El amarre IP/MAC por ARP es una de las medidas de seguridad
ms bsicas que puede ofrecer el servidor MikroTik, y consiste
en tener una lista de relaciones IP/MAC registradas dentro del servidor; de esa manera, si un intruso con un IP, o MAC, o relacin IP/MAC distinto a los ya registrados intentara tener internet, no tendr respuesta alguna ya que no est en la lista de IP/MAC que registramos previamente. Bueno, para empezar tendremos que agregar las IP/MAC de nuestros clientes, para eso vamos a IP -> ARP
En la imagen de arriba veremos los IP's y MAC's de los
dispositivos (PC's, VoIP, Celulares,Routers, etc.) que se agregaron automticamente a la lista de ARP, y sabemos que fue automticamente porque tienen la letra "D" al lado izquierdo de cada regla. Se agregan automticamente ya que tuvieron
cierta comunicacin con el servidor, podemos suponer que fue
porque solicitaron internet al server o viceversa (como el caso de nuestro router: 192.168.1.1). Ntese que tambin aparece la interfaz de red por donde se conectan, de la imagen de arriba los IP's 192.168.10.x se conectan a la interfaz de red LAN, o ether2, y el IP 192.168.1.1 a la interfaz de red WAN, o ether1. Por defecto, esta lista es dinmica, eso quiere decir que cuando se pierde la comunicacin entre el dispositivo 'X' y el servidor, su IP y MAC desaparece de la lista para luego volver a aparecer si se llegara a conectar nuevamente y solicitar internet al server. Entonces es hora de crear una lista esttica de IP/MAC que se conectan al server a pedir internet, para eso hacemos doble click a la regla dinmica, y presionamos el botn Make Static de la ventana que aparecer.
Una vez que se presione Make Static, la letra "D" desaparecer
de la regla, as como esas 2 reglas de la imagen de arriba. Cuando una regla de ARP es esttica, esta nunca desaparecer de la lista. No es necesario, y mucho menos recomendable, hacer que el IP/MAC del router sea una regla esttica, ya que este no es uno de nuestros clientes y obviamente no accede desde la interfaz LAN de nuestro server, ether2 en este caso. En el caso que tengamos otros clientes, entonces tendremos que agregarlos manualmente, en este caso presionamos el botn (+), y veremos una ventana como esta:
IP Address, aqu colocaremos el IP del PC de nuestro cliente o
dispositivo de red que necesite internet, con esto ltimo quiero decir que NO colocaremos el IP de los access points, ya que estos no necesitan internet. La nica excepcin sera aquellos AP Routers que estn configurados como router cliente, aunque este caso estara dentro de los 'dispositivos de red que necesiten internet' as que si se diese el caso, colocaramos el WAN IP de ese AP Router (y ya no los IP's de los clientes conectados a ese AP Router, ya que estaran en una red distinta a la nuestra). MAC Address; aqu tiene que ir el MAC del PC de nuestro cliente o dispositivo de red que necesite internet, aqu hay 2 excepciones, uno ya la conocemos, los AP Routers configurado como router cliente, por lo tanto colocaremos la MAC de la interfaz WAN de ese AP Router, y la otra GRAN excepcin, son
los access points configurados en modo cliente, de modo que
tendremos que colocar la MAC del AP cliente. Esto ltimo es una regla de los AP's modo cliente. "Todo IP que est detrs de un AP modo cliente, saldr enmascarado con la MAC del AP modo cliente"; entonces, si tuvisemos 10 PC's (cada uno con su respectivo MAC) detrs de un AP cliente, todos estos saldran con el MAC del AP cliente. As que si estuvieramos en un caso similar, tendramos que agregar los IP's de cada PC y todos estos con el mismo MAC. Interface, tendremos que especificar la interfaz de red por donde entran estos IP's y MAC's, aqu tendremos que seleccionar la interfaz de red LAN o interfaz de red de los clientes, en este caso sera ether2.
Una vez que tengamos la lista completa, tendremos que
"decirle" al servidor que responda nicamente a los IP/MAC que estn en la lista de ARP, dejando fuera a todo aqul que no est resgistrado. Entonces, para activar el amarre IP/MAC, vamos a Interfaces -> pestaa Interface y hacemos doble click a la interfaz de red de los clientes o LAN, en este caso esether2, y de la ventana que aparecer, seleccionaremos la pestaa General.
ARP, tendremos que cambiar esta opcin a reply-only, de esta
manera la interfaz de red ether2 slo responder a las peticiones de los IP y MAC que estn en la lista de ARP. Esta opcin por defecto est en enabled (importante recordar esto si queremos deshabilitar el amarre IP/MAC). De este modo ya tendremos activado nuestro amarre IP/MAC. Importante:
Tener en mente que nosotros tambin somos clientes del
servidor, por lo tanto nuestra IP/MAC tambin debera estar agregada. Si accidentalmente llegaramos a olvidar este punto, perderamos todo acceso al servidor. As que la nica manera
poder ingresar al server es a travs de la interfaz WAN o ether1
en este caso, o simplemente desde cualquier otra interfaz de red cuya opcin ARP sea enabled (todas vienen as por defecto). Para agregar un nuevo cliente, es mejor agregar su IP/MAC a la lista de ARP antes de que este se conecte, o tambin modificando la opcin ARP,de reply-onlycambiarla a enabled (como estuvo en un inicio) para desactivar el amarre IP/MAC, ya una vez que tengamos al cliente agregado y comprobemos que tenga internet, deberamos de volverlo a activar. Ya en el peor de los casos ser necesario reiniciar el servidor para que el cliente tenga internet, para eso vamos a System -> Reboot.
En lo personal considero que el amarre IP/MAC por ARP es muy
agresivo, por eso prefiero usar el amarre IP/MAC por hotspot (sin usuario y contrasea), esto ya lo veremos ms adelante.