|

Securización de router Mikrotik

Pormiguel

Expongo aquí unas buenas prácticas básica que deberiamos hacer cada vez que instalemos o restauremos un router Mikrotik con su s.o. RouterOs.

  • 1. Cambiar el usuario por defecto y eliminar el admin.
/user add name=myname password=mypassword group=full
/user remove admin
  1. Eliminar servicios que no usamos.
/ip service disable telnet,ftp,www,api,api-ssl
/ip service print
  1. Cambiar el puerto por defecto del servicio ssh.
/ip service set ssh port=2200
/ip service print
  1. Configuración del cortafuegos IPV4
  • Trabajar con conexiones nuevas para bajar la carga de la cpu.
  • Crear una address-list para las direcciones Ip’s a las que concedemos permiso para administrar el router
  • Aceptar conexiones icmp
  • Rechazar todas las demás conexiones input.
/ip firewall filter
add action=accept chain=input comment="default configuration" connection-state=established,related
add action=accept chain=input src-address-list=allowed_to_router
add action=accept chain=input protocol=icmp
add action=drop chain=input
/ip firewall address-list
add address=192.168.88.2-192.168.88.254 list=allowed_to_router
add address=172.26.0.2-172.26.0.254 list=allowed_to_router
  1. Reglas IPV4 para clientes
  • Los paquetes Established/related son añadidos a fasttrack para una rápida gestión.
  • Rechazar conexiones inválidas y hacer log de ellas con el prefijo «invalid»;
  • Rechazar intentos de llegar a direcciones no públicas desde el interior de la red local, aplicar address-list=not_in_internet antes, bridge1 es la interfaz LAN, registrar los intentos con !public_from_LAN;
  • Rechazar paquete que no son NATeados, ether1 is la interfaz WAN, registrar estos intentos con el prefijo !NAT prefix;
  • Rechazar paquetes desde internet, los cuales no son direcciones públicas, ether1 es la WAN, registrar los intentos con el prefijo !public;
  • Rechazar los paquetes desde LAN que no tienen IP de la LAN;
/ip firewall filter
add action=fasttrack-connection chain=forward comment=FastTrack connection-state=established,related
add action=accept chain=forward comment="Established, Related"  connection-state=established,related
add action=drop chain=forward comment="Drop invalid" connection-state=invalid log=yes log-prefix=invalid
add action=drop chain=forward comment="Drop tries to reach not public addresses from LAN" dst-address-list=not_in_internet in-interface=bridge1 log=yes log-prefix=!public_from_LAN out-interface=!bridge1
add action=drop chain=forward comment="Drop incoming packets that are not NATted" connection-nat-state=!dstnat connection-state=new in-interface=ether1 log=yes log-prefix=!NAT
add action=drop chain=forward comment="Drop incoming from internet which is not public IP" in-interface=ether1 log=yes log-prefix=!public src-address-list=not_in_internet
add action=drop chain=forward comment="Drop packets from LAN that do not have LAN IP" in-interface=bridge1 log=yes log-prefix=LAN_!LAN src-address=!192.168.88.0/24

/ip firewall address-list
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=not_in_internet

Fuente wiki mikrotik

Publicaciones Similares

Píldora Kali – Virtualbox

Pormiguel

Siempre que he instalado Kali hasta ahora en una máquina virtual utilizando Virtualbox he tenido problemas con el apartado gráficos en cuanto al redimensionamiento de la pantalla. Pues bien, viendo un tutorial por Youtube un compañero me dío la solución. Una vez instalado Kali, actualizado convenientemente y reiniciado, en consola tecleamos: apt-get install -y virtualbox-guest-x11…

Installing OpenVPN-ALS on Ubuntu

Pormiguel

1) Use Synaptic or apt-get to install the following: ant (and its dependencies) sun-java6-bin sun-java6-jdk 2) Switch to root via «sudo -s». 3) Add the following to .bashrc in /root: export JAVA_HOME=/usr/lib/jvm/java-6-sun export PATH=$PATH:$JAVA_HOME/bin java -version Note: «java -version» is not actually required. It just gives you a nice indicator (when shifting to root) that…

Tips iniciales Kali Linux

Pormiguel

Una vez instaladas Kali Linux tenemos que efectuar los siguientes pasos: sudo adduser miguel 2. Vamos a configurarlo para que pueda ejecutar sudo sin clave: Añadimos ahora al usuario a los grupos de Kali: sudo adduser miguel sudosudo adduser miguel kali-trusted 3. Actualizar los paquetes de kali: sudo apt update && sudo apt upgrade -ysuto…

sshput: Configurar el login sin password para servidores remotos SSH

Pormiguel

Aunque generar las claves publica/privada y subirlas a un servidor remoto SSH para que nos permita conectar directamente a la máquina sin necesidad de que nos pida la password es muy sencillo, nunca ésta de más tener un simple script que nos simplifique éstos pasos. Para ello podemos usar sshput, que nos permite generar las…

|

MITM rápido

Pormiguel

Receta Mitm. Ingredientes: Ettercap, SSlStrip, iptables, arp, una víctima(192.168.0.15), una puerta de enlace(192.168.0.1), equipo linux con dichas herramientas instaladas. Preparación: Lo primero que vamos a hacer es activar el «IP forwarding» de nuestra tarjeta de red. Esto hará que la máquina a la cual estamos atacando no pierda la conectividad: echo 1 >> /proc/sys/net/ipv4/ip_forward Seguidamente…