Hogar › Teléfono › Mikrotik: consejos útiles para la configuración. ¿Cómo configurar y proteger Mikrotik de intrusiones enemigas desde el exterior? Proteger el servidor de piratería externa a través de Mikrotik

Mikrotik: consejos útiles para la configuración. ¿Cómo configurar y proteger Mikrotik de intrusiones enemigas desde el exterior? Proteger el servidor de piratería externa a través de Mikrotik

Mikrotik: enrutador, enrutador, punto de acceso.

¿Cómo configurar Mikrotik? ¿Cómo proteger a Mikrotik de las intrusiones enemigas desde el exterior?
Configuración inicial del enrutador Mikrotik (enrutador). Protección inicial Mikrotik.

Para proteger su enrutador Mikrotik necesita:
1. Cambie la contraseña del administrador.
2. Deshabilite los servicios innecesarios y no utilizados.
3. Habilite NAT
4. Configure el firewall: organice el filtrado y el paso de paquetes.

PD después de configurar el comando, R, - el enrutador borrará todas las configuraciones, pero no las contraseñas, puede conectarse a él a través de WinBox a través de IP - 192.168.88.1

Configuraciones desde la consola:
nombre administrador, contraseña vacía.
Si olvida su contraseña, lo único que lo salvará es un reinicio completo: ¡reinstalar el enrutador!
Cambiar la contraseña:
> usuario editar contraseña de administrador
Se abre el editor; ingrese una nueva contraseña. Para guardar y salir, presione Ctrl+o (control y la letra o al mismo tiempo)
Puedes agregar un nuevo usuario, por si acaso:
>use agregar nombre=contraseña mkt=12345 grupo=completo

Veamos qué interfaces hay:
>impresión de interfaz

0 X ;;; PÁLIDO
éter1 éter 1500 1600 1600
1 X ;;; LAN
éter2 éter 1500 1600 1600

Activa los que necesites:
>interfaz habilitada 0
>interfaz habilitada 1
>impresión de interfaz
Banderas: D — dinámica, X — deshabilitada, R — en ejecución, S — esclava
# NOMBRE TIPO MTU L2MTU MAX-L2MTU
0 R ;;; PÁLIDO
éter1 éter 1500 1600 1600
1R ;;; LAN
éter2 éter 1500 1600 1600

Veamos la IP:
> imprimir dirección ip
Por ejemplo, tome los siguientes parámetros:
Proveedor (Internet) - 195.196.10.50
GW (puerta de enlace) - 195.196.10.49
Servidor DNS: 195.196.11.10, 195.196.12,10
Red local (interna) - 192.168.18.0/24
Agregue un proveedor de IP:
>dirección IP agregar dirección=195.196.10.10/30 interfaz=ether1
Agregar locales:
>dirección IP agregar dirección=192.168.18.0/24 interfaz=ether2
Veamos qué pasó:
> imprimir dirección ip
Agregue una puerta de enlace Provo:
> ruta ip agregar puerta de enlace = 195.196.10.49
Miremos:
> impresión de ruta ip

Añade los DNS del proveedor de Internet:
> servidores ip dns establecidos = 195.196.11.10,195.196.12,10 permitir-remoto-request = sí

Habilitar NAT (mascarada):
> ip firewall nat agregar cadena=srcnat action=masquerade out-interface=ether1
Después de esta configuración, la red interna tendrá acceso a Internet.

Configurar Firewall, es decir es necesario organizar el filtrado de paquetes (cadenas de entrada) y, por supuesto, para que después de la protección su red pueda funcionar, para organizar el paso de paquetes, estas son cadenas de reenvío:

P.D. Primero, vaya a WinBox - IP -> Firewall -> Puerto de servicio - deshabilite todo Deshabilite, deje lo necesario, es decir, en nuestro caso pptp (servidor VPN), y si desea utilizar el FTP integrado - ftp

Agregar reglas:
filtro de firewall IP agregar cadena = estado de conexión de entrada = acción no válida = soltar comentario = "Eliminar conexiones no válidas"
filtro de firewall ip agregar cadena = entrada estado de conexión = acción establecida = aceptar comentario = "Permitir conexiones establecidas"
filtro de firewall ip agregar cadena=protocolo de entrada=udp acción=aceptar comentario="Permitir UDP"
filtro de firewall IP agregar cadena=protocolo de entrada=icmp acción=aceptar comentario="Permitir ICMP"
filtro de firewall ip agregar cadena=entrada src-address=192.168.0.0/24 acción=aceptar comentario=”Permitir acceso desde la red local”
Las siguientes dos reglas son si desea configurar el acceso a través de su Mikrotik a su red interna a través de VPN (servidor pptp).
El primero abre el puerto 1723, el segundo permite el protocolo 47 (GRE).
filtro de firewall ip agregar cadena=input action=aceptar protocolo=tcp dst-port=1723 comentario=”Permitir acceso a VPN”
filtro de firewall ip agregar cadena=acción de entrada=aceptar protocolo=gre comentario=”Si tiene una VPN (servidor pptp)”
La siguiente regla le permite conectarse a su Mikrotik a través de WinBox (puerto predeterminado 8291)
P.D. Naturalmente, necesita configurar la “LISTA de servicios IP” IP -> Servicios -> Lista de servicios IP, haga clic en la línea winbox, se abrirá la ventana de edición de datos -> cambie la IP a aquella desde la que se conectará, la Se debe hacer lo mismo con SSH y WWW, deshabilite todos los demás servicios - deshabilite. (ip_address_allow - su IP)
filtro de firewall ip agregar cadena=input action=aceptar protocolo=tcp src-address=ip_address_allow dst-port=8291 comentario=”Permitir acceso a través de WinBox”
filtro de firewall ip agregar cadena=input action=aceptar protocolo=tcp src-address=ip_address_allow dst-port=22 comment="Permitir acceso a través de SSH"
filtro de firewall IP agregar cadena=input action=aceptar protocolo=tcp src-address=ip_address_allow dst-port=80 comment="Permitir acceso a través de WWW"
Si desea utilizar el FTP integrado:
filtro de firewall ip agregar cadena=input action=aceptar protocolo=tcp src-address=ip_address_allow dst-port=21 comentario=”Permitir acceso a FTP”
Picamos todo lo demás:
filtro de firewall IP agregar cadena = acción de entrada = soltar comentario = "Eliminar rechazar todos los demás"

Para proteger su red, debe inspeccionar todo el tráfico que pasa
enrutador y bloquear los no deseados.

filtro de firewall ip agregar cadena = protocolo de reenvío = estado de conexión tcp = acción no válida = soltar comentario = "Eliminar conexiones no válidas"
filtro de firewall ip agregar cadena=estado de conexión directa=acción establecida=aceptar comentario=”Permitir conexiones ya establecidas”
filtro de firewall ip agregar cadena = estado de conexión directa = acción relacionada = aceptar comentario = "Permitir conexiones relacionadas"
Por si acaso, permitimos el paso del protocolo GRE:
filtro de firewall IP agregar cadena=protocolo de reenvío=gre acción=aceptar comentario="Permitir GRE"
Si tiene un servidor VPN, permita que el puerto 3389 ejecute RDP (Escritorio remoto).
filtro de firewall ip agregar cadena=protocolo de reenvío=tcp dst-port=3389 acción=aceptar comentario=”Permitir 3389″

Bloqueamos direcciones IP de redes internas.
filtro de firewall IP agregar cadena = dirección src directa = 0.0.0.0/8 acción = soltar
filtro de firewall IP agregar cadena = dirección dst directa = 0.0.0.0/8 acción = soltar
filtro de firewall IP agregar cadena = dirección src directa = 127.0.0.0/8 acción = soltar
filtro de firewall IP agregar cadena = dirección dst directa = 127.0.0.0/8 acción = soltar
filtro de firewall IP agregar cadena = dirección src directa = 224.0.0.0/3 acción = soltar
filtro de firewall IP agregar cadena = dirección dst directa = 224.0.0.0/3 acción = soltar

O:
filtro de firewall IP agregar protocolo de reenvío de cadena = acción udp = aceptar comentario = "Permitir UDP"
filtro de firewall IP agregar protocolo de reenvío de cadena = acción icmp = aceptar comentario = "Permitir ping ICMP"
O:
Para el tráfico icmp, udp y tcp, crearemos cadenas donde descartaremos paquetes no deseados:
Creemos una transición hacia nuevas cadenas.
filtro de firewall ip agregar cadena = protocolo de reenvío = acción tcp = saltar objetivo de salto = tcp
filtro de firewall ip agregar cadena = protocolo de reenvío = acción udp = saltar objetivo de salto = udp
filtro de firewall ip agregar cadena=protocolo de reenvío=icmp acción=saltar jump-target=icmp

Creemos reglas tcp para la cadena tcp y neguemos algunos puertos:
filtro de firewall ip agregar cadena=protocolo tcp=tcp dst-port=69 acción=soltar comentario=”Denegar TFTP”
filtro de firewall ip agregar cadena=tcp protocolo=tcp dst-port=111 acción=soltar comentario=”Denegar mapeador de puertos RPC”
filtro de firewall ip agregar cadena=protocolo tcp=tcp dst-port=135 acción=soltar comentario=”Denegar mapeador de puertos RPC”
filtro de firewall ip agregar cadena=tcp protocolo=tcp dst-port=137-139 acción=soltar comentario=”Denegar NBT”
filtro de firewall ip agregar cadena=tcp protocolo=tcp dst-port=445 acción=soltar comentario=”Denegar Cifs”
filtro de firewall ip agregar cadena=tcp protocolo=tcp dst-port=2049 acción=soltar comentario=”Denegar NFS”
filtro de firewall ip agregar cadena=tcp protocolo=tcp dst-port=12345-12346 acción=soltar comentario=”Denegar NetBus”
filtro de firewall ip agregar cadena=tcp protocolo=tcp dst-port=20034 acción=soltar comentario=”Denegar NetBus”
filtro de firewall ip agregar cadena=tcp protocolo=tcp dst-port=3133 acción=soltar comentario=”Denegar BackOriffice”
filtro de firewall ip agregar cadena=tcp protocolo=tcp dst-port=67-68 acción=soltar comentario=”Denegar DHCP”

Deshabilitemos los puertos udp para la cadena udp:
filtro de firewall ip agregar cadena=udp protocolo=udp dst-port=69 acción=soltar comentario=”Denegar TFTP”
filtro de firewall ip agregar cadena=udp protocolo=udp dst-port=111 acción=soltar comentario=”Denegar mapeador de puertos PRC”
filtro de firewall ip agregar cadena=udp protocolo=udp dst-port=135 acción=soltar comentario=”Denegar mapeador de puertos PRC”
filtro de firewall ip agregar cadena=udp protocolo=udp dst-port=137-139 acción=soltar comentario=”Denegar NBT”
filtro de firewall ip agregar cadena=udp protocolo=udp dst-port=2049 acción=soltar comentario=”Denegar NFS”
filtro de firewall ip agregar cadena=udp protocolo=udp dst-port=3133 acción=soltar comentario=”Denegar BackOriffice”

Permitamos solo los códigos icmp necesarios para la cadena icmp:
filtro de firewall ip agregar cadena=icmp protocolo=icmp icmp-options=0:0 acción=aceptar comentario=»Eliminar conexiones no válidas»
filtro de firewall ip agregar cadena=icmp protocolo=icmp icmp-options=3:0 acción=aceptar comentario=”Dejar conexiones establecidas”
filtro firewall ip agregar cadena=icmp protocolo=icmp icmp-options=3:1 acción=aceptar comentario=»Permitir conexiones ya establecidas»
filtro de firewall IP agregar cadena=icmp protocolo=icmp icmp-options=4:0 acción=aceptar comentario=”Permitir extinción de fuente”
filtro de firewall ip agregar cadena=icmp protocolo=icmp icmp-options=8:0 acción=aceptar comentario=”Permitir solicitud de eco”
filtro de firewall IP agregar cadena=icmp protocolo=icmp icmp-options=11:0 acción=aceptar comentario="Permitir exceder el tiempo"
filtro de firewall ip agregar cadena=icmp protocolo=icmp icmp-options=12:0 acción=aceptar comentario=”Permitir parámetro incorrecto”
filtro de firewall ip agregar cadena=icmp acción=soltar comentario=»negar todos los demás tipos»

Sin embargo, no hay que pensar que sólo Mikrotik tiene problemas de seguridad, Ubiquiti también los tiene, ni hablar de marcas como TP-Link, etc. Es una cuestión completamente diferente que no todas las vulnerabilidades están disponibles públicamente y no todas las empresas solucionan los problemas rápidamente.

RouterOS 6.35.8 – Denegación de servicio

Una vulnerabilidad en la pila de red de MikroTik versión 6.38.5 lanzada el 9 de marzo de 2017 podría permitir que un atacante remoto no autenticado agote toda la CPU disponible a través de una avalancha de paquetes TCP RST, evitando que el enrutador afectado acepte nuevas conexiones TCP.

Si desea aprender cómo configurar MikroTik, le sugerimos que lo haga. Puede encontrar información más detallada al final de esta publicación.

La esencia de la vulnerabilidad ROS 6.38.5 se reduce a la posibilidad de cargar remotamente un enrutador con paquetes TCP RST (inundación), lo que implica una utilización de recursos de la CPU de hasta el 100% y imposibilita la recepción de paquetes adicionales, provocando una denegación de servicio. (DoS).

> monitor de recursos del sistema cpu-usado: 100% cpu-usado-por-cpu: 100% memoria libre: 8480KiB

El ataque se lleva a cabo en el puerto 8291, que se utiliza en Winbox. Además, el exploit en sí está disponible públicamente; la situación se ve agravada por el hecho de que su implementación no requiere autenticación, es decir. Incluso conoce el inicio de sesión.

Métodos de protección

Como medida temporal, puede cambiar el puerto de Winbox de 8291 a uno no estándar. Esto se puede hacer en la sección bajo IP – Servicios. La desventaja de este método es que no protege de ninguna manera contra el escaneo de puertos. Por cierto, en Mikrotik no hay ninguna protección contra el escaneo de puertos en las reglas básicas del Firewall. Si se encuentra con un usuario experimentado, cambiar el puerto no lo detendrá de ninguna manera.

La protección más efectiva será utilizar reglas de Firewall, limitando el acceso al puerto de Winbox solo para la IP del administrador. Esto se puede hacer usando la regla:

Filtro de firewall IP agregar cadena=acción de entrada=aceptar protocolo=tcp src-address=ADMIN_IP dst-port=8291 comentario=Allow_Winbox

Donde ADMIN_IP debe ser reemplazado con su IP. Al mismo tiempo, no olvide negar el acceso a Winbox a todas las demás IP.

Para los usuarios que utilizan enrutadores Mikrotik en casa, no hay nada de qué preocuparse, porque las reglas básicas del firewall prohíben el acceso a Winbox desde la WAN (Internet). Pero para las grandes redes corporativas o proveedores, el problema es mucho más grave, porque las acciones de una plaga pueden provocar fallas en la red.

Hasta que se solucione la vulnerabilidad, no queda más que esperar a que se lance una actualización para RouterOS.

Estado actualizado al 04/04/2014

La discusión sobre esta vulnerabilidad continúa en el foro oficial de mikrotik.

El usuario un1x0d realizó una prueba de explotación en RB751, hEX lite y CHR (8x Xeon), como resultado, los tres dispositivos se cargaron al 100%, lo que provocó la falla de todos los servicios de red. Además, como señaló un1x0d, la vulnerabilidad no depende del puerto y funciona con otros puertos.

El usuario McSlash probó la vulnerabilidad en RB951, RB2011, hAp Lite y CCR1036; el exploit funcionó en todos los casos. Ninguna regla de firewall ayuda. El soporte de Mikrotik aún no ha reconocido la vulnerabilidad. Seguimos monitoreando los desarrollos.

Curso en vídeo “Configuración del equipo MikroTik” (análogo al MTCNA)

¿Estás aprendiendo a trabajar con MikroTik? Recomiendo el curso en vídeo "". El curso cubre todos los temas del plan de estudios oficial de MTCNA y mucho material adicional. El curso combina una parte teórica y práctica: configurar un enrutador según las especificaciones técnicas. Las consultas sobre los trabajos del curso las lleva a cabo su autor, Dmitry Skoromnov. Adecuado tanto para el primer contacto con los equipos MikroTik como para la sistematización de conocimientos de especialistas experimentados.

La fuerza bruta es cuando alguien intenta, a veces durante mucho tiempo y con todas sus fuerzas, adivinar nuestra contraseña para cualquier cosa usando la fuerza bruta. En Linux, fail2ban se utiliza con éxito para protegerse contra esto. No existe tal placer en Mikrotik, por lo que tendremos el placer de crear protección contra la fuerza bruta con nuestras propias manos.

Lista completa de comandos, que probablemente hayas visto en la wiki oficial (http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention):

agregar cadena=protocolo de entrada=tcp dst-port=22 src-address-list=ssh_blacklist action=soltar comentario="soltar fuerzas brutas ssh" deshabilitado=no
agregar cadena = protocolo de entrada = tcp dst-port = 22 estado de conexión = nueva lista de direcciones src = ssh_stage3 acción = agregar-src-a-lista de direcciones lista de direcciones = lista negra de ssh lista de direcciones tiempo de espera = 10d comentario = " " deshabilitado = no
agregar cadena = protocolo de entrada = tcp dst-port = 22 estado de conexión = nueva lista de direcciones src = ssh_stage2 acción = agregar-src-a-lista de direcciones lista de direcciones = ssh_stage3 lista de direcciones-tiempo de espera = 1 m comentario = " " deshabilitado = no
agregar cadena = protocolo de entrada = tcp dst-port = 22 estado de conexión = nueva lista de direcciones src = ssh_stage1 acción = agregar-src-a-lista de direcciones lista de direcciones = ssh_stage2 lista de direcciones-tiempo de espera = 1 m comentario = " " deshabilitado = no
agregar cadena = protocolo de entrada = tcp dst-port = 22 estado de conexión = nueva acción = agregar-src-a-lista-de-direcciones lista-de-direcciones = ssh_stage1 lista-de-direcciones-tiempo de espera = 1 m comentario = "" deshabilitado = no

Y hay muchos lugares en Internet donde está disponible este conjunto. Sólo explicaré un poco lo que hace.

La idea es esta: damos tres intentos legítimos en poco tiempo para conectarnos vía ssh (22/tcp, si tienes un puerto diferente, usa el tuyo). Al cuarto intento, te prohibiremos durante 10 días. Tenemos el derecho. Entonces, paso a paso.

1. Al establecer una nueva conexión (estado de conexión=nuevo) con el puerto 22/tcp, recordamos la IP de origen y la colocamos en la lista “ssh_stage1” durante 1 minuto:

agregar cadena = protocolo de entrada = tcp dst-port = 22 estado de conexión = nueva acción = agregar-src-a-lista-de-direcciones lista-de-direcciones = ssh_stage1 lista-de-direcciones-tiempo de espera = 1 m comentario = "" deshabilitado = no

2. Si durante este minuto este “alguien” (y lo recordamos en “ssh_stage1”) vuelve a querer establecer una nueva conexión con 22/tcp, lo agregaremos a la lista “ssh_stage2”, y también durante 1 minuto:

agregar cadena = protocolo de entrada = tcp dst-port = 22 estado de conexión = nueva lista de direcciones src = ssh_stage1 acción = agregar-src-a-lista de direcciones lista de direcciones = ssh_stage2 lista de direcciones-tiempo de espera = 1 m comentario = " " deshabilitado = no

3. Si durante este minuto este “alguien” (ahora en “ssh_stage2”) vuelve a querer conectarse a 22/tcp, lo agregamos a la lista “ssh_stage3” (sí, lo has adivinado, nuevamente durante 1 minuto):

agregar cadena = protocolo de entrada = tcp dst-port = 22 estado de conexión = nueva lista de direcciones src = ssh_stage2 acción = agregar-src-a-lista de direcciones lista de direcciones = ssh_stage3 lista de direcciones-tiempo de espera = 1 m comentario = " " deshabilitado = no

4. Si es persistente, entonces bueno, lo agregaremos a nuestra “lista negra” “ssh_blacklist” durante 10 días, porque no importa.

agregar cadena = protocolo de entrada = tcp dst-port = 22 estado de conexión = nueva lista de direcciones src = ssh_stage3 acción = agregar-src-a-lista de direcciones lista de direcciones = lista negra de ssh lista de direcciones tiempo de espera = 10d comentario = " " deshabilitado = no

5. Y con este comando baneamos a todos los de la lista “ssh_blacklist” sin lugar a dudas (tenga en cuenta que la regla está inactiva por defecto):

agregar cadena=protocolo de entrada=tcp dst-port=22 src-address-list=ssh_blacklist action=soltar comentario="soltar fuerzas brutas ssh" deshabilitado=yes

En realidad, cuando hice tal esquema e intenté conectarme desde la consola Linux a la ip externa de mi mikrotik, ya en el segundo intento (y no en el 3 o 4) la ip del “atacante” se incluyó en el “ssh_blacklist " lista. No uso ssh para Mikrotik, así que en mi caso no es fatal, pero si realmente te conectas de forma remota así, entonces Al principio podría ser una buena idea no habilitar la regla de prohibición (desactivada=sí). Déjelos entrar en la lista, sin hacer preguntas. Calcule en la práctica cuántas veces necesita conectarse seguidas antes de aparecer en la lista de prohibiciones. Después de las comprobaciones, active la regla de prohibición según la lista "ssh_blacklist". Pido disculpas porque los comandos son largos, pero el analizador se come la barra invertida, por lo que termina en una línea.

Popular en la categoría: