Ahora todos los cursos están en AprendeRED. La nueva academia online para networkers inquietos. ACCEDER

Alex Ariza

Blog

4 pasos iniciales para securizar por consola un Mikrotik Virtualizado

En este post veremos 4 cosas que inicialmente yo haría en un Mikrotik CHR virtualizado antes de ponerlo en producción y por lo tanto conectado a internet.

Tened en cuenta que un equipo con conexión a internet va a recibir de forma inmediata ataques una vez este esté accesible desde fuera, así que no está de más añadir un poco de seguridad básica.

1. Cambio de Password del usuario «admin»

Desde consola ejecutaremos el siguiente comando y añadiremos un password complejo:

user set admin password=bla-bla-bla

2. Habilitar/Deshabilitar servicios

Primero listamos los servicios que hay con el comando:

ip service print

Print de los servicios activos

Luego, para deshabilitar un servicio haremos:

ip service disable (número de servicio)

Deshabilitar servicios

De manera que si volvemos a hacer “ip service print” veremos que se han marcado con una X los que hemos deshabilitado:

Servicios deshabilitados confirmados

3. Editar puertos de servicios

Si queremos editar el puerto de acceso de alguno de los servicios que aparecen en el “ip service print” haremos:

ip service edit (número de servicio)

A continuación le indicas “port” en el campo “Value-name”:

Cambio de puerto

Y accederás a un archivo de texto para modificar el puerto.

Una vez cambiado, presionas “Control + o” para guardar cambios. Al hacer de nuevo “ip service print” verás que el puerto ha cambiado:

Confirmación de cambio de puerto

4. Añadir ACL para limitar el acceso por SSH

Simplemente y para evitar el ataque desde conexiones no deseadas yo añadiría una ACL (Lista de acceso) para limitar el acceso solo a IPs conocidas. Únicamente tendríamos que diseñar nuestra ACL y aplicarla por la consola. En mi caso haría algo del estilo:

add chain=input comment=»Accept established connections» connection-state=established
add chain=input comment=»Accept related connections» connection-state=related
add action=drop chain=input comment=»Drop invalid connections» connection-state=invalid
add chain=input comment=UDP protocol=udp
add chain=input comment=»Mi WAN» dst-port=22 protocol=tcp src-address=<@IP_ORIGEN_CONOCIDA/MASCARA>
add action=drop chain=input comment=»Mi WAN» dst-port=22 protocol=tcp
add action=log chain=input comment=»Log everything else» log-prefix=»DROP INPUT»
add action=drop chain=input comment=»Drop everything else» disabled=yes

Con lo que tecleamos “ip firewall filter” en nuestro Mikrotik Virtualizado y la pegamos.

Finalmente y si queréis reiniciar el Mikrotik para comprobar que todo funciona usando el nuevo password que hemos cambiado haremos:

system reboot

¿Quieres aprender más? Pásate por nuestros cursos y aprende PASO A PASO y con VÍDEOS GUIADOS todo lo que necesitas para ser competitivo en el sector.

ADEMÁS, contacta ya con nostros si quieres algún curso a medida para tí o tu empresa. ¡Nosotros te lo montamos y gestionamos todo!
alexariza.net © 2024