Seguridad Avanzada capa 2 – Mikrotik

Junio 21, 2021 1:59 pm Publicado por Deja tus comentarios

Introducción

Cuando la mayoría de los administradores de redes de ISPs, universidades y organizaciones piensan en seguridad de red usualmente se preocupan sólo de asegurar la capa 3 hacia arriba esto utilizando reglas de firewall para proteger a nivel de direcciones/prefijos IP que pueden acceder a ciertos equipos, o habilitando reglas para permitir sólo ciertos puertos. Sin embargo, pocos se preocupan de asegurar sus equipos de borde de cara a su Proveedor de IP tránsito, Internet Exchange o inclusive sus equipos de cara a los clientes, dejando expuesto sus equipos más importantes.

El objetivo de esta guía es explicar cómo implementar algunas buenas prácticas de seguridad para proteger la capa 2, a nivel MAC, de los Routers Mikrotik de borde o de cara directa a los clientes.

Definir que interfaces son seguras y cuales no


Mikrotik viene por defecto habilitado con algunas funcionalidades de acceso vía capa 2 muy útiles que te permiten recuperar el acceso a un equipo cuando se pierde la conectividad por capa 3 pero que si no se protegen pueden convertirse en serias vulnerabilidades de seguridad al estar activas en las interfaces WAN. Es por esto que hemos creado una guía que te ayuda a proteger tu equipo de borde.

No te olvides de mantener el firmware de tu equipo actualizado.

Para seguir obteniendo los beneficios de estas hermosas herramientas pero sin sus peligros es recomendable limitar su accesibilidad sólo a las interfaces seguras, es decir, aquellas que sabemos no pueden ser accesadas por terceros.

Crear una Lista de Interfaces externas y una lista de interfaces internas seguras

Lo primero que haremos es crear dos listas de interfaces. Una para las interfaces externas, no seguras por definición, ya que se conectan fuera de nuestra red, y otra para las interfaces internas que son seguras, es decir, que no se conectan directamente a clientes, sino que por ejemplo se conectan a nuestro NOC.1/interface list 2add name=interfaces_externas 3add name=interfaces_internas_seguras

Agregar las interfaces WAN a la lista de interfaces externas

En nuestro ejemplo, agregamos las 2 interfaces WAN que tenemos, una del Proveedor de IP transit y la otra del Peru IX a la lista de interfaces_externas1/interface list member 2add interface=IP_TRANSIT_sfp-sfpplus2 list=interfaces_externas 3add interface=PERU_IX_sfp-sfpplus1 list=interfaces_externas

Agregar las interfaces LAN confiables a la lista de interfaces internas seguras

Y en nuestro ejemplo agregamos dos interfaces internas seguras a dicha lista, una que apunta a nuestra red de monitoreo y otra la ether1 que usamos como management solo conectado a un PC en nuestro total control.1/interface list member 2add interface=LAN-sfpplus3 list=interfaces_internas_seguras 3add interface=ether1 list=interfaces_internas_seguras

No permitir Neighbors en las interfaces externas

Por defecto RouterOS habilita Neighbor Discovery settings en todas las interfaces, se recomienda dejarlo sólo para las interfaces seguras si quiero máxima privacidad, aunque perderemos la visibilidad a los otros equipos conectados en dichas interfaces. Por esto, haremos una regla que permite el Neighbor discovery a todos los puertos EXCEPTO a los puertos de la lista de interfaces externas.1/ip neighbor discovery-settings 2set discover-interface-list=!interfaces_externas

Sólo permitir acceso MAC Telnet Server y MAC Winbox desde las interfaces seguras

Además, para evitar que alguien pueda tratar de ingresar a nuestro router vía MAC Telnet o MAC-Winbox vamos a permitir estas funcionalidades sólo a través de las interfaces internas seguras

Por defecto RouterOS permite estas dos funcionalidades en todas las interfaces, dejar esto activo en las interfaces WAN expone gravemente la seguridad de nuestro equipo de borde.1/tool mac-server 2set allowed-interface-list=interfaces_internas_seguras 3/tool mac-server mac-winbox 4set allowed-interface-list=interfaces_internas_seguras

Espero esta guía les sirva de ayuda para así mantener sus redes más seguras. ¿Hay alguna recomendación de seguridad de Capa 2 que crees que deberíamos agregar a esta guía?

« | »