Ya tenemos nuestra red funcionando, es hora de asegurar nuestro router Mikrotik. Seguimos sumando pasos para lograr una imagen completa de una red corporativa funcionando.
Hoy vamos a asegurar nuestro RouterOS. Esta guía no pretende ser exhaustiva pero si dar líneamientos claros de los pasos a seguir para segurizar un RouterOS.

Vamos a seguir estos puntos:

  1. Cambio de la Contraseña por Defecto y Gestión de Cuentas de Usuario
  2. Actualizaciones de Firmware
  3. Servicios por defecto
  4. Encriptación y Autenticación
  5. Monitoreo y Auditoría
  6. Backup y Recuperación

1. Cambio de la Contraseña por Defecto y Gestión de Cuentas de Usuario

Para evitar accesos no autorizados, es fundamental cambiar la contraseña por defecto y gestionar correctamente las cuentas de usuario. Así que tomaremos esta acción como primer paso siempre que configuremos un Router desde 0.

/user set admin password=superpasswordconnumerosletrasycaracteres

En Winbox:
Navega a System -> Users.
En la pestaña Users, selecciona el usuario admin y haz clic en Passwords para cambiar la contraseña.

2 – Actualizaciones de Firmware

Mantener el firmware actualizado es crucial para proteger el router contra vulnerabilidades conocidas, aparte de contar con mejoras. Antes de actualizar el firmware dConfiguración de la Rede tu router revisa los cambios de tu versión a la nueva para evitar conflictos de compatibilidad.

/system package update check-for-updates
/system package update install

En WinBox:
Andá a System -> Packages.
Click en Check For Updates.
Si hay actualizaciones tenés dos opciones:
1- Download & Install baja e instala
2- Download solo baja y luego al reiniciar(con intensión, no por una falla eléctrica) el router, se actualizará.

3- Servicios por defecto

Es importante deshabilitar servicios no necesarios para reducir la superficie de ataque del router.

/ip service disable telnet
/ip service disable ftp
/ip service disable www

En WinBox:

  • Vas a IP -> Services.
  • Selecciona el servicio a deshabilitar y haz clic en Disable.

4- Encriptación y Autenticación

Implementar una encriptación fuerte y autenticación multifactor puede significativamente incrementar la seguridad.

/ip ssh set strong-crypto=yes

En WinBox:

  • Navega a IP -> SSH.
  • Asegura la opción Strong Crypto.

5- Monitoreo y Auditoría

Configurar el registro de eventos y monitorear la actividad del sistema es muy importante para detectar y responder a incidentes de seguridad. Los logs también nos van a decir si algo falla y porqué.

/system logging add topics=info action=memory
/system logging add topics=error action=memory

En WinBox:

  • Vas a System -> Logging.
  • Haz clic en + para agregar una nueva regla de log.
  • Configura los Topics y la Action de los logs que quieras guardar y donde. Tenes varias opciones.

Lo ideal sería que los envies a un Syslog Server. Más adelante instalaremos uno.

Por último y quizás lo más importante

6 – Backup y Recuperación

Esta es una de las tareas más importantes para mantener seguro tu router. Tener copias de seguridad.

La calidad y facilidad de restauración de las copias de seguridad convertirá tu red en resiliente.

/system backup save name=backup_router

En WinBox:

  • Ve a Files.
  • Haz clic en Backup, luego en Save.
  • Asigna un nombre al archivo y guarda.
  • También podés almacenar el backup cifrado con una password.
  • Para sacar el backup del router y guardarlo en otro lado solo arrastra al escritorio de tu pc o segundo botón sobre el archivo y download.

Si querés almacenar tu backup de configuraciones de forma que puedas leer los comandos que usaste tenés que usar el comando export.

export file=backup

Hay otras medidas de seguridad relacionadas a las ACLs de Firewall para evitar el acceso de consola o management desde la WAN y otras cuestiones más pero para eso necesitas aprender un poco más sobre Firewall. En la próxima te cuento bien como funciona y hacemos un laboratorio para proteger tu router con las reglas adecuadas.

Y no lo dudes, si se te complica, escribime. A esto me dedico.

Por Jeremías Palazzesi

Solucionador de Problemas Senior!. No podés con algo?, probá conmigo!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


Verificado por MonsterInsights