¿Cómo configurar un Mikrotik para prevenir intrusos?

mikro

No importa si administras tu red desde dentro o fuera de ella, debes asegurarte de permitir el acceso únicamente a direcciones IP de confianza.

Administración desde dentro (intrared)

Desde la PC con dirección IP (192.168.2.4/24), se podrá ingresar a todas las direcciones IP dentro de los rangos alcanzables (192.168.1.0/24; 192.168.2.0/24). De la misma manera, cualquier otro dispositivo administrador (Smartphone, tablet), ya sea conectado por cable o wifi, podrá acceder a todos los equipos en red. Que pueda acceder no significa que lo pueda administrar ya que para ello hacen falta las credenciales (usuario; contraseña), sin embargo, abre la posibilidad de ataques por fuerza bruta https://www.redeszone.net/2013/12/08/mkbrutus-herramienta-para-atacar-los-routers-mikrotik-con-routeros/

Para prevenir estas acciones malintencionadas en nuestros equipos, deberemos configurar una regla en el Firewall que permita acceder a la interfaz de configuración de nuestro Mikrotik únicamente a direcciones IP de confianza. Esta regla se debe usar con cuidado ya que si olvidamos la IP que tenemos configurada, perderíamos el acceso a nuestro equipo de manera permanente, obligando a reiniciarlo de fábrica para volver a tener el control.

Recomendación

Antes de crear una regla que ponga en riesgo el control sobre nuestro equipo Mikrotik deberemos tener claro lo siguiente:

  • Cuantos equipos pueden administrar el Mikrotik (determina el número de IP’s de confianza a configurar).

  • Los servicios a los cuales se permita el acceso (SSH, Winbox, Telnet, HTTP).

  • Los puertos y protocolos a través de los cuales se va a permitir el acceso.

Administración desde dentro (intrared)

Desde la PC con dirección IP (192.168.2.4/24), se podrá ingresar a todas las direcciones IP dentro de los rangos alcanzables (192.168.1.0/24; 192.168.2.0/24). De la misma manera, cualquier otro dispositivo administrador (Smartphone, tablet), ya sea conectado por cable o wifi, podrá acceder a todos los equipos en red. Que pueda acceder no significa que lo pueda administrar ya que para ello hacen falta las credenciales (usuario; contraseña), sin embargo, abre la posibilidad de ataques por fuerza bruta https://www.redeszone.net/2013/12/08/mkbrutus-herramienta-para-atacar-los-routers-mikrotik-con-routeros/

Para prevenir estas acciones malintencionadas en nuestros equipos, deberemos configurar una regla en el Firewall que permita acceder a la interfaz de configuración de nuestro Mikrotik únicamente a direcciones IP de confianza. Esta regla se debe usar con cuidado ya que si olvidamos la IP que tenemos configurada, perderíamos el acceso a nuestro equipo de manera permanente, obligando a reiniciarlo de fábrica para volver a tener el control.

Recomendación

Antes de crear una regla que ponga en riesgo el control sobre nuestro equipo Mikrotik deberemos tener claro lo siguiente:

  • Cuantos equipos pueden administrar el Mikrotik (determina el número de IP’s de confianza a configurar).
  • Los servicios a los cuales se permita el acceso (SSH, Winbox, Telnet, HTTP).
  • Los puertos y protocolos a través de los cuales se va a permitir el acceso.

Script de configuración

El siguiente script utiliza las direcciones IP de la imagen y los siguientes supuestos:

  • Solo permite el acceso a la dirección IP 192.68.2.4
  • Solo permite el acceso de administración a través de Winbox
  • Solo se habilita el puerto 8291 y el protocolo TCP
ip firewall filter add chain=input src-address=192.168.2.4 protocol=tcp dst-port=8291 action=accept

Para que se bloquee el tráfico de ingreso al Mikrotik a todas las demás direcciones IP, deberemos agregar un regla que bloquee todo, justo debajo de esta. NO antes, ya que anulará la regla ingresada.

ip firewall filter add chain=input protocol=tcp dst-port=8291 action=drop

Administración desde fuera (remota)

Si tu Mikrotik tiene asignada una dirección IP pública en alguna de sus interfaces o tienes configurada una VPN, es aún más propenso a ataques de fuerza bruta ya que podría ser desde cualquier parte del mundo.

Para reducir el riego de ataques al tener nuestros equipos de cara al Internet, deberemos configurar un regla en el firewall que únicamente permita el acceso a ciertas direcciones IP. En este tutorial se tomara como ejemplo el uso del servicio de administración remota de Sinip (https://sinip.tech/), sin embargo, es aplicable para cualquier otra situación.

Script de configuración

El siguiente script utiliza las direcciones IP de la imagen y los siguientes supuestos:

  • Se permite únicamente el acceso a la llave cuya IP correspondiente es (10.239.158.30)
  • Se permite el acceso al servicio de Winbox (protocolo: TCP; puerto; 8291)
  • Se permite únicamente el acceso a través de la interfaz ovpn-sinip
ip firewall filter add chain=input src-address=10.239.158.30 protocol=tcp dst-port=8291 in-interface=ovpn-sinip action=accept
 

Para que se bloquee el tráfico de ingreso al Mikrotik a todas las demás direcciones IP, deberemos agregar una regla que bloquee todo, justo debajo de esta. NO antes, ya que anulara la regla ingresada.

ip firewall filter add chain=input protocol=tcp dst-port=8291 action=drop
 
Abrir chat
1
¿Necesitas ayuda?
Hola! 👋 ¿Cómo te podemos ayudar?