Seguridad Básica – Mikrotik

Agosto 16, 2021 1:32 pm Publicado por Deja tus comentarios

Introducción.

Este artículo viene a complementar el artículo que recientemente publiqué sobre seguridad en capa 2 en Mikrotik, y contempla algunos elementos básicos de seguridad que debemos tener en nuestro router, lo bueno es que al igual que los elementos de seguridad en capa 2 no tienen mayor impacto en el consumo de CPU. Al ser elementos básicos de seguridad se deberían implementar al menos en todos los equipos de borde de nuestra red.

Usuarios y contraseñas seguras.

Este es un paso elemental de seguridad, es recomendable no usar usuarios comunes como admin, administrador, o root, sino más bien usar usuarios menos comunes, como por ejemplo “roberto.48”.


Además, la contraseña nunca debe estar en blanco o ser una palabra común, ya que nuestro equipo sería muy vulnerable a un ataque por diccionario. Lo recomendable sería tener una contraseña que cumpla con algunos los siguientes requisitos:

  • 12 caracteres o más
  • Al menos 1 letra mayúscula
  • Al menos 1 letra minúscula
  • Al menos 1 número
  • Al menos 1 símbolo

Una buena prueba de fuego es, si tu contraseña se puede escribir fácilmente en un teclado en menos de 5 segundos, entonces es muy probable que sea una mala contraseña. Lo mejor es usar contraseñas con un gestor de contraseñas como en Winbox.

Otra medida recomendable es NUNCA usar la misma contraseña en todos los equipos de nuestra red.

Proteger los accesos al Router.

Es muy importante tener sólo activos los servicios esenciales, y deshabilitar los servicios que no usamos. Por ejemplo si sólo usamos Winbox y la interfaz Web, es recomendable deshabilitar servicios como telnet, ftp, ssh, api, etc… Una práctica común es también cambiar el puerto por defecto de los servicios.

Además, es muy recomendable hacer un ACL para que sólo se pueda acceder a los servicios activos desde redes seguras. En general, estas ACL deberían permitir direcciones IP del NOC y hosts seguros. Si se necesita acceder a la configuración del router desde Internet, se puede crear una VPN L2TP para así permitir el acceso desde el NOC y la VPN. Por ejemplo el NOC tiene la subred IPv4 172.172.172.0/24, la VPN tiene la subred 10.10.10.0/24 y un host seguro que tiene la IP 200.1.2.34. Y vamos a cambiar el puerto del servicio www desde el 80 al puerto 8123.

1/ip service 2set winbox address=10.10.10.0/24,172.172.172.0/24,200.1.2.34/32 3set www address=10.10.10.0/24,172.172.172.0/24,200.1.2.34/32 port=8123 4set ssh disabled=yes 5set api disabled=yes 6set api-ssl disabled=yes 7set telnet disabled=yes 8set ftp disabled=yes

Tener un servidor VPN para acceder a nuestra red desde fuera de la oficina o NOC en forma segura.

En el paso anterior explicamos como acceder en forma segura desde nuestra red. Pero cómo lo hacemos cuando estamos fuera de nuestra oficina, lo mejor es con una VPN.

No recomiendo instalar el servicio de VPN en el router de borde, mi recomendación es instalar un router pequeño como un hAP AC Lite, RB2011 o similar, después de nuestro Router de borde y con una dirección IP pública. En este equipos vamos a habilitar algunas reglas básicas de firewall y vamos a configurar una VPN en L2TP con IPsec, no usar PPTP ya que es extremadamente inseguro, este protocolo tiene vulnerabilidades conocidas.

Hay varios tutoriales en Internet que explican como configurar un Mikrotik para acceso remoto VPN con L2TP con IPsec, como por ejemplo este: Mikrotik – Configuración VPN L2TP para acceso remoto | L2TP VPN configuration for remote access

Por favor, mantener actualizado el firmware.

Una muy mala práctica es utilizar versiones de firmware viejas, esto expone en forma inmediata nuestro equipo y hace que todas las medidas de seguridad que hemos tomado queden comprometidas dejando nuestro router expuesto a ser atacado o ser usado como fuente de ataques.

¿Cuándo se considera una versión vieja? Depende de las vulnerabilidades, pero en términos generales si por ejemplo hoy la versión estable es la 6.84.3 y la Long-term es la 6.47.10, lo mínimo recomendable sería tener la estable 6.84.1 hacia arriba, o la 6.47.8 hacia arriba.

Firewall ¿dónde?

Este es un tema con muchas opiniones, todo dependerá de nuestro volumen de tráfico y los equipos que tengamos. Pero en términos generales, yo recomiendo activar el firewall en los routers donde se terminan las conexiones de clientes, ya sea donde está el PPPoE server o el DHCP Server, pero no en el router de borde, principalmente por el gran impacto que tiene el firewall en el consumo de CPU.

¿Se puede activar firewall en el equipo de borde? Se puede, pero no es recomendable, a menos que con firewall activo en el equipo tengamos el consumo de CPU en 20% o menos, para así tener tolerancia suficiente frente a ataques de DDoS o peaks de tráfico inesperados.

« |