Archives: 07/01/2019

tchesolutions
07/01/2019

Cuidado! com o DNS recursivo no RouterOS.

Esse post começa com uma recomendação:

Não ativem o DNS recursivo no RouterOS…

… se você não precisa, ou nem sabe para que serve =).

Como eu ativo o DNS recursivo no meu roteador MikroTik? Veja só:

Marcou a checkbox, ativou o DNS recursivo.

Entretanto, ativar o DNS recursivo não implica em nenhum problema desde que você necessite utilizar. Aliás, o DNS no RouterOS atua como cache, e melhora consideravelmente a experiência para o usuário, pois agiliza as consultas a nomes de domínios.

Porém, antes de sair clicando na checkbox, é preciso estabelecer quem pode, ou quem não pode consultar o DNS do nosso roteador MikroTik. Isso tudo pois quando o “Allow Remote Requests” está habilitado, o roteador acaba respondendo consultas de DNS para qualquer IP, o que pode demandar o uso excessivo de tráfego.

Mais além, o DNS do roteador pode ser utilizado em um ataque de DDoS, onde possui um fator de amplificação de até 54 vezes.

Para controlar as respostas ao DNS do nosso roteador MikroTik, vamos usar o firewall.

Antes de adicionar as regras no firewall, vamos definir nossas interfaces de WAN, através do menu Interface > Interface List:

Após definir quais interfaces farão parte da lista WAN, vamos usar a tabela Raw do Firewall. A tabela Raw foi introduzida na versão 6.36 do RouterOS, e atua antes da connection tracking, resultando em uma melhor performance no filtro de pacotes.

Para as regras, é preciso definir a chain de prerouting, o protocolo UDP e a porta de destino 53, além de mencionar a lista de interfaces que criamos anteriormente, através do campo “In. Interface List”. A action da nossa regra será drop. Vamos duplicar a regra criada, alterando o protocolo para TCP.

Não esqueçam de comentar as regras criadas, pois documentação de rede nunca é demais.

Com essas regras, iremos descartar silenciosamente os pacotes com destino à porta 53 UDP e TCP, que vierem de qualquer interface da minha lista “WAN”. Em outras palavras, não vamos permitir a consulta de DNS recursivo, à nenhum endereço IP de fora da rede.

Essas regras são essenciais para a utilização do DNS cache do RouterOS.

Até a próxima!

Comentários desativados em Cuidado! com o DNS recursivo no RouterOS. InMikroTik Segurança
tchesolutions
07/01/2019

SNMP em Roteadores MikroTik

Introdução

O Simple Network Management Protocol já é bem conhecido da maioria dos Administradores de Rede. O SNMP é utilizado para coletar informações relevantes, tais como utilização de recursos, quantidade de tráfego, tempo de atividade, entre outros diversos parâmetros. Para facilitar, um sistema de monitoramento é utilizado para coletar as informações através de SNMP, a exemplo do Dude, PRTG e Zabbix. Estas informações nos auxiliam muito na resolução de algum problema e também no planejamento para a tomada de decisões.

O protocolo SNMP é aberto, definido nas RFCs 1157, 3414 e 3416, e suportado pelo integralmente no RouterOS. O protocolo utiliza as portas UDP 161 e 162. As configurações de SNMP se encontram através do menu IP > SNMP.

Configuração

A configuração do SNMP no RouterOS é muito simples. Basta habilitar o checkbox “Enabled”, e definir as opções de community e versão. A community padrão do protocolo SNMP é definida como “public”, e para não ativarmos nada que seja altamente conhecido, sugerimos que uma nova community seja criada. Podem caprichar na utilização de caracteres especiais, variar entre números, e letras maiúsculas e minúsculas.

A escolha da versão depende da implementação que o sistema de monitoramento estará utilizando. A versão 2 do SNMP é a mais utilizada, mas pode-se usar a versão 3, que contempla autenticação e encriptação.

Informações adicionais de contato e localização também podem ser preenchidas sem problema algum.

Segurança

É imprescindível que as consultas SNMP sejam restritas a um IP ou uma range, para evitar que qualquer dispositivo na Internet possa consultar informações e também utilizar o protocolo para um ataque de DDoS.

Através do campo “Addresses”, informamos quais IPs ou redes podem realizar consultas SNMP no dispositivo em questão.

A recomendação é que jamais o SNMP esteja habilitado sem restrição alguma (0.0.0.0/0), e com informações de fácil descoberta. Portanto, para começarmos a trabalhar com SNMP no RouterOS, lembrem-se:

  • Configure uma community diferente da padrão “public”;
  • Especifique IPs ou redes que possam realizar consultas SNMP.

Até a próxima!

Comentários desativados em SNMP em Roteadores MikroTik InMikroTik