Protegendo seu roteador-Mikrotik

13 de agosto de 2019
 |  Nenhum comentário

Protegendo seu roteador

As etapas a seguir são recomendações sobre como proteger seu roteador. Sugerimos enfaticamente manter o firewall padrão, ele pode ser corrigido por outras regras que preencham seus requisitos de configuração. Outros ajustes e opções de configuração para proteger a segurança do seu roteador são descritos mais adiante.

Acesso a um roteador
Acessar nome de usuário
Alterar nome de usuário padrão admin para nome diferente, nome personalizado ajuda a proteger o acesso ao seu roteador, se alguém tiver acesso direto ao seu roteador.

/ user add name = senha do myname = grupo mypassword = full
/ user remove admin

Aviso: Use senha segura e nome diferente para o nome de usuário do seu roteador.

Senha de acesso
Os roteadores MikroTik exigem configuração de senha, sugerimos usar o pwgen ou outra ferramenta geradora de senha para criar senhas seguras e não repetitivas,

/ user set 0 senha = “! = {Ba3N!” 40TуX + GvKBz? jTLIUcx /, ”

Outra opção para definir uma senha

/senha
Recomendamos fortemente que você use o segundo método ou a interface do Winbox para aplicar a nova senha ao seu roteador, apenas para mantê-lo protegido de outros acessos não autorizados.

Acesso por endereço IP
Além do fato de que o firewall padrão protege seu roteador contra acesso não autorizado de redes externas, é possível restringir o acesso ao nome de usuário para o endereço IP específico

/ user set 0 endereço permitido = xxxx / yy
xxxx / yy – seu IP ou sub-rede que tem permissão para acessar seu roteador.

Nota: faça login no roteador com novas credenciais para verificar se o nome de usuário / senha está funcionando.

Serviços de roteador
Todos os roteadores de produção precisam ser administrados por serviços SSH, Winbox ou HTTPs protegidos. Use a versão mais recente do Winbox para acesso seguro. Observe que, nas versões mais recentes do Winbox, o “Modo seguro” está ativado por padrão e não pode mais ser desativado.

Serviços RouterOS
A maioria das ferramentas administrativas do RouterOS é configurada em

impressão de serviço / ip
Mantenha apenas os seguros,

/ ip serviço desativar telnet, ftp, www, api, api-ssl
impressão de serviço / ip
e também alterar a porta padrão, isso interromperá imediatamente a maioria das tentativas aleatórias de login de força bruta do SSH:

/ ip service set porta ssh = 2200
impressão de serviço / ip
Além disso, cada entidade de serviço / ip pode ser protegida pelo endereço IP permitido (o serviço de endereço responderá)

/ ip service set endereço do winbox = 192.168.88.0 / 24

RouterOS MAC-access
O RouterOS possui opções integradas para facilitar o acesso de gerenciamento a dispositivos de rede. Os serviços específicos devem ser encerrados em redes de produção.

MAC-Telnet
Desativar os serviços do mac-telnet,

/ tool mac-server set permitido-interface-list = nenhum
/ ferramenta mac-server print
MAC-Winbox
Desativar os serviços do mac-winbox,

/ tool mac-server mac-winbox set permitido-interface-list = nenhum
/ ferramenta mac-server mac-winbox print
Ping MAC
Desativar serviço de ping de mac,

/ tool mac-server ping ativado = não
/ ferramenta mac-server ping print

Descoberta Vizinha
O protocolo MikroTik Neighbor discovery é usado para mostrar e reconhecer outros roteadores MikroTik na rede, desabilitar a descoberta de vizinhos em todas as interfaces,

Conjunto de configurações de descoberta do vizinho / ip discover-interface-list = none

Servidor de largura de banda
O servidor de largura de banda é usado para testar a taxa de transferência entre dois roteadores MikroTik. Desative-o no ambiente de produção.

/ tool bandwidth-server set enabled = não

Cache de DNS
O roteador pode ter o cache DNS ativado, o que diminui o tempo de resolução de solicitações DNS de clientes para servidores remotos. Caso o cache DNS não seja necessário em seu roteador ou outro roteador seja usado para tais fins, desative-o.

/ ip dns set allow-remote-requests = não

Outros serviços de clientes
O RouterOS pode ter outros serviços ativados (eles estão desativados por padrão na configuração do RouterOS). Proxy de cache MikroTik,

Conjunto de proxy / ip ativado = não
MikroTik meias proxy,

/ ip socks set enabled = não
Serviço UPNP MikroTik,

/ ip upnp set enabled = não
Serviço de nome dinâmico MikroTik ou nuvem ip,

/ ip cloud set ddns-enabled = sem atualização-tempo = não

Acesso SSH mais seguro
O RouterOS utiliza uma criptografia mais forte para o SSH, a maioria dos programas mais recentes o utiliza, para ativar a criptografia forte do SSH:

/ ip ssh set forte-crypto = sim

Interface do roteador
Interfaces Ethernet / SFP
É recomendável desativar todas as interfaces não usadas no roteador para diminuir o acesso não autorizado ao roteador.

/ interface de impressão
/ conjunto de interfaces x disabled = yes
x números das interfaces não utilizadas.

LCD
Alguns RouterBOARDs possuem módulo de LCD para fins informativos, definem o pino ou o desabilitam.

/ lcd set enabled = não

Firewall
Sugerimos enfaticamente manter o firewall padrão ativado. Aqui estão alguns ajustes para torná-lo mais seguro, certifique-se de aplicar as regras, quando você entende o que eles estão fazendo.

Firewall IPv4 para um roteador
trabalhar com novas conexões para diminuir a carga em um roteador;
criar lista de endereços para endereços IP, com permissão para acessar seu roteador;
ativar o acesso ICMP (opcionalmente);
solte todo o resto, log = yes pode ser adicionado para registrar pacotes que atingem a regra específica;
filtro de firewall / ip
add action = aceitar chain = input comment = “configuração padrão” connection-state = established, related
adicionar ação = aceitar cadeia = entrada src-address-list = allowed_to_router
adicionar ação = aceitar cadeia = protocolo de entrada = icmp
adicionar ação = descartar cadeia = entrada
/ lista de endereços do firewall ip
adicionar endereço = 192.168.88.2-192.168.88.254 list = allowed_to_router
Firewall IPv4 para clientes
Pacotes estabelecidos / relacionados são adicionados ao fasttrack para um processamento de dados mais rápido, o firewall funcionará apenas com novas conexões;
largar a ligação inválida e registá-los com o prefixo inválido;
descartar tentativas de acessar endereços não públicos de sua rede local, aplicar address-list = not_in_internet antes, bridge1 é a interface de rede local, registrar tentativas com! public_from_LAN;
dropar pacotes recebidos que não sejam NATed, ether1 é interface pública, tentativas de log com prefixo! NAT;
dropar pacotes de entrada da Internet, que não são endereços IP públicos, ether1 é interface pública, tentativas de log com prefixo! public;
dropar pacotes da LAN que não possuam o IP da LAN, 192.168.88.0/24 é a sub-rede usada pela rede local;
filtro de firewall / ip
adicionar ação = fasttrack-connection chain = encaminhar comentário = FastTrack connection-state = established, related
add action = aceitar chain = forward comment = “Estabelecido, Relacionado” connection-state = established, related
adicionar ação = descartar cadeia = encaminhar comentário = “Descartar inválido” connection-state = log inválido = yes log-prefix = invalid
add action = descartar cadeia = encaminhar comment = “Descartar tentativas de acessar endereços não públicos da LAN” dst-address-list = não_in_internet in-interface = bridge1 log = sim log-prefix =! public_from_LAN out-interface =! bridge1
add action = descartar cadeia = encaminhar comment = “Descartar pacotes de entrada que não são NATted” connection-nat-state =! dstnat conexão-state = novo in-interface = log1 ether = yes log-prefix =! NAT
add action = descartar cadeia = encaminhar comentário = “Descartar a entrada da Internet que não é IP pública” in-interface = ether1 log = yes prefixo de log =! public src-address-list = not_in_internet
add action = drop chain = avançar comment = “Eliminar pacotes da LAN que não possuem IP da LAN” in-interface = bridge1 log = sim log-prefix = LAN_! LAN src-address =! 192.168.88.0/24

/ lista de endereços do firewall ip
adicionar endereço = 0.0.0.0 / 8 comment = RFC6890 list = not_in_internet
adicionar endereço = 172.16.0.0 / 12 comment = RFC6890 list = not_in_internet
adicionar endereço = 192.168.0.0 / 16 comment = RFC6890 list = not_in_internet
adicionar endereço = 10.0.0.0 / 8 comment = RFC6890 list = not_in_internet
adicionar endereço = 169.254.0.0 / 16 comment = RFC6890 list = not_in_internet
adicionar endereço = 127.0.0.0 / 8 comment = RFC6890 list = not_in_internet
adicionar endereço = 224.0.0.0 / 4 comment = Lista multicast = not_in_internet
adicionar endereço = 198.18.0.0 / 15 comment = RFC6890 list = not_in_internet
adicionar endereço = 192.0.0.0 / 24 comment = RFC6890 list = not_in_internet
adicionar endereço = 192.0.2.0 / 24 comment = RFC6890 list = not_in_internet
adicionar endereço = 198.51.100.0 / 24 comment = RFC6890 list = not_in_internet
adicionar endereço = 203.0.113.0 / 24 comment = RFC6890 list = not_in_internet
adicionar endereço = 100.64.0.0 / 10 comment = RFC6890 list = not_in_internet
adicionar endereço = 240.0.0.0 / 4 comment = RFC6890 list = not_in_internet
adicionar endereço = 192.88.99.0 / 24 comment = “625 relay anycast [RFC 3068]” list = not_in_internet

IPv6
Atualmente, o pacote IPv6 está desativado por padrão. Por favor, habilite o pacote com cuidado, pois o RouterOS não criará nenhuma regra de firewall padrão para o IPv6 no momento.

ND IPv6
Desativar Descoberta do Vizinho IPv6

/ ipv6 nd set [find] disabled = sim

Firewall IPv6 para um roteador
trabalhar com novos pacotes, aceitar pacotes estabelecidos / relacionados;
elimine endereços de ligação local da interface da Internet;
aceitar acesso a um roteador a partir de endereços locais de ligação, aceitar endereços multicast para fins de gerenciamento, aceitar seu endereço para acesso ao roteador;
largue qualquer outra coisa;
/ filtro de firewall ipv6
add action = aceitar chain = input comment = “permitir estabelecido e relacionado” connection-state = established, related
add chain = input ação = aceita protocolo = icmpv6 comment = “aceita o ICMPv6”
add chain = input action = aceitar protocolo = udp port = 33434-33534 comment = “defconf: aceita o traceroute UDP”
add chain = input action = aceitar protocolo = udp dst-port = 546 src-address = fe80 :: / 16 comment = “aceitar delegação de prefixo DHCPv6-Client.”
add action = drop chain = entra in-interface = sit1 log = sim log-prefix = dropLL_from_public src-address = fe80 :: / 16
add action = aceitar chain = input comment = “permitir endereços permitidos” src-address-list = allowed
adicionar ação = descartar cadeia = entrada
/ lista de endereços do firewall ipv6
adicionar endereço = fe80 :: / 16 list = allowed
adicionar endereço = xxxx :: / 48 list = allowed
adicionar endereço = ff02 :: / 16 comment = multicast list = permitido

Firewall IPv6 para clientes
Ativado O IPv6 coloca seus clientes disponíveis para redes públicas, defina o firewall adequado para proteger seus clientes.

aceitar estabelecido / relacionado e trabalhar com novos pacotes;
largar pacotes inválidos e colocar prefixo para regras;
aceitar pacotes ICMP;
aceitar nova conexão de seus clientes para a Internet;
largue tudo mais.
/ filtro de firewall ipv6
adicionar ação = aceitar cadeia = encaminhar comentário = estabelecido, relacionado conexão-estado = estabelecido, relacionado
add action = drop chain = avançar comment = inválido connection-state = inválido log = yes log-prefix = ipv6, invalid
adicionar ação = aceitar cadeia = encaminhar comentário = icmpv6 in-interface =! sit1 protocol = icmpv6
adicionar ação = aceitar cadeia = encaminhar comentário = “rede local” in-interface =! sit1 src-address-list = permitido
adicionar ação = descartar cadeia = encaminhar log-prefixo = IPV6

Tags:,