Configuraciones de seguridad para tu Mikrotik

En esta entrada les voy a colocar algunos consejos de seguridad que les serán muy útiles para configurar sus dispositivos RouterOS para mantenerlos seguros.

Acceso al nombre de usuario o login.

Se debe cambiar admin por un nombre personalizado, ya que este es muy común y muchos bots buscan entrar a nuestro dispositivo con nombres como ( admin, root, administrator).

desde consola usamos los siguientes comandos:

/user print  ( sirve para que nos muestre el usuario )

/user set 0 name=nombre ( sirve para cambiar el nombre del usuario, en caso de tener varios usuarios, cada uno va a estar identificado con un número empezando desde 0)

Acceso al password o contraseña.

Nuestro Mikrotik requiere obligatoriamente una contraseña, ya que por defecto viene en blanco. Para realizar el cambio utilizamos los siguientes comandos:

/user set 0 password=»Rv98+~Q5T2m%29d» ( con este comando, agregamos una nueva contraseña a nuestro Mikrotik) otra opción es

/password (esta opción funciona para el usuario que este activo)

Personalmente recomiendo usar fuertes combinaciones para mayor seguridad. Para conseguir contraseñas seguras y con bastante dificultad podemos usar paginas webs que generan de este tipo , les dejo algunos links.

• Link 1
• Link 2

Acceso por ip.

El firewall predeterminado protege nuestro Mikrotik del acceso no autorizado desde redes externas, es posible restringir el acceso de nombre de usuario para la dirección IP específica con el siguiente comando:

/user set 0 allowed-address=x.x.x.x/yy ( x.x.x.x/yy = Esta es tu ip o segmento de red que se va a autorizar para la conexión al dispositivo.) sugiero  utilizar  la interfaz de Winbox para aplicar una nueva contraseña para su dispositivo, solo para mantenerlo a salvo de cualquier otro acceso no autorizado.

Servicios de RouterOS

Todos los routers y switch en producción deben estar administrados por conexiones seguras. ( SSH, Winbox(Secure Mode), HTTPs ).

Con este comando podemos ver, qué servicios están activos en nuestro Mikrotik:

/ip service print

solo vamos a mantener los protocolos seguros, el resto los mantenemos deshabilitados:

/ip service disable telnet, ftp, www, api, api-ssl

vamos a cambiar los puertos de conexión de SSH y de Winbox para evitar los constantes ataques de fuerza bruta.

/ip service set ssh port=2200

Vamos a utilizar una mejora de la seguridad del ssh proporcionada por RouterOS

/ip ssh set strong-crypto=yes

/ip service set winbox port =14580

Adicionalmente a esto cada servicio podemos vincularlo a una ip o subnet para evitar accesos  de personas no autorizadas

/ip service set winbox address=192.168.88.0/24

/ip service set ssh address=192.168.88.0/24

RouterOS MAC-access

RouterOS, tiene una particularidad; podemos acceder a nuestro Mikrotik vía MAC-address. Esto debe estar desactivado en redes que se encuentren en producción.

De esta manera tenemos los siguientes tipos de accesos que desactivaremos:

MAC-Telnet

/tool mac-server set allowed-interface-list=none

/tool mac-server print ( para verificar que este desactivado )

MAC-Winbox

/tool mac-server mac-winbox set allowed-interface-list=none

/tool mac-server mac-winbox print

MAC-Ping

/tool mac-server ping set enable=no

/tool mac-server ping print

Descubrir Vecinos

RouterOS tiene un protocolo que es usado para mostrar y reconocer otros Mikrotik en la red, esto tiene que estar desactivado en todas las interfaces por seguridad.

/ip neighbor discovery-settings set discover-interface-list=none

Servidor de pruebas de ancho de banda

Es muy usado para medir la velocidad entre dispositivos Mikrotik y  es muy útil pero, en ambientes de producción hay que tenerlo desactivados. Por ejemplo: en casa, lo pueden tener habilitado para realizar  pruebas de velocidad.  Hay un servidor en el cual pueden conectarse y verificar  su velocidad de conexión proporcionado por Mikrotik.

Pruebas de Ancho de banda

/tool bandwidth-server set enable=no

DNS cache

El router por defecto trae ya activado el servicio de DNS cache, esto ayuda a minimizar los tiempos de requerimientos por parte de los clientes a servidores remotos. En caso de no necesitarlo lo podemos desactivar.

/ip dns set allow-remote-requests=no

Mikrotik Cloud

Mikrotik nos ofrece una nube en la cual nuestra ip se puede registrar con un DDNS ( Dynamic DNS ), en adicional también podemos activarlo para que nos mantenga el reloj y la fecha del dispositivo siempre sincronizado, dependiendo de nuestras necesidades lo activamos  o no.

/ip cloud set ddns-enable=yes update-time=yes

Router Interface

Es una buena practica desactivar todas las interfaces que no estemos  utilizando, esto disminuye la posibilidad de un  acceso no autorizado.

/interface print

/interface set x disable=yes

x numero de las interfaces que no usamos.

Esto es lo básico en cuanto a seguridad inicial de nuestro dispositivo, en una próxima entrada vamos a tocar un poco sobre el firewall de Mikrotik, lo principal será lo siguiente:

• ¿Como funciona?
• Configuración básica de seguridad.

Cualquier pregunta, dudas o inquietudes pueden contactarme a través de:

• Twitter en mi contacto Network_DKnight
• los comentarios de esta entrada