Cuando la mayor\u00eda de los administradores de redes de ISPs, universidades y organizaciones piensan en seguridad de red usualmente se preocupan s\u00f3lo de asegurar la capa 3 hacia arriba esto utilizando reglas de firewall para proteger a nivel de direcciones\/prefijos IP que pueden acceder a ciertos equipos, o habilitando reglas para permitir s\u00f3lo ciertos puertos. Sin embargo, pocos se preocupan de asegurar sus equipos de borde de cara a su Proveedor de IP tr\u00e1nsito, Internet Exchange o inclusive sus equipos de cara a los clientes, dejando expuesto sus equipos m\u00e1s importantes.<\/p>\n\n\n\n
El objetivo de esta gu\u00eda es explicar c\u00f3mo implementar algunas buenas pr\u00e1cticas de seguridad para proteger la capa 2, a nivel MAC, de los Routers Mikrotik de borde o de cara directa a los clientes.<\/p>\n\n\n\n
Mikrotik viene por defecto habilitado con algunas funcionalidades de acceso v\u00eda capa 2 muy \u00fatiles que te permiten recuperar el acceso a un equipo cuando se pierde la conectividad por capa 3 pero que si no se protegen pueden convertirse en serias vulnerabilidades de seguridad al estar activas en las interfaces WAN. Es por esto que hemos creado una gu\u00eda que te ayuda a proteger tu equipo de borde.<\/p>\n\n\n\n
No te olvides de mantener el firmware de tu equipo actualizado.<\/strong><\/p>\n\n\n\n Para seguir obteniendo los beneficios de estas hermosas herramientas pero sin sus peligros es recomendable limitar su accesibilidad s\u00f3lo a las interfaces seguras, es decir, aquellas que sabemos no pueden ser accesadas por terceros.<\/p>\n\n\n\n Lo primero que haremos es crear dos listas de interfaces. Una para las interfaces externas, no seguras por definici\u00f3n, ya que se conectan fuera de nuestra red, y otra para las interfaces internas que son seguras, es decir, que no se conectan directamente a clientes, sino que por ejemplo se conectan a nuestro NOC. En nuestro ejemplo, agregamos las 2 interfaces WAN que tenemos, una del Proveedor de IP transit y la otra del Peru IX a la lista de interfaces_externas Y en nuestro ejemplo agregamos dos interfaces internas seguras a dicha lista, una que apunta a nuestra red de monitoreo y otra la ether1 que usamos como management solo conectado a un PC en nuestro total control. Por defecto RouterOS habilita Neighbor Discovery settings en todas las interfaces, se recomienda dejarlo s\u00f3lo para las interfaces seguras si quiero m\u00e1xima privacidad, aunque perderemos la visibilidad a los otros equipos conectados en dichas interfaces. Por esto, haremos una regla que permite el Neighbor discovery a todos los puertos EXCEPTO a los puertos de la lista de interfaces externas. Adem\u00e1s, para evitar que alguien pueda tratar de ingresar a nuestro router v\u00eda MAC Telnet o MAC-Winbox vamos a permitir estas funcionalidades s\u00f3lo a trav\u00e9s de las interfaces internas seguras<\/p>\n\n\n\n Por defecto RouterOS permite estas dos funcionalidades en todas las interfaces, dejar esto activo en las interfaces WAN expone gravemente la seguridad de nuestro equipo de borde. Espero esta gu\u00eda les sirva de ayuda para as\u00ed mantener sus redes m\u00e1s seguras. \u00bfHay alguna recomendaci\u00f3n de seguridad de Capa 2 que crees que deber\u00edamos agregar a esta gu\u00eda?<\/p>\n","protected":false},"excerpt":{"rendered":" Introducci\u00f3n Cuando la mayor\u00eda de los administradores de redes de ISPs, universidades y organizaciones piensan en seguridad de red usualmente se preocupan s\u00f3lo de asegurar la capa 3 hacia arriba esto utilizando reglas de firewall para proteger a nivel de direcciones\/prefijos IP que pueden acceder a ciertos equipos, o habilitando reglas para permitir s\u00f3lo ciertos […]<\/p>\n","protected":false},"author":7,"featured_media":4217,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_joinchat":[],"footnotes":""},"categories":[9],"tags":[],"class_list":["post-953","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog"],"yoast_head":"\nCrear una Lista de Interfaces externas y una lista de interfaces internas seguras<\/h3>\n\n\n\n
1<\/em>\/interface list 2<\/em>add name=interfaces_externas 3<\/em>add name=interfaces_internas_seguras<\/code><\/p>\n\n\n\nAgregar las interfaces WAN a la lista de interfaces externas<\/h3>\n\n\n\n
1<\/em>\/interface list member 2<\/em>add interface=IP_TRANSIT_sfp-sfpplus2 list=interfaces_externas 3<\/em>add interface=PERU_IX_sfp-sfpplus1 list=interfaces_externas<\/code><\/p>\n\n\n\nAgregar las interfaces LAN confiables a la lista de interfaces internas seguras<\/h3>\n\n\n\n
1<\/em>\/interface list member 2<\/em>add interface=LAN-sfpplus3 list=interfaces_internas_seguras 3<\/em>add interface=ether1 list=interfaces_internas_seguras<\/code><\/p>\n\n\n\nNo permitir Neighbors en las interfaces externas<\/h2>\n\n\n\n
1<\/em>\/ip neighbor discovery-settings 2<\/em>set discover-interface-list=!interfaces_externas<\/code><\/p>\n\n\n\nS\u00f3lo permitir acceso MAC Telnet Server y MAC Winbox desde las interfaces seguras<\/h3>\n\n\n\n
1<\/em>\/tool mac-server 2<\/em>set allowed-interface-list=interfaces_internas_seguras 3<\/em>\/tool mac-server mac-winbox 4<\/em>set allowed-interface-list=interfaces_internas_seguras<\/code><\/p>\n\n\n\n