[Mikrotik] Proteger el acceso

Debido a los últimos bugs y las últimas noticias sobre el uso de los Mikrotiks como botnets o para minar criptomonedas he decidido hacer esta guía. No es nada mágico, es simplemente unos pasos lógicos para securizar y que posiblemente ya tengas implementado.

Sistema

Lo bueno que tiene Mikrotik es que el sistema es liberado, por lo que cualquiera puede actualizar a la última versión tenga los años que tenga y además de nuevas features que implementen siempre vas a estar libre de bugs.

Por eso siempre tenerlo actualizado a la última versión.

Guía General

Este apartado no es sólo para Mikrotiks y puede ser tenido en cuenta para cualquier router o para cualquier sistema.

Primero es saber que servicios están disponibles en nuestro router y decidir cual tenemos que usar siempre para acceder y cerrar los que no usemos o usemos pocas veces y que tengamos que abrir sólo cuando los necesitemos.

Usuarios

La primera obligatoriedad es eliminar el usuario admin que trae por defecto y crear un nuevo usuario con una contraseña segura.

Servicios

El mikrotik por defecto tiene todos los servicios habilitados y visibles.

Servicios Mikrotik Default

api

Api ó application programming interface es el sistema para interacturar con el router desde fuera para hacerlo de forma automatizada.

api-ssl

Igual que el api normal pero usando un certificado de seguridad que tenemos que especificar.

ftp

Sirve para poder conectarnos al apartado files del mikrotik y recoger o dejar los ficheros que necesitemos.

ssh

Junto al telnet, es la manera de administrar el mikrotik desde la línea de comandos.

telnet

Junto al ssh, es la manera de administrar el mikrotik desde línea de comandos.

winbox

Es el servicio que permite a la aplicación del mismo nombre conectar para administrar el dispositivo.

www

Interface web de administración.

www-ssl

Misma interface web pero con un certificado, que al igual que en api tenemos que especificar.

 

Teniendo en cuenta esto lo importante es decidir que servicios vamos a necesitar y cuales no.

Lógicamente lo primero es deshabilitar los servicios que no vamos a usar o usaremos sólo en contadas excepciones y otra opción es cambiar el puerto, por lo menos nos quitaremos muchos bots que van al puerto fijo.

 

Neighbor Discover

Otra opción donde se está en una red con otros dispositivos es deshabilitar que otros nos detecten y puedan ver incluso la versión que tenemos instalada.

Para ello debemos especificar que no escuche/publique por ninguna interface:

Mikrotik Neighbor

 

Firewall

Es el último paso para securizar es crear reglas.

Podemos crear reglas que o bien no permitan el acceso desde el interface de internet o sólo tener desde el interface al que tenemos conectado nuestro sistema para que sólo ellos puedan acceder a los puertos de los servicios que necesitemos.

Si por necesidad tenemos que abrir hacia el exterior, tenemos la posibilidad de securizar mediante una address list para que sólo esas IPs puedan conectar.