus ventajas e inconvenientes. Hay webs que responden de una sola IP pública, pero otros responden a muchas.

En nuestro ejemplo vamos a bloquear la red social Facebook.

Ejemplo: Bloquear la red social Facebook en Mikrotik

Opción 1 – Bloqueo por rangos de IPs

Facebook, como empresa, dispone de varios rangos de direcciones IPs públicas para sus servidores. Estos rangos se pueden consultar en páginas como esta de Hurricane Electric.

Con esos rangos, podríamos generar una lista de direcciones para poder trabajar con todos ellos de forma más cómoda:

Bloquear_Dominios_Mikrotik

Luego, en el apartado Firewall -> Filter, podríamos generar una regla de Firewall que bloquease el acceso hacia esa lista de direcciones.

Con esto conseguimos bloquear cualquier acceso al dominio, la desventaja viene por tener que revisar periódicamente que esos rangos no hayan cambiado, no hayan nuevos, etc…, y además, según lo que se quiera bloquear, nos podemos encontrar con una muy larga lista de rangos, difícil de mantener y de generar, sobre todo, la primera vez.

Opción 2 – Bloqueo por Content

Con el firewall de Mikrotik podemos llegar a ver el contenido de un paquete, en la regla de bloqueo en Firewall -> Filter, podemos no indicar ninguna dirección IP, ni protocolo, e indicar un contenido:

Bloquear_Dominios_Mikrotik

Así conseguimos bloquear cualquier paquete que contenga esa palabra, el problema es que podríamos llegar a bloquear otras páginas, ya que es una forma muy genérica de bloqueo, al contener la palabra Facebook, cualquier página que la contenga, podría llegar a ser bloqueada.

Opción 3 – Bloqueo por DNS

No es sólo aplicable a Mikrotik, pero si no queremos que NADIE de nuestra red pueda acceder a un dominio, podemos poner una entrada DNS en el DNS de nuestros equipos y hacer que ese registro apunte a 127.0.0.1, de forma que cuando se quiera acceder, no salga la petición del propio equipo, recordemos que es la dirección loopback de nuestro equipo.

La desventaja, es que lo bloqueamos a todo equipo de nuestra red que consulte al DNS donde lo hemos aplicado.

Opción 4 – Bloqueo por nombre de dominio

A partir de la versión 6.36 de Mikrotik, se pueden generar listas de direcciones que apunten a un nombre de dominio. Por tanto, la idea es generar estas listas basadas en el nombre de dominio.

Lo primero es analizar que para acceder a Facebook nos veremos muchas veces con las siguientes formas de hacerlo: www.facebook.com, facebook.com, es-es.facebook.com, etc.

Después en IP -> DNS, tenemos que comprobar, si ya no lo teníamos antes, que la Mikrotik tiene alguna configurada para poder resolver nombres de dominio.

Así que en nuestro caso generamos una lista de direcciones que contenga las tres posiblidades anteriores:
Bloquear_Dominios_Mikrotik
Con esto, nuestra Mikrotik resolverá estos dominios, como vemos genera unas entradas dinámicas con las IPs que resuelve, que se actualizan cuando la entrada en el DNS caduca, y con una regla de Firewall podemos bloquear el acceso a esa address list.

Esta es la forma más cómoda de realizar el bloqueo, ya que prácticamente dejamos que la Mikrotik gestione qué direcciones resuelve el dominio en cualquier momento. Sólo tenemos que tener en cuenta que nuestro DNS sea la Mikrotik, o bien el DNS de la Mikrotik sea el mismo que el nuestro.

Esto lo podemos aplicar a cualquier otro dominio, y haciendo uso de las listas de direcciones, se pueden definir listas de PCs de nuestra red, y permitir y denegar acceso a ciertas webs, dependiendo de nuestros intereses.

 
red-wifi_mikrotik

Agregar una red WiFi virtual en Mikortik

Se puede dar el caso de que necesitemos más de una red Wifi en Mikrotik, para dar servicio a otro tipo de clientes inalámbricos, y ser esta Mikrotik el Firewall y puerta de enlace de nuestra red.

CONFIGURAR UNA RED VIRTUAL WIFI CON MIKROTIK

Para configurar una red virtual wifi con Mikrotik, lo primero que debemos valorar es si queremos que la red sea totalmente abierta (sin contraseña) o se deba solicitar una contraseña para poder acceder. La recomendación es proteger la red con contraseña con autenticación WPA2 PSL y y cifrado aes ccm.

En nuestro caso vamos a proceder de esta forma. Accedemos a Wireless -> Security Profiles. Añadimos uno nuevo, y lo configuramos:

AGREGAR UNA RED WIFI VIRTUAL

Ahora, accedemos al menú Wireless -> Interfaces. En él pulsamos sobre el símbolo + y pulsamos sobre VirtualAP:

AGREGAR UNA RED WIFI VIRTUAL

En el apartado Wireless definimos los parámetros que nos interesan:

AGREGAR UNA RED WIFI VIRTUAL

En este caso vemos las opciones disponibles con más detalle:

  • SSID: Nombre de la red Wifi
  • Master Interface: interfaz física sobre la que funcionará la red Wifi.
  • Security profile: perfil que hemos generado anteriormente con la contraseña deseada.
  • Default authenticate. Si se deja habilitado, cualquiera que tenga la contraseña podrá conectarse. Si se deshabilita, aun si se tiene la contraseña, sólo aquellos dispositivos cuya dirección MAC esté permitida en el apartado Access List podrán conectar.
  • Default Forward. Si se deja deshabilitada, los equipos conectados a esa red Wifi no podrán comunicarse entre sí (si no se va a compartir archivos, impresoras, o cualquier otra cosa que necesite comunicación entre los clientes de la red Wifi, lo normal es que esté deshabilitado). En cambio, si se habilita, los dispositivos tendrán visibilidad unos con otros.
  • Hide SSID. Si queremos ocultar el SSID de la red, habilitamos esa opción. De esta forma sólo aquellos que tengan la red configurada en su dispositivo podrán ver la red y conectarse.

Ejemplo: Configurar Red Wifi invitados

Tras configurar todo esto en Mikrotik, sólo nos quedaría definir el uso que se le va a dar. Vamos a suponer que ya teníamos una red Wifi configurada para dar acceso a la red de nuestra empresa, por lo que esta Wifi la trataremos como una red de invitados.

Añadiríamos una IP, de un rango totalmente distinto al que ya tengamos, a la nueva interfaz (wlanx), y podríamos configurar un servidor DHCP sobre esa interfaz. De esa forma los equipos que se conecten podrán obtener una dirección IP. Además, generaremos la regla de NAT necesaria para enmascarar ese tráfico y que de esta forma tengan salida a Internet.

Como es una red sobre nuestra puerta de enlace, tenemos que generar ciertas políticas para protegernos, como puede ser realizar las reglas de bloqueo en el firewall para que desde esa red no se pueda acceder a la red corporativa, restringir la visibilidad de en IP-> Neighbors, para que con Winbox no puedan detectar de forma sencilla que se están conectando a un dispositivo Routerboard, ni visualizar la identidad, versión y modelo del mismo.

Resumiendo, en Mikrotik podemos generar Virtual APs, puntos de acceso virtuales, no sólo uno, si no varios de ellos. La utilidad que le podamos dar a cada uno, depende de nuestras necesidades, lo que siempre es importante es hacer los despliegues de estas redes poniendo como una parte importante las implicaciones a nivel de seguridad que pueda tener sobre nuestros sistemas.

Además, con Mikrotik, si tenemos distintos puntos de acceso desplegados por nuestra red, podemos controlarlos todos desde nuestro Firewall, con la herramienta CAPsMAN incluida en todos los modelos de Mikrotik de forma totalmente gratuita.