BandaLibre Comunicaciones

Ingeniería para la gestión global de Operadores y Redes de Telecomunicaciones

by on

¿Cómo proteger tu router MikroTik?

proteger tu router MikroTik
proteger tu router MikroTik

¿Cómo proteger tu router MikroTik?

Si te gustaría saber cómo proteger tu router MikroTik para mantenerlo seguro y evitar futuros problemas, en este post te contamos varias recomendaciones que te ayudarán a llevarlo a cabo con éxito.

El primer paso que debes dar es cambiar el usuario y contraseña

Lo primero y más esencial para proteger tu router MikroTik es cambiar las credenciales (usuario y contraseña) de acceso que vienen por defecto.

Para cambiar el usuario y contraseña del router solo tendrás que ir a System/User y modificar el usuario admin o crear un usuario nuevo.

Si quieres añadir una contraseña al usuario admin, tendrás que hacer doble clic encima de admin, y en la ventana que se abra clicar en Password. Posteriormente, se abrirá una nueva ventana donde podrás escribir la contraseña que desees y, por último, pinchar en Apply para guardar cambios.

Para crear un usuario nuevo tendrás que hacer clic con el ratón encima del símbolo + y se abrirá una nueva ventana. Una vez ahí, en Name podrás añadir el usuario y en Password y Confirm Password la contraseña que desees. Por último, debes pinchar en OK para guardar cambios.

Es recomendable que tengas en cuenta que al crear un usuario nuevo, el sistema MikroTik da la opción de elegir el grupo:

  • Full: Tiene permiso para añadir, modificar y borrar la configuración de tu router.
  • Read: Solo tiene permiso de lectura, no puede añadir, modificar o borrar la configuración.
  • Write: Tiene permisos parecidos al grupo full, pero con algunas limitaciones (ftp y policy).

En segundo lugar, actualizar RouterOs y Firmware

Actualizar la versión de RouterOS y Firmware para tener los últimos parches y correcciones mantendrá tu router protegido.

Lo primero que debes hacer es actualizar el sistema RouterOs de tu router y, para ello, necesitarás saber qué arquitectura usa. Una forma de saberlo es abriendo el router con “Winbox”, ya que en el encabezado te indicará qué arquitectura usa. En la siguiente imagen se puede ver que este router MikroTik usa la arquitectura mmips:

A continuación, debes acceder al apartado de descargas que se encuentra dentro de la web de MikroTik (https://www.mikrotik.com/download) para poder ver todas las actualizaciones. Una vez allí, tienes que ir hasta la columna Stable, donde se encuentra la última versión liberada, entre otras. Posteriormente, debes buscar la arquitectura correspondiente y descargar el archivo Main Package.

Una vez descargues el archivo en tu ordenador, tendrás que acceder a tu router mediante “Winbox”. Hecho esto, tendrás que arrastrar la actualización desde el ordenador a “Winbox” y, automáticamente, se abrirá la ventana File List y se copiará el archivo. Por último, tendrás que reiniciar el router desde System/Reboot. Cuando vuelvas a entrar en tu router mediante “Winbox”, verás que ha cargado la actualización (antes 6.42.12 y ahora 6.49.1).

Una vez actualizado RouterOS, podrás proceder a actualizar el Firmware de tu router. Para ello, solo tienes que hacer clic en System/RouterBoard y se abrirá una ventana que te indicará a qué versión se puede actualizar el firmware. Para actualizar solo tendrías que hacer clic en Upgrade y reiniciar el router (System/Reboot).

Cuando finalice el inicio, si vuelves a entrar en System/RouterBoard, verás que ya se ha actualizado el Firmware del router.

NOTA: 

  • Factory Firmware: Es el Firmware que trae el router de fábrica.
  • Current Firmware: Es el Firmware que tiene actualmente el router.
  • Upgrade Firmware: Es el Firmware al que se puede actualizar.

 

Cambiar puertos de acceso

Lo primero que debes hacer es deshabilitar aquellos servicios que no vayas a utilizar. Lo puedes llevar a cabo desde IP/Services, marcando el servicio y haciendo clic en el icono de la cruz roja.

Cabe destacar que podrás cambiar el puerto del servicio haciendo doble clic y modificarlo por otro diferente al que viene por defecto. En el ejemplo se ha cambiado el puerto 22 del servicio SSH por el puerto 2202.

Además, en la opción Available From podrás indicar desde qué IP o IPs permitirás el acceso al servicio. Podrás poner IP individual o rangos completos. Por ejemplo, en la imagen hemos aceptado la IP 172.16.0.254 y el rango 192.168.100.0/24 para que pueda acceder al servicio Winbox de nuestro router. Cualquier equipo que no tenga esas IP, no podrá acceder.

 

Firewall

Se ha convertido en la mejor opción para asegurar tu router, ya que te permitirá tener un mejor control de lo que entra y sale de la red.

Esta opción te permitirá restringir el acceso a tus equipos y únicamente dar acceso a unas determinadas IPs o rangos que desees. Pongamos un ejemplo: supongamos que el rango 192.168.1.0/24 es tu red LAN y 172.16.0.254 es una IP externa a la que vas a habilitar el acceso.

Para ello, lo primero que debes hacer es crear la lista de IPs entrando en IP/Firewall/Address List  y añadir la IPs de la siguiente forma: Haz clic en el símbolo +, en Name pon un nombre identificativo (por ejemplo: IPs_Permitidas) y en Address el rango o IP que quieres permitir. Para guardar cambios, haz clic en Ok.

Posteriormente, debes cambiar a la pestaña Filter Rules y añadir las siguientes reglas:

El chain input es para proteger el tráfico que va con destino a tu router. Esta regla acepta las conexiones relacionadas y establecidas (puede poner cualquier otro comentario).

 

Regla para denegar conexiones inválidas

 

Regla que acepta listas de IPs que hayas creado anteriormente

Regla que deniega el resto del tráfico (no cumple con las reglas anteriores)

Al final, tendremos algo similar a lo siguiente:

Si necesitas ayuda para proteger tu router MikroTik, en Bandalibre estaremos encantados de poder ayudarte.