¿Cómo bloquear tráfico dns con mikrotik?

Es por eso, que la protección del tráfico DNS se ha convertido en una parte crucial de cualquier estrategia de seguridad en línea.

1. Introducción

La seguridad en la red es una preocupación cada vez mayor para empresas y particulares, especialmente con el aumento del tráfico DNS malicioso. Los ataques a través del tráfico DNS pueden tener graves consecuencias, incluyendo la propagación de malware, el robo de datos y la interrupción del servicio. Es por eso, que la protección del tráfico DNS se ha convertido en una parte crucial de cualquier estrategia de seguridad en línea.
MikroTik, cuenta con routers de alta capacidad, que cuentan con RouterOS como su operativo de enrutamiento, Firewall o QOS. RouterOS, ofrece una amplia gama de herramientas de seguridad para ayudar a proteger tu red.

En este artículo, exploraremos cómo bloquear el tráfico DNS no deseado o malicioso con MikroTik.
Cubriremos una variedad de técnicas y estrategias, desde la configuración de un firewall hasta el uso de listas de direcciones para bloquear sitios web específicos. También hablaremos sobre la importancia de añadir un sistema de DNS como Flahstart a nuestra protección.

2. Configurar tu router MikroTik para bloquear el tráfico DNS no deseado o malicioso

Configurar un router MikroTik para bloquear el tráfico DNS no deseado o malicioso es una medida importante para proteger tu red contra posibles amenazas y ataques cibernéticos. Los firewalls son una forma efectiva de proteger tu red, ya que pueden monitorear y filtrar el tráfico entrante y saliente en función de ciertas reglas y políticas de seguridad. Pero no es la única opción, veremos algunas alternativas en esta entrada.
RouterOS cuenta con un proxy DNS para la resolución y cache de la navegación en la red. El filtro sobre distintos contenidos en un router Mikrotik puede realizarse utilizando la función del DNS o directamente aplicando reglas de Firewall sobre el router. Puedes configurar reglas basadas en diferentes factores, como direcciones IP, puertos, protocolos o interfaces de red. También puedes definir reglas basadas en grupos de direcciones IP o en listas de dominios conocidos por ser maliciosos.
Para aplicar un filtro sobre un dominio particular podremos utilizar la opción de Static dentro del DNS y asignar un registro del tipo A hacia una IP interna o inexistente, de esa forma un usuario que busque ese dominio no podrá acceder.
Hay que tener en cuenta que, para realizar esta acción, el DNS del usuario tiene que ser nuestro router, hay muchas técnicas dentro de la configuración para que el usuario siempre utilice nuestro DNS como la acción Redirect, dentro del firewall.

En el siguiente ejemplo vemos como asignar la IP 2.2.2.2 al dominio Facebook.com, un usuario no podrá navegar hacia Facebook si realizamos esta entrada del tipo estática. También podremos utilizar una dirección IP interna con una web que indique “Acceso prohibido”, estas opciones siempre van a depender de las políticas y el administrador.

Es importante tener en cuenta que un firewall no es una solución única para proteger tu red contra ataques. Por lo tanto, es recomendable implementar medidas de seguridad adicionales, como reglas para protección de la red y los routers expuestos a internet. Esta es una de las formas que nos ofrece Mikrotik para bloquear el trafico DNS.


>> FlashStart está totalmente basado en la nube y es fácil de activar → Comience su prueba gratuita o solicite una cotizaciòn


3. Utilizar listas de dominios o direcciones IP para identificar y bloquear sitios web específicos o grupos de sitios web.

Mikrotik es muy flexible a la hora de realizar distintos ajustes sobre dominios, hay varias formas de filtrar contenido:

» Utilizando el Firewall con la opción content.
» Aplicar reglas del tipo TLS-Host.
» Utilizar el Address-list con dominios.

Veremos estas tres opciones a continuación.

3.1 Utilizar el firewall de Mikrotik con la opción content.

La opción «content» en el firewall de MikroTik es una herramienta que te permite filtrar el tráfico de red basado en su contenido. Esta opción te permite especificar palabras clave o patrones de texto que el firewall buscará en el tráfico de red entrante y saliente. Si se encuentra alguna coincidencia, se aplicará la acción definida en la regla del firewall correspondiente.

Por ejemplo, puedes configurar una regla en el firewall de MikroTik que busque cualquier paquete de red que contenga la palabra «videos». Si se encuentra un paquete que contenga esa palabra, la regla puede bloquear ese paquete o redirigirlo a otro servidor.

La opción «content» también puede ser útil para bloquear sitios web específicos o contenido inapropiado. Puedes configurar una regla en el firewall que busque una URL o palabra clave específica en el contenido del sitio web y bloquearlo si se encuentra. Recuerda que el tráfico en su gran mayoría es encriptado, utilizando HTTPS, si esta regla no es efectiva por este tráfico, hay otras opciones disponibles.

3.2 Aplicar reglas del tipo TLS-HOST

La opción «tls-host» en MikroTik es una característica del firewall que te permite identificar las direcciones IPS antes de que se produzca el Hand-shake del certificado y el tráfico se encripte. En esta parte de la negociación de los certificados, los datos no están encriptados.
Al configurar una regla de firewall con la opción «tls-host», puedes especificar el nombre de dominio, por ejemplo, *.facebook.com y añadir las direcciones IPS en una lista para su posterior control.

3.3 Utilizar el Address-list con dominios.

Si ya contamos con la última versión de software RouterOS, podremos utilizar los Address-list con nombres de dominio, esto quiere decir que si creamos un Address-list con el nombre Facebook y el dominio www.facebook.com, podrá identificar automáticamente esas direcciones IP.

Al navegar se añadirán las direcciones IP del dominio en un Address-list que puedo podremos bloquear.

4. Flashstart como integración DNS con Mikrotik

Es cierto que Mikrotik tiene muchas opciones de filtrado, pero muchas veces nos encontramos con muchos dominios asociados a un dominio principal, esto quiere decir que por ejemplo el dominio Facebook.com, está vinculado a distintos dominios como fb.com Facebook.es fbcdn.com, etc.

En estos casos un administrador va a requerir mucho tiempo de investigación y configuración. Utilizar un sistema de DNS como Flashtart integrado a nuestro router Mikrotik es una decisión más acertada. Hay que recordar que Mikrotik tiene altas capacidades de gestión, pero si buscamos filtrar de una forma más efectiva sin utilizar CPU de un router, Flashstart, es una excelente opción.

Flashstart tiene la capacidad de bloquear tráfico DNS solo especificando el dominio, gracias a su inteligencia artificial es capaz de identificar todos los dominios asociados, sin intervención del administrador todo el tiempo, solo va a requerir una pequeña configuración inicial de pocos minutos. Puedes consultar nuestra guía.

Podremos seleccionar los dominios categorizados en una lista o añadir nuestros propios dominios desde la sección “Personal Blacklist”.

5. Notas finales

En conclusión, bloquear el tráfico DNS no deseado o malicioso en tu red es una medida importante para proteger a los usuarios y evitar ataques cibernéticos. La configuración de un firewall en tu MikroTik puede ayudarte a bloquear el tráfico DNS no deseado o malicioso y, junto a integraciones como Flashstart realmente podrás bloquear el tráfico DNS de una forma segura.

En este artículo, hemos visto cómo bloquear el tráfico DNS en tu MikroTik mediante la creación de reglas de firewall y la configuración de la opción «content». También hemos visto cómo la opción «tls-host» puede ser utilizada para identificar el tráfico en sitios seguros y luego aplicar Address-List para su control.

Bloquear el tráfico DNS es una tarea compleja para un administrador si no cuenta con las herramientas adecuadas para esta necesidad. Flashstart realizará este trabajo por nosotros y ya no debemos preocuparnos por si se añaden nuestros sub-dominios a un dominio raíz, Flashtart podrá identificarlos y bloquear el tráfico DNS.

Puedes seguir estas recomendaciones de seguridad, para estar seguro de que estás protegiendo tu red contra posibles ataques cibernéticos y garantizando un entorno seguro y protegido para los usuarios de tu red.
¡Nos vemos en la próxima entrada!


>> FlashStart lo protege de una amplia gama de amenazas y bloquea el acceso a sitios web maliciosos → Comience su prueba gratuita o solicite una cotizaciòn


En cualquier Router y Firewall puede activar la protección FlashStart® Cloud para asegurar dispositivos de escritorio y móviles y dispositivos IdC en las redes locales.

Reading time 3 min
Dario NogueraBlogger & Trainer Mikrotik
Comparto conocimientos y experiencia en redes, especializándome en dispositivos Mikrotik. A través de blogs y cursos de formación, hago accesibles conceptos complejos a entusiastas y operadores de redes, proporcionándoles los recursos que necesitan para destacar en este campo.

Ver todas las entradas de Dario Noguera

Comparto conocimientos y experiencia en redes, especializándome en dispositivos Mikrotik. A través de blogs y cursos de formación, hago accesibles conceptos complejos a entusiastas y operadores de redes, proporcionándoles los recursos que necesitan para destacar en este campo.
Compartir:  
For information
click here
For a free trial
click here
For prices
click here
Follow us on
Linkedin | YouTube