• Lun - Vie : 08:00 - 18:00

Mi Blog

Cómo proteger tu router MikroTik con RouterOS

Cómo proteger tu router MikroTik con RouterOS

(Tiempo estimado: 6 - 11 minutos)

Saber proteger tus equipos MikroTik con RouterOS es esencial para evitar sustos en tu red y asegurarte que todo funciona correctamente. Evita sustos y dedícale un poco de tiempo al apartado de seguridad de tu red.

Seguid leyendo y os enseñaré a proteger vuestros routers MikroTik con RouterOS...

⬇️ Compra en Amazon el hardware que utilizo ⬇️

🔥 HAZ CLICK AHORA 🔥

 

 

¿QUÉ ES MIKROTIK?

MikroTik es un fabricante letón de equipos de red. La compañía desarrolla y vende enrutadores de red cableados e inalámbricos, conmutadores de red, puntos de acceso, así como sistemas operativos y software auxiliar. La compañía fue fundada en 1996 con el objetivo de vender equipos en mercados emergentes. A septiembre de 2018, la compañía tenía más de 140 empleados. En 2015 fue con 202 millones de euros la 20ª compañía más grande de Letonia por ingresos.

Web: https://mikrotik.com/

 

 

MikroTik y RouterOS pueden enviar correos a través de una cuenta de GMail

 

 

1.- ELEMENTOS NECESARIOS PARA ESTE TUTORIAL

  • Un router MikroTik con RouterOS

 

 

2.- VERSIÓN DE ROUTEROS

Para securizar un router MikroTik, debemos comenzar por utilizar siempre la última versión estable disponible de RouterOS. Algunas versiones anteriores han tenido ciertas debilidades o vulnerabilidades que se han solucionado. Debemos mantener los dispositivos actualizados para asegurarnos de que sean seguros. Para actualizar RouterOS, debemos hacer click en "buscar actualizaciones" en Winbox o Webfig para actualizar.

 

 

3.- ACCESO AL ROUTER

Para proteger los accesos a un router MikroTik, debemos tener en cuenta varios puntos de seguridad:

 

 

3.1.- NOMBRE DE USUARIO

Debemos cambiar el nombre del usuario administrador admin por defecto. Cambiar el nombre del administrador ayuda a que los intentos de acceso por fuera bruta, sean más difíciles al desconocer el nombre del usuario administrador. Para ello, debemos crear un nuevo usuario administrador y luego borrar el usuario admin:

/user add name=myname password=mypassword group=full
/remove user admin

 

 

3.2.- CONTRASEÑA

Los routers de MikroTik requieren de una contraseña para el usuario administrador. Se sugiere utilizar herramientas de generación de contraseñas robustas, como pwgen. Para cambiar la contraseña del usuario administrador ejecutaremos el siguiente comando (cambiando la contraseña):

/user set 0 password="!={Ba3N!"40TуX+GvKBz?jTLIUcx/,"

 

 

Otra opción para cambiar la contraseña del usuario administrador es ejecutar:

/password

 

 

3.3.- ACCESO POR IP

Además del hecho de que el firewall predeterminado proteja los routers MikroTik de accesos no autorizados desde redes externas, es posible restringir el acceso por usuario para una dirección IP específica. Para permitir hacer login desde una determinada IP o RED, debemos ejecutar el siguiente comando:

/user set 0 allowed-address=x.x.x.x/yy

  

 

4.- SERVICIOS DEL ROUTER

Todos los routers en producción, deben ser administrador a través de SSH, a través de Winbox securizado o HTTPs. Debemos asegurarnos de que estamos utilizando la última versión de Winbox para un acceso seguro. Nota: en las nuevas versiones de Winbox, el modo "Secure mode" está en modo ON por defecto y no puede ser modificado.

  

 

4.1.- SERVICIOS ROUTEROS

La mayoría de las herramientas administrativas están configuradas y accesibles desde:

/ip service print

  

 

Debemos deshabilitar tocas aquellas que no necesitemos. Con el siguiente comando deshabilitamos el servicio de telnet, ftp, www, api y api-ssl:

/ip service disable telnet,ftp,www,api,api-ssl
/ip service print

  

 

Otro de los pasos mas importantes es cambiar el puerto por defecto del servicio SSH. Este cambio hará que la mayoría de ataques de fuerza bruta por SSH no tengan lugar. En el siguiente ejemplo cambiamos el puerto SSH del 22 al 2200:

/ip service set ssh port=2200
/ip service print

  

 

Adicionalmente, podemos filtrar cada servicio para un determinado rango de red desde donde será accesible. Por ejemplo, si queremos que el servicio de Winbox sea solo accesible desde la red 192.168.3.0/27, ejecutaremos:

/ip service set winbox address=192.168.3.0/27

  

 

4.2.- ROUTEROS ACCESO MAC

RouterOS tiene integradas varias herramientas para una gestión más fácil de los routers. Los siguientes servicios son recomendables desactivarlos en un sistema en producción:

 

 

4.2.1.- TELNET MAC

Desactivar el servicio de mac-telnet:

/tool mac-server set allowed-interface-list=none
/tool mac-server print

 

 

4.2.2.- WINBOX MAC

Desactivar el servicio de max-winbox:

/tool mac-server mac-winbox set allowed-interface-list=none
/tool mac-server mac-winbox print

 

 

4.2.3.- MAC-PING

Desactivar el servicio de mac-ping:

/tool mac-server ping set enabled=no
/tool mac-server ping print

 

 

4.3.- NEIGHBOR DISCOVERY

La herramienta/protocolo "MikroTik Neighbor" es usada para mostrar y reconocer otros equipos MikroTik en la misma red. Debemos desactivar el servicio en todas las interfaces:

/ip neighbor discovery-settings set discover-interface-list=none

 

 

4.4.- BANDWIDTH SERVER

El servidor de Bandwidth es usado para comprobar y testear el throughput (ancho de banda) entre dos equipos MikroTiks. En producción se recomienda desactivarlo:

/tool bandwidth-server set enabled=no

 

 

4.5.- DNS CACHE

El router MikroTik puede tener activado el servicio de DNS caché, el cual hace que las resoluciones de nombres desde los clientes sea más rápida. En el caso de que no sea requisito indispensable dicho servicio, debemos desactivarlo:

/ip dns set allow-remote-requests=no

 

 

 

4.6.- OTROS SERVICIOS

RouterOS puede tener otros servicios activados (los servicios son desactivados pro defecto en la configuración de RouterOS.

Desactivar MikroTik proxy caché:

/ip proxy set enabled=no

 

 

Desactivar MikroTik socks proxy:

/ip socks set enabled=no

 

 

Desactivar el servicio MikroTik UPNP:

/ip upnp set enabled=no

 

 

Desactivar el servicio MikroTik DDNS:

/ip cloud set ddns-enabled=no update-time=no

 

 

4.7.- ACCESO MAS SEGURO DE SSH

RouterOS utiliza un cifrado fuerte para el protocolo SSH, la mayoría de los programas clientes lo utilizan. Para activarlo debemos ejecutar:

/ip ssh set strong-crypto=yes

 

  

5.- INTERFACES DE RED

Y por último, algunos acciones que debemos ejecutar para completar de proteger nuestro router MikroTik con RouterOS son: 

 

 

5.1.- INTERFACES ETHERNET/SFP

Es una buena práctica deshabilitar todas las interfaces de red que no sean necesarias para evitar intrusiones a través de ellas:

/interface print
/interface set x disabled=yes

 

 

x corresponde al número de la interfaz que queramos deshabilitar

 

 

5.2.- LCD

Algunos RouterBOARDs disponen de una pantalla LCD para información del sistema. Es recomendable desactivarlo o ponerle un PIN en producción:

/lcd set enabled=no

 

 

ENJOY!


⬇️ Compra en Amazon el hardware que utilizo ⬇️

🔥 HAZ CLICK AHORA 🔥
Raúl Prieto Fernández

Sitio Web: raulprietofernandez.net

Si quieres ir rápido, ve solo. Si quieres llegar lejos, ve acompañado.

No tienes permisos para escribir comentarios. Debes autenticarte con Facebook, Linkedin, Twitter o Google.

VIP RPF

Apúntate Gratis

Entra en la Comunidad VIP y consigue acceso a las descargas en PDF, Trucos y Videotutoriales ocultos y mucho más.... ¡Muy Pronto!
  • Lun - Vie : 08:00 - 18:00