Mikrotik Howto

Manuales y howto para Mikrotik

Seguridad básica de router MikroTik

LEE ESTO ANTES:

El artículo «Seguridad básica de router MikroTik» es una traducción del artículo original y en inglés que se puede encontrar en la Wiki de MikroTik. Se ha traducido porque pensé que podría servirle a alguien.

Los siguientes pasos que leerás a continuación son recomendaciones para asegurar tu router MikroTik. Aconsejamos encarecidamente mantener el cortafuegos por defecto. Puede ser modificado cambiando las reglas acorde a la configuración que necesites. Otras opciones de configuración y mejoras en las reglas se describirán más adelante.

Para aprender los métodos en que MikroTik usa internamente en RouterOS, por favor, lee el artículo sobre seguridad.

Versión RouterOS

Para empezar, actualiza la versión de RouterOS. Algunas versiones más antiguas tienen algunos fallos y/o vulnerabilidades que han sido corregidas. Mantén tu dispositivo actualizado para asegurarte que es seguro. Haz clic en «check for updates» usando Winbox o Webfig. También recomendamos leer nuestro blog para estar al día sobre nuevas vulnerabilidades.

Acceso al router

Cambia el nombre de usuario por defecto admin a cualquier otro. Los nombre de usuario diferentes ayudan a proteger el acceso al router, si alguien logra tener acceso a él.

/user add name=myname password=mypassword group=full
/user remove admin

Contraseña de acceso

Los routers MikroTik requiere de una contraseña para acceder. Recomendamos usar pwgen u otro generador de contraseñas para crear una contraseña segura y que no se repita (en otros dispositivos).

/user set 0 password="!={Ba3N!"40TуX+GvKBz?jTLIUcx/,"

Otra opción de cambiar la contraseña:

/password

Recomendamos encarecidamente usar el segundo método o a través de Winbox para cambiar la contraseña.

Acceso por dirección IP

Detrás del hecho de que activar la configuración de cortafuegos por defecto protege tu router de acceso no autorizados de redes externas, es posible restringir el acceso a direcciones IP concretas:

/user set 0 allowed-address=x.x.x.x/yy

x.x.x.x/yy – Tu dirección IP o rango de red que tendrá acceso al router.

Nota: Ingresa en tu router con las nuevas credenciales para revisar que el usuario y la contraseña están funcionando correctamente.

Servicios del router

Todos nuestros routers deben ser administrados a través de SSH, HTTPS o Winbox. Recuerda usar la última versión estable disponible de Winbox para ésto. En las últimas versiones, el modo seguro de Winbox está siempre activado por defecto y no puede ser desactivado.

Servicios RouterOS

La mayoría de las herramientas administrativas son configuradas es:

 /ip service print

Mantén solo las más seguras:

/ip service disable telnet,ftp,www,api,api-ssl
/ip service print

Cambia también los puertos por defecto de éstas. Así, por ejemplo, bloquearás los intentos de acceso a través de SSH:

/ip service set ssh port=2200
/ip service print

Adicionalmente, cada servicio debe ser restringido a determinadas direcciones IP:

/ip service set winbox address=192.168.88.0/24

RouterOS mac-access

RouterOS por defecto tiene determinadas opciones para poder acceder a los dispositivos de red. Algunos servicios en particular deben ser deshabilitados en entornos de producción.

Mac-telnet:

Deshabilitar el acceso a través de mac-telnet:

/tool mac-server set allowed-interface-list=none
/tool mac-server print

Mac-winbox:

Deshabilitar el acceso por MAC usando Winbox:

/tool mac-server mac-winbox set allowed-interface-list=none
/tool mac-server mac-winbox print

Mac-ping:

Deshabilitar el servicio de mac-ping:

/tool mac-server ping set enabled=no
/tool mac-server ping print

Neighbor Discovery:

El servicio neighbor discovery de MikroTik sirve para mostrar y reconocer otros dispositivos MikroTik a través de la red. Deshabilítalo en todas las interfaces:

/ip neighbor discovery-settings set discover-interface-list=none

Bandwidth server:

Bandwidth server se usa para medir el tráfico entre dos routers MikroTik. Deshabilítalo en los routers que estén en producción:

/tool bandwidth-server set enabled=no

DNS Cache:

Tu router quizás tenga habilitada la caché de DNS, que reduce el tiempo de respuesta cuando le hacen una petición DNS (resolución de nombres). En el caso en que el DNS no se necesite u otro equipo haga esta función, deshabilítala:

/ip dns set allow-remote-requests=no

Otros servicios para clientes:

RouterOS quizás tenga otros servicios habilitados (éstos son deshabilitados por defecto en la configuración de RouterOS). MikroTik caching proxy:

/ip proxy set enabled=no

Proxy socks de MikroTik:

/ip socks set enabled=no

Servicio UPNP de MikroTik:

/ip upnp set enabled=no

Servicio de DNS dinámico o IPCloud de MikroTik:

/ip cloud set ddns-enabled=no update-time=no

Acceso SSH más seguro:

RouterOS usa una encriptación fuerte para el acceso por SSH. Gran parte de los programas la usan. Para activarla:

 /ip ssh set strong-crypto=yes

Interfaces del router

Ethernet/SFP

Es una buena práctica deshabilitar las interfaces que no vas a usar de tu router, para así de alguna forma reducir el riesgo de intrusión a tu dispositivo.

/interface print
/interface set x disabled=yes

x – Número del interfaz que queremos deshabilitar (numbers, no el número que viene para identificar al interfaz: ether1, ether2, etc)

LCD:

Algunas RouterBOARDs tienen un módulo LCD para proveer al administrador de más información. Activa el PIN o deshabilítala si no la vas a usar.

/lcd set enabled=no

Firewall

Recomendamos encarecidamente activar las opciones por defecto de tu firewall. Aquí os mostraremos algunos ajustes para hacerlo más seguro. Asegúrate de aplicar las reglas después de leerlas y saber qué hacen exactamente.

IPv4:

Trabaja con las conexiones nuevas, para no incrementar la carga CPU de tu router.

Crea listas de direcciones (address-list) con las direcciones IP que pueda acceder a tu router.

Habilita el tráfico ICMP (opcional).

Bloquea todo el tráfico restante, habilita el log (log=yes) si es necesario para el tráfico que coincida con estas reglas:

/ip firewall filter
add action=accept chain=input comment="default configuration" connection-state=established,related
add action=accept chain=input src-address-list=allowed_to_router
add action=accept chain=input protocol=icmp
add action=drop chain=input
/ip firewall address-list
add address=192.168.88.2-192.168.88.254 list=allowed_to_router

IPv4 para clientes:

Paquetes establecidos y relacionados (established/related) son añadidos al FastTrack para mejorar la velocidad de salida de datos. El cortafuegos trabajará únicamente con las conexiones nuevas.

Bloquea las conexiones inválidas y usa log con el prefijo invalid.

Filtra los intentos de alcanzar direcciones IP no públicas desde tu red local.

Bloquea todo lo que no esté nateado (NAT).

Filtra todo el contenido de internet que no sean direcciones IP públicas.

Bloquea paquetes desde tu red local que no tengan las direcciones IP de tu red local. Por ejemplo: 192.168.0.0/16.

/ip firewall filter
add action=fasttrack-connection chain=forward comment=FastTrack connection-state=established,related
add action=accept chain=forward comment="Established, Related"  connection-state=established,related
add action=drop chain=forward comment="Drop invalid" connection-state=invalid log=yes log-prefix=invalid
add action=drop chain=forward comment="Drop tries to reach not public addresses from LAN" dst-address-list=not_in_internet in-interface=bridge1 log=yes log-prefix=!public_from_LAN out-interface=!bridge1
add action=drop chain=forward comment="Drop incoming packets that are not NATted" connection-nat-state=!dstnat connection-state=new in-interface=ether1 log=yes log-prefix=!NAT
add action=drop chain=forward comment="Drop incoming from internet which is not public IP" in-interface=ether1 log=yes log-prefix=!public src-address-list=not_in_internet
add action=drop chain=forward comment="Drop packets from LAN that do not have LAN IP" in-interface=bridge1 log=yes log-prefix=LAN_!LAN src-address=!192.168.88.0/24

/ip firewall address-list
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=not_in_internet

N. Del T: No traduciré la parte de IPv6. Para más información sobre IPV6 y cómo asegurar este tráfico, consultar la Wiki de MikroTik.

No olvides darle me gusta y compartir si te gustó el artículo «Seguridad básica de router MikroTik«

admin

, , ,
, ,

Deja una respuesta