Configurar Amarre IP/MAC por ARP con MikroTik

El amarre IP/MAC por ARP es una de las medidas de seguridad más básicas que puede
ofrecer el servidor MikroTik, y consiste en tener una lista de relaciones IP/MAC registradas
dentro del servidor; de esa manera, si un intruso con un IP, o MAC, o relación IP/MAC distinto
a los ya registrados intentara tener internet, no tendrá respuesta alguna ya que no está en la
lista de IP/MAC que registramos previamente.

Bueno, para empezar tendremos que agregar las IP/MAC de nuestros clientes, para eso
vamos a IP -> ARP

En la imagen de arriba veremos los IP’s y MAC’s de los dispositivos (PC’s, VoIP,
Celulares,Routers, etc.) que se agregaron automáticamente a la lista de ARP, y sabemos que
fue automáticamente porque tienen la letra “D” al lado izquierdo de cada regla. Se agregan
automáticamente ya que tuvieron cierta comunicación con el servidor, podemos suponer que
fue porque solicitaron internet al server o viceversa (como el caso de nuestro
router: 192.168.1.1). Nótese que también aparece la interfaz de red por donde se conectan, de
la imagen de arriba los IP’s 192.168.10.x se conectan a la interfaz de red LAN, o ether2, y el
IP 192.168.1.1 a la interfaz de red WAN, o ether1.

Por defecto, esta lista es dinámica, eso quiere decir que cuando se pierde la comunicación
entre el dispositivo ‘X’ y el servidor, su IP y MAC desaparece de la lista para luego volver a
aparecer si se llegara a conectar nuevamente y solicitar internet al server.

Entonces es hora de crear una lista estática de IP/MAC que se conectan al server a pedir
internet, para eso hacemos doble click a la regla dinámica, y presionamos el botón Make
Static de la ventana que aparecerá.

Una vez que se presione Make Static, la letra “D” desaparecerá de la regla, así como esas 2
reglas de la imagen de arriba. Cuando una regla de ARP es estática, esta nunca desaparecerá
de la lista.

No es necesario, y mucho menos recomendable, hacer que el IP/MAC del router sea una regla
estática, ya que este no es uno de nuestros clientes y obviamente no accede desde la interfaz
LAN de nuestro server, ether2 en este caso.

En el caso que tengamos otros clientes, entonces tendremos que agregarlos manualmente, en
este caso presionamos el botón (+), y veremos una ventana como esta:
IP Address, aquí colocaremos el IP del PC de nuestro cliente o dispositivo de red
que necesite internet, con esto último quiero decir que NO colocaremos el IP de los access
points, ya que estos no necesitan internet. La única excepción sería aquellos AP Routers que
estén configurados como router cliente, aunque este caso estaría dentro de los ‘dispositivos
de red que necesiten internet’ así que si se diese el caso, colocaríamos el WAN IP de ese AP
Router (y ya no los IP’s de los clientes conectados a ese AP Router, ya que estarían en una
red distinta a la nuestra).

MAC Address; aquí tiene que ir el MAC del PC de nuestro cliente o dispositivo de red que
necesite internet, aquí hay 2 excepciones, uno ya la conocemos, los AP Routers configurado
como router cliente, por lo tanto colocaremos la MAC de la interfaz WAN de ese AP Router,
y la otra GRAN excepción, son los access points configurados en modo cliente, de modo que
tendremos que colocar la MAC del AP cliente.

Esto último es una regla de los AP’s modo cliente. “Todo IP que esté detrás de un AP modo
cliente, saldrá enmascarado con la MAC del AP modo cliente”; entonces, si tuviésemos 10
PC’s (cada uno con su respectivo MAC) detrás de un AP cliente, todos estos saldrían con el
MAC del AP cliente. Así que si estuvieramos en un caso similar, tendríamos que agregar los
IP’s de cada PC y todos estos con el mismo MAC.

Interface, tendremos que especificar la interfaz de red por donde entran estos IP’s y MAC’s,
aquí tendremos que seleccionar la interfaz de red LAN o interfaz de red de los clientes, en
este caso sería ether2.

Una vez que tengamos la lista completa, tendremos que “decirle” al servidor que responda
únicamente a los IP/MAC que estén en la lista de ARP, dejando fuera a todo aquél que no
esté resgistrado.

Entonces, para activar el amarre IP/MAC, vamos a Interfaces -> pestaña Interface y
hacemos doble click a la interfaz de red de los clientes o LAN, en este caso es ether2, y de la
ventana que aparecerá, seleccionaremos la pestaña General.

ARP, tendremos que cambiar esta opción a reply-only, de esta manera la interfaz de red
ether2 sólo responderá a las peticiones de los IP y MAC que estén en la lista de ARP. Esta
opción por defecto está en enabled (importante recordar esto si queremos deshabilitar el
amarre IP/MAC).

De este modo ya tendremos activado nuestro amarre IP/MAC.

Importante:
Tener en mente que nosotros también somos clientes del servidor, por lo tanto nuestra
IP/MAC también debería estar agregada. Si accidentalmente llegaramos a olvidar este punto,
perderíamos todo acceso al servidor. Así que la única manera poder ingresar al server es a
través de la interfaz WAN o ether1 en este caso, o simplemente desde cualquier otra interfaz
de red cuya opción ARP sea enabled (todas vienen así por defecto).

Para agregar un nuevo cliente, es mejor agregar su IP/MAC a la lista de ARP antes de que
este se conecte, o también modificando la opción ARP,de reply-only cambiarla
a enabled (como estuvo en un inicio) para desactivar el amarre IP/MAC, ya una vez que
tengamos al cliente agregado y comprobemos que tenga internet, deberíamos de volverlo a
activar. Ya en el peor de los casos será necesario reiniciar el servidor para que el cliente tenga
internet, para eso vamos a System -> Reboot.

En lo personal considero que el amarre IP/MAC por ARP es muy agresivo, por eso prefiero
usar el amarre IP/MAC por hotspot (sin usuario y contraseña), esto ya lo veremos más
adelante.

Saludos.