Tips de Seguridad en Mikrotik

PorRodrigo Anrrango

Tips de Seguridad en Mikrotik

Winbox Configurar Mikrotik WirelessSi ya estas usando equipos Mikrotik, recuerda que debes protegerte de ataques de algunos intrusos para ello hemos hecho este articulo con algunos consejos necesarios para aplicar la seguridad necesaria. 

Aquí tienes 4 consejos basicos para aprovechar al máximo tu experiencia con esta marca

Una vez instalado un nuevo Router es de vital la importancia la seguridad en términos de mantener una red estable.

1. Usuarios y contraseñas

El valor predeterminado Mikrotik nombre de usuario es admin, y no tiene contraseña. Mi primer paso al configurar un nuevo Router es eliminar el usuario administrador y su sustitución por algo más seguro:

Entrar usando WinBox
En el menú de la izquierda, seleccione Sistema-> Usuarios
Aquí podrás ver el usuario administrador altamente ofensivo

Mikrotik

Antes de retirarlo, añadamos un nuevo usuario, y nos aseguramos de que el nuevo usuario puede iniciar sesión, para hacer esto, haga clic en el icono azul «+» para añadir un nuevo usuario.

Rellena el nombre de usuario deseado, que tiene un nombre de usuario seguro añade mucha complejidad a cualquier ataque tipo fuerza bruta.
Rellene una buena contraseña segura y haga clic en Aceptar.

Ahora, cierre la sesión del router y volver a iniciar sesión en el uso del nuevo usuario y contraseña. 

Ahora puede proceder a eliminar el usuario administrador, vaya a Sistema-> Usuarios, seleccione el usuario administrador, y haciendo clic en el rojo «-» icono

** GRATUITO: Descubre en VÍDEO ¡cómo Configurar Mikrotik Wireless en SOLO 45 minutos o menos!

ConfigurarMikrotikWireless

2. Puertos de acceso

Como con cualquier dispositivo conectado a Internet, la ejecución de los servicios en sus puertos por defecto es una invitación a ser hackeado. La primera, y más segura opción es desactivar cualquier servicio que no se va a utilizar. ¿Utiliza FTP para subir o descargar archivos a su RouterBOARD? Si no, entonces apagarlo. Lo mismo va para telnet, ssh y la API Winbox.

Desactivación de puertos:

Mikrotik

Inicie sesión en el router mediante Winbox, a continuación, haga clic en IP-> Servicios

Con ello se abre la ventana Servicios, aquí se puede seleccionar los servicios que usted no va a utilizar y haga clic en el rojo «-» para desactivarlas

Personalmente desactivar los siguientes servicios, a menos que tenga una necesidad específica de uno de ellos en este router específico:

ftp
www
telnet
api
api-ssl

Cambio de los puertos:

En la misma ventana «Lista de servicios IP», haga doble clic en el servicio que desea cambiar:
En este ejemplo, voy a estar cambiando ssh desde el puerto 22 al puerto 9522.
Cambie el puerto a un puerto nuevo, sólo tiene que utilizar el puerto existente con dos dígitos antepone.
Haga clic en «Aceptar»

Anote el número de puerto, de lo contrario no será capaz de usar ese servicio.

Los puertos que cambian son los siguientes:
ssh
www (donde tengo acceso a la web en el dispositivo)

3. Protección contra Hackers

Hay un codigo que protege contra este tipo de ataques y es una de las mejores maneras de asegurar que el router no puede ser hackeado en la remota posibilidad de que alguien encuentra su puerto SSH después de que lo haya cambiado. Este código bloqueará tanto para FTP y SSH ataques de fuerza bruta. Si ha cambiado los puertos que estos servicios se ejecutan en, recuerde que debe cambiar el dst-port de abajo en consecuencia.

Abre una terminal en Winbox y pegue el código en la ventana de terminal.

4. Anonimizar su conexión

Hoy en día es imposible saber quién está husmeando en la conexión a Internet. Una manera fácil de superar esto es conseguir un proveedor de VPN. No puedo hacer ninguna recomendación en cuanto a que el servicio es el mejor para usted, ya que depende de sus necesidades específicas. Sin embargo, recomendaría un proveedor que puede suministrar una conexión PPTP o SSTP.

Configuración de un túnel VPN en el Mikrotik:
Haga clic en PPP en el menú de la izquierda Winbox
Haga clic en el azul «+» y seleccione «Cliente PPTP»
En la pantalla General, sólo tiene que dar a la conexión un nombre:

Haga clic en la ficha «Dial Out», e introduzca los datos facilitados por el Servicio de VPN. He seleccionado «añadir ruta por defecto», que significa que todo el tráfico debe ser encaminado a cabo utilizando esta interfaz. (Puede que tenga que quitar cualquier otras rutas por defecto y hacer sólo una ruta específica a tu proveedor de VPN que las rutas a través de su conexión a Internet)

Rodrigo Anrrango
Experto en MikroTik Wireless v6 & Ubiquiti AirMax
http://ConfigurarMikrotikWireless.com/detalles

Acerca del autor

Rodrigo Anrrango administrator

9 comments so far

Degnis salazarPublicado en11:55 am - Feb 24, 2017

Alguien esta entrando al menú de mis antenas
Ubiquiti y me modifica la configuración a su
modo, ya he cambiado las claves y esto no
parece impedir que lo haga.

No se si me puedas ayudar en esto, mucho agradezco
tu información.

    oscarPublicado en8:27 am - Feb 15, 2019

    Hola una pregunta al bloquear estos servicios que no necesito, se bloquean dicho puertos en la mikrotik,o influye en algo por ejemplo ver mis camaras desde internet?

      adminPublicado en4:00 pm - Feb 27, 2019

      Hola Oscar,

      Al momento de bloquear algún servicio debes saber que puertos vas a bloquear y que podría afectar a tus servicios que tengas en tu red. entonces ten cuidado cuando bloques servicios.

      Saludos…

      Rodrigo Anrrango

JuanPublicado en2:07 am - Mar 6, 2018

Hola tengo un mikrotik que me han configurado pero no tengo el usuario admin y elimine por error la carpeta de hotspot y ahora no me deja subir el hotspot nuevamente que puedes hacer al respecto
espero tu respuesta
saludos

DarioPublicado en2:04 am - Mar 13, 2018

Rodrigo es un placer, soy cubano. Como puedo conectarme a un
mismo proveedor que me da servicio a través de un portal cautivo
y logar que me salgan varios portales usando un solo mikrotik,
ejemplo un Qrt o un hg5. saludos uy muchas gracias por su
atención y ayuda.

eldanyPublicado en3:46 pm - Nov 9, 2018

Yo tengo un mikrotik sxt lite 5 nd2r y reparto wifi con un tp-link
WR841N a teléfono y los clientes anclan por blutuf otros teléfono y
no tengo forma de verlos para bloquearlos con que podría yo escanear
la red para eso o donde podría verlo en el mikrotik.

NelsonPublicado en9:28 pm - Ene 21, 2019

Super UTIL ya config bien mis MK sxt5 cq ac,,gracias amigo x lo que haces desde CUBA!!—-aqui te amamos jejeje

Responder a eldany Cancelar la respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.