You are on page 1of 7

El amarre IP/MAC por ARP es una de las medidas de seguridad

ms bsicas que puede ofrecer el servidor MikroTik, y consiste


en tener una lista de relaciones IP/MAC registradas dentro del
servidor; de esa manera, si un intruso con un IP, o MAC, o
relacin IP/MAC distinto a los ya registrados intentara tener
internet, no tendr respuesta alguna ya que no est en la lista
de IP/MAC que registramos previamente.
Bueno, para empezar tendremos que agregar las IP/MAC de
nuestros clientes, para eso vamos a IP -> ARP

En la imagen de arriba veremos los IP's y MAC's de los


dispositivos (PC's, VoIP, Celulares,Routers, etc.) que se
agregaron automticamente a la lista de ARP, y sabemos que
fue automticamente porque tienen la letra "D" al lado izquierdo
de cada regla. Se agregan automticamente ya que tuvieron

cierta comunicacin con el servidor, podemos suponer que fue


porque solicitaron internet al server o viceversa (como el caso
de nuestro router: 192.168.1.1). Ntese que tambin aparece
la interfaz de red por donde se conectan, de la imagen de arriba
los IP's 192.168.10.x se conectan a la interfaz de red LAN,
o ether2, y el IP 192.168.1.1 a la interfaz de red WAN,
o ether1.
Por defecto, esta lista es dinmica, eso quiere decir que cuando
se pierde la comunicacin entre el dispositivo 'X' y el servidor,
su IP y MAC desaparece de la lista para luego volver a aparecer
si se llegara a conectar nuevamente y solicitar internet al server.
Entonces es hora de crear una lista esttica de IP/MAC que se
conectan al server a pedir internet, para eso hacemos doble
click a la regla dinmica, y presionamos el botn Make
Static de la ventana que aparecer.

Una vez que se presione Make Static, la letra "D" desaparecer


de la regla, as como esas 2 reglas de la imagen de arriba.
Cuando una regla de ARP es esttica, esta nunca desaparecer
de la lista.
No es necesario, y mucho menos recomendable, hacer que el
IP/MAC del router sea una regla esttica, ya que este no es uno
de nuestros clientes y obviamente no accede desde la interfaz
LAN de nuestro server, ether2 en este caso.
En el caso que tengamos otros clientes, entonces tendremos
que agregarlos manualmente, en este caso presionamos el
botn (+), y veremos una ventana como esta:

IP Address, aqu colocaremos el IP del PC de nuestro cliente o


dispositivo de red que necesite internet, con esto ltimo
quiero decir que NO colocaremos el IP de los access points, ya
que estos no necesitan internet. La nica excepcin sera
aquellos AP Routers que estn configurados como router cliente,
aunque este caso estara dentro de los 'dispositivos de red que
necesiten internet' as que si se diese el caso, colocaramos el
WAN IP de ese AP Router (y ya no los IP's de los clientes
conectados a ese AP Router, ya que estaran en una red distinta
a la nuestra).
MAC Address; aqu tiene que ir el MAC del PC de nuestro
cliente o dispositivo de red que necesite internet, aqu hay 2
excepciones, uno ya la conocemos, los AP Routers configurado
como router cliente, por lo tanto colocaremos la MAC de la
interfaz WAN de ese AP Router, y la otra GRAN excepcin, son

los access points configurados en modo cliente, de modo que


tendremos que colocar la MAC del AP cliente.
Esto ltimo es una regla de los AP's modo cliente. "Todo IP que
est detrs de un AP modo cliente, saldr enmascarado con la
MAC del AP modo cliente"; entonces, si tuvisemos 10 PC's
(cada uno con su respectivo MAC) detrs de un AP cliente, todos
estos saldran con el MAC del AP cliente. As que si estuvieramos
en un caso similar, tendramos que agregar los IP's de cada PC y
todos estos con el mismo MAC.
Interface, tendremos que especificar la interfaz de red por
donde entran estos IP's y MAC's, aqu tendremos que seleccionar
la interfaz de red LAN o interfaz de red de los clientes, en este
caso sera ether2.

Una vez que tengamos la lista completa, tendremos que


"decirle" al servidor que responda nicamente a los IP/MAC que
estn en la lista de ARP, dejando fuera a todo aqul que no est
resgistrado.
Entonces, para activar el amarre IP/MAC, vamos a Interfaces
-> pestaa Interface y hacemos doble click a la interfaz de red
de los clientes o LAN, en este caso esether2, y de la ventana
que aparecer, seleccionaremos la pestaa General.

ARP, tendremos que cambiar esta opcin a reply-only, de esta


manera la interfaz de red ether2 slo responder a las
peticiones de los IP y MAC que estn en la lista de ARP. Esta
opcin por defecto est en enabled (importante recordar esto si
queremos deshabilitar el amarre IP/MAC).
De este modo ya tendremos activado nuestro amarre IP/MAC.
Importante:

Tener en mente que nosotros tambin somos clientes del


servidor, por lo tanto nuestra IP/MAC tambin debera estar
agregada. Si accidentalmente llegaramos a olvidar este punto,
perderamos todo acceso al servidor. As que la nica manera

poder ingresar al server es a travs de la interfaz WAN o ether1


en este caso, o simplemente desde cualquier otra interfaz de
red cuya opcin ARP sea enabled (todas vienen as por
defecto).
Para agregar un nuevo cliente, es mejor agregar su IP/MAC a la
lista de ARP antes de que este se conecte, o tambin
modificando la opcin ARP,de reply-onlycambiarla
a enabled (como estuvo en un inicio) para desactivar el amarre
IP/MAC, ya una vez que tengamos al cliente agregado y
comprobemos que tenga internet, deberamos de volverlo a
activar. Ya en el peor de los casos ser necesario reiniciar el
servidor para que el cliente tenga internet, para eso vamos
a System -> Reboot.

En lo personal considero que el amarre IP/MAC por ARP es muy


agresivo, por eso prefiero usar el amarre IP/MAC por hotspot (sin
usuario y contrasea), esto ya lo veremos ms adelante.

Saludos.

You might also like