Saber proteger tus equipos MikroTik con RouterOS es esencial para evitar sustos en tu red y asegurarte que todo funciona correctamente. Evita sustos y dedícale un poco de tiempo al apartado de seguridad de tu red.
Seguid leyendo y os enseñaré a proteger vuestros routers MikroTik con RouterOS...
⬇️ Compra en Amazon el hardware que utilizo ⬇️
MikroTik es un fabricante letón de equipos de red. La compañía desarrolla y vende enrutadores de red cableados e inalámbricos, conmutadores de red, puntos de acceso, así como sistemas operativos y software auxiliar. La compañía fue fundada en 1996 con el objetivo de vender equipos en mercados emergentes. A septiembre de 2018, la compañía tenía más de 140 empleados. En 2015 fue con 202 millones de euros la 20ª compañía más grande de Letonia por ingresos.
MikroTik y RouterOS pueden enviar correos a través de una cuenta de GMail
Para securizar un router MikroTik, debemos comenzar por utilizar siempre la última versión estable disponible de RouterOS. Algunas versiones anteriores han tenido ciertas debilidades o vulnerabilidades que se han solucionado. Debemos mantener los dispositivos actualizados para asegurarnos de que sean seguros. Para actualizar RouterOS, debemos hacer click en "buscar actualizaciones" en Winbox o Webfig para actualizar.
Para proteger los accesos a un router MikroTik, debemos tener en cuenta varios puntos de seguridad:
Debemos cambiar el nombre del usuario administrador admin por defecto. Cambiar el nombre del administrador ayuda a que los intentos de acceso por fuera bruta, sean más difíciles al desconocer el nombre del usuario administrador. Para ello, debemos crear un nuevo usuario administrador y luego borrar el usuario admin:
/user add name=myname password=mypassword group=full
/remove user admin
Los routers de MikroTik requieren de una contraseña para el usuario administrador. Se sugiere utilizar herramientas de generación de contraseñas robustas, como pwgen. Para cambiar la contraseña del usuario administrador ejecutaremos el siguiente comando (cambiando la contraseña):
/user set 0 password="!={Ba3N!"40TуX+GvKBz?jTLIUcx/,"
Otra opción para cambiar la contraseña del usuario administrador es ejecutar:
/password
Además del hecho de que el firewall predeterminado proteja los routers MikroTik de accesos no autorizados desde redes externas, es posible restringir el acceso por usuario para una dirección IP específica. Para permitir hacer login desde una determinada IP o RED, debemos ejecutar el siguiente comando:
/user set 0 allowed-address=x.x.x.x/yy
Todos los routers en producción, deben ser administrador a través de SSH, a través de Winbox securizado o HTTPs. Debemos asegurarnos de que estamos utilizando la última versión de Winbox para un acceso seguro. Nota: en las nuevas versiones de Winbox, el modo "Secure mode" está en modo ON por defecto y no puede ser modificado.
La mayoría de las herramientas administrativas están configuradas y accesibles desde:
/ip service print
Debemos deshabilitar tocas aquellas que no necesitemos. Con el siguiente comando deshabilitamos el servicio de telnet, ftp, www, api y api-ssl:
/ip service disable telnet,ftp,www,api,api-ssl
/ip service print
Otro de los pasos mas importantes es cambiar el puerto por defecto del servicio SSH. Este cambio hará que la mayoría de ataques de fuerza bruta por SSH no tengan lugar. En el siguiente ejemplo cambiamos el puerto SSH del 22 al 2200:
/ip service set ssh port=2200
/ip service print
Adicionalmente, podemos filtrar cada servicio para un determinado rango de red desde donde será accesible. Por ejemplo, si queremos que el servicio de Winbox sea solo accesible desde la red 192.168.3.0/27, ejecutaremos:
/ip service set winbox address=192.168.3.0/27
RouterOS tiene integradas varias herramientas para una gestión más fácil de los routers. Los siguientes servicios son recomendables desactivarlos en un sistema en producción:
Desactivar el servicio de mac-telnet:
/tool mac-server set allowed-interface-list=none
/tool mac-server print
Desactivar el servicio de max-winbox:
/tool mac-server mac-winbox set allowed-interface-list=none
/tool mac-server mac-winbox print
Desactivar el servicio de mac-ping:
/tool mac-server ping set enabled=no
/tool mac-server ping print
La herramienta/protocolo "MikroTik Neighbor" es usada para mostrar y reconocer otros equipos MikroTik en la misma red. Debemos desactivar el servicio en todas las interfaces:
/ip neighbor discovery-settings set discover-interface-list=none
El servidor de Bandwidth es usado para comprobar y testear el throughput (ancho de banda) entre dos equipos MikroTiks. En producción se recomienda desactivarlo:
/tool bandwidth-server set enabled=no
El router MikroTik puede tener activado el servicio de DNS caché, el cual hace que las resoluciones de nombres desde los clientes sea más rápida. En el caso de que no sea requisito indispensable dicho servicio, debemos desactivarlo:
/ip dns set allow-remote-requests=no
RouterOS puede tener otros servicios activados (los servicios son desactivados pro defecto en la configuración de RouterOS.
Desactivar MikroTik proxy caché:
/ip proxy set enabled=no
Desactivar MikroTik socks proxy:
/ip socks set enabled=no
Desactivar el servicio MikroTik UPNP:
/ip upnp set enabled=no
Desactivar el servicio MikroTik DDNS:
/ip cloud set ddns-enabled=no update-time=no
RouterOS utiliza un cifrado fuerte para el protocolo SSH, la mayoría de los programas clientes lo utilizan. Para activarlo debemos ejecutar:
/ip ssh set strong-crypto=yes
Y por último, algunos acciones que debemos ejecutar para completar de proteger nuestro router MikroTik con RouterOS son:
Es una buena práctica deshabilitar todas las interfaces de red que no sean necesarias para evitar intrusiones a través de ellas:
/interface print
/interface set x disabled=yes
x corresponde al número de la interfaz que queramos deshabilitar
Algunos RouterBOARDs disponen de una pantalla LCD para información del sistema. Es recomendable desactivarlo o ponerle un PIN en producción:
/lcd set enabled=no
ENJOY!
Soy Ingeniero Téc. Industrial Mecánico, Administrador de Sistemas Informáticos, Desarrollador de Aplicaciones Informaticas Web, Técnico Superior en PRL, Experto en Energías Renovables... y trabajo actualmente como Senior DevOPS en HP SCDS.
Login con Google
Login con Microsoft
Login con GitHub