Mikrotik, reconocido por su poderoso sistema operativo RouterOS, desempeña un papel crucial en el enrutamiento y gestión de redes. Sin embargo, la efectividad de Mikrotik está directamente vinculada a la seguridad implementada por el administrador de la red. Este guía tiene como objetivo proporcionar algunos pasos básicos esenciales de seguridad en Mikrotik, destacando medidas fundamentales para proteger tu red contra posibles amenazas.
Al adentrarse en el universo de Mikrotik, es imperativo comprender que, por defecto, algunas configuraciones pueden representar vulnerabilidades. Este texto explora pasos básicos para gestionar usuarios de manera segura, proteger puertos de servicios y adoptar medidas proactivas para resguardar tu entorno de red. Al seguir las prácticas recomendadas aquí presentadas, estarás fortaleciendo las defensas de Mikrotik y contribuyendo a un entorno de red más seguro y confiable.
Gestión de usuarios por Seguridad Mikrotik
Al acceder a Mikrotik, es crucial tomar medidas inmediatas para aumentar la seguridad. El usuario admin, que inicialmente no tiene contraseña, debe configurarse con una contraseña sólida o ser reemplazado (altamente recomendado) por un nuevo usuario con permisos totales. Esto añade una capa adicional de complejidad para posibles invasores.
Sigue un paso a paso para la creación de un nuevo usuario con permisos totales y la eliminación del usuario admin:
Creando nuevo usuario en Mikrotik
Accede a Mikrotik mediante Winbox y selecciona el menú System, luego la opción Users.
En la ventana “User List”, en la pestaña Users haz clic en el botón “+” para agregar un nuevo usuario. En la ventana “New User” añade la información en los campos:
- Name – nombre del usuario;
- Group – selecciona la opción “full”, donde el usuario tendrá todos los privilegios de administrador;
- Password – proporciona una contraseña sólida, combinando letras, números, símbolos y dígitos;
- Confirm Password – confirma la contraseña proporcionada en el campo Password.
Después, haz clic en el botón “Ok” para guardar en RouterOS.
Desconéctate de Winbox y luego realiza la prueba de conexión con el nuevo usuario y contraseña.
Eliminar usuario admin por Seguridad Mikrotik
Después de asegurar el acceso con el nuevo usuario, regresa a “User List”, selecciona el usuario admin y haz clic en el botón “-” para eliminarlo.
Gestión de puertos de servicios
Accediendo al menú IP y luego la opción Services, RouterOS proporciona las opciones de los puertos que se acceden mediante IP.
Se recomienda deshabilitar el puerto que no se esté utilizando; en el escenario siguiente, ya están deshabilitados “telnet” (por no tener cifrado en su acceso) y “www-ssl”.
Para deshabilitar algún puerto, selecciónalo con el ratón y luego haz clic en el botón “X”. En el ejemplo siguiente, se seleccionó el puerto “api-ssl”.
Cambiando la numeración de puertos y permitiendo el acceso para redes específicas
Cambiar la numeración por defecto de los puertos de servicios dificulta un poco más que un atacante descubra el acceso a un servicio específico que utiliza el puerto por defecto. Se pueden utilizar números altos hasta el 65535 para la actualización.
En “IP Service List”, haz doble clic con el ratón en el puerto que deseas modificar y luego cambia los campos:
- Port – indica el número del puerto a cambiar; en este ejemplo se utilizó el número 41555 (nota: utiliza un número diferente para tu escenario);
- Available From – si deseas restringir más el acceso para algún puerto, haz clic en la flecha hacia abajo (Add new value) para habilitar el campo, luego agrega la red o una IP específica que podrá acceder a este puerto; en este ejemplo, el puerto está disponible para la red interna 192.168.1.0/24.
Haz clic en el botón OK para confirmar los cambios.
Nota: si eres cliente de MKController, al informar alguna IP en el campo “Available From”, tendrás que agregar la IP utilizada en la comunicación VPN en los puertos con los cambios realizados. Para conocer la IP de comunicación con la VPN de MKController, accede al menú IP y luego Firewall, en la regla que tenga el comentario “MKController” anota la IP utilizada y agrégala en el campo Available From de IP Service.
Numeración de puertos en MKController
Los clientes de MKController deben asegurarse de sincronizar la información después de cambiar la numeración por defecto de los puertos en Mikrotik.
Después de iniciar sesión en el sitio “https://app.mkcontroller.com“, accede al menú Dispositivos y luego haz clic en el botón “Ver más” en la representación del dispositivo.
En la parte inferior de la pantalla, en Ports verifica si la información de los puertos está actualizada según Mikrotik. Si no lo está, haz clic en el símbolo de un lápiz (Editar puertos).
Informa las numeraciones de los puertos, según estén configuradas en el dispositivo Mikrotik, y haz clic en el botón Guardar.
Embárcate en el viaje de seguridad Mikrotik con confianza, implementando pasos esenciales para fortalecer tus defensas y contribuir a un entorno de red más seguro y confiable.
¿No encontraste la información que buscabas? ¿Tienes otras preguntas? ¿Quieres ayudarnos a mejorar el material? No dudes en ponerte en contacto y buscar el soporte de MKController. Haz clic aquí para eventuales dudas.
Potencia el control, la eficiencia y el acceso remoto de tu Mikrotik con MKController. Haz clic aquí para probar ahora y descubre el poder de una gestión avanzada e intuitiva para elevar tu experiencia a nuevos niveles.
