Securización de router Mikrotik
Expongo aquí unas buenas prácticas básica que deberiamos hacer cada vez que instalemos o restauremos un router Mikrotik con su s.o. RouterOs.
- 1. Cambiar el usuario por defecto y eliminar el admin.
/user add name=myname password=mypassword group=full /user remove admin
- Eliminar servicios que no usamos.
/ip service disable telnet,ftp,www,api,api-ssl /ip service print
- Cambiar el puerto por defecto del servicio ssh.
/ip service set ssh port=2200 /ip service print
- Configuración del cortafuegos IPV4
- Trabajar con conexiones nuevas para bajar la carga de la cpu.
- Crear una address-list para las direcciones Ip’s a las que concedemos permiso para administrar el router
- Aceptar conexiones icmp
- Rechazar todas las demás conexiones input.
/ip firewall filter add action=accept chain=input comment="default configuration" connection-state=established,related add action=accept chain=input src-address-list=allowed_to_router add action=accept chain=input protocol=icmp add action=drop chain=input /ip firewall address-list add address=192.168.88.2-192.168.88.254 list=allowed_to_router add address=172.26.0.2-172.26.0.254 list=allowed_to_router
- Reglas IPV4 para clientes
- Los paquetes Established/related son añadidos a fasttrack para una rápida gestión.
- Rechazar conexiones inválidas y hacer log de ellas con el prefijo «invalid»;
- Rechazar intentos de llegar a direcciones no públicas desde el interior de la red local, aplicar address-list=not_in_internet antes, bridge1 es la interfaz LAN, registrar los intentos con !public_from_LAN;
- Rechazar paquete que no son NATeados, ether1 is la interfaz WAN, registrar estos intentos con el prefijo !NAT prefix;
- Rechazar paquetes desde internet, los cuales no son direcciones públicas, ether1 es la WAN, registrar los intentos con el prefijo !public;
- Rechazar los paquetes desde LAN que no tienen IP de la LAN;
/ip firewall filter add action=fasttrack-connection chain=forward comment=FastTrack connection-state=established,related add action=accept chain=forward comment="Established, Related" connection-state=established,related add action=drop chain=forward comment="Drop invalid" connection-state=invalid log=yes log-prefix=invalid add action=drop chain=forward comment="Drop tries to reach not public addresses from LAN" dst-address-list=not_in_internet in-interface=bridge1 log=yes log-prefix=!public_from_LAN out-interface=!bridge1 add action=drop chain=forward comment="Drop incoming packets that are not NATted" connection-nat-state=!dstnat connection-state=new in-interface=ether1 log=yes log-prefix=!NAT add action=drop chain=forward comment="Drop incoming from internet which is not public IP" in-interface=ether1 log=yes log-prefix=!public src-address-list=not_in_internet add action=drop chain=forward comment="Drop packets from LAN that do not have LAN IP" in-interface=bridge1 log=yes log-prefix=LAN_!LAN src-address=!192.168.88.0/24 /ip firewall address-list add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet add address=224.0.0.0/4 comment=Multicast list=not_in_internet add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=not_in_internet
Fuente wiki mikrotik