Archives: 03/05/2022

tchesolutions
03/05/2022

3 práticas seguras para equipamentos MikroTik que você precisa implementar

Você sabia que o Brasil é um dos países que lidera a lista de equipamentos MikroTik comprometidos por alguma falha de segurança? Muito se deve apenas a falta práticas seguras nos equipamentos.

Imagem: blog.netlab.360.com

Juntamente com a Rússia, o Brasil possui muitos equipamentos MikroTik com algum tipo de vulnerabilidade a ser explorada. Isso ocorre por má configuração e falta de aplicação de boas práticas como controle de acesso e atualização do RouterOS. Com isso, separamos 3 dicas de segurança que são indispensáveis para você aplicar em seus dispositivos.

Usuário admin

Esqueça o usuário admin. Este é o usuário padrão dos equipamentos MikroTik, quando fazemos o primeiro acesso e ele não possui nenhuma senha.

* As versões mais recentes do RouterOS
já sugerem a troca de senha do usuário admin
após o primeiro acesso.

Portanto,  a primeira coisa que devemos fazer ao configurar um roteador MikroTik é trocar a senha de admin. Mas para deixar essa prática mais segura, recomendamos a remoção do usuário admin e adição de um usuário novo com uma senha forte*

* Combine letras maiúsculas, minúsculas, números e caracteres especiais.

Para adicionar um novo usuário:

/user
add name=”joaozinho30” group=”full” password=”S3nhA!suP3r&secR3t4”

Para remover o usuário admin:

/user remove admin

IP Services

O controle de acesso ao dispositivo MikroTik é essencial para garantir que o equipamento esteja acessível apenas por endereços IP confiáveis. 

Muitos profissionais deixam seus roteadores abertos e não contam com regras de firewall capazes de proteger o acesso indevido.

Em IP > Services, é possível controlar o acesso aos vários meios de acesso ao seu roteador MikroTik:

É extremamente recomendável desativar os serviços não utilizados e limitar o acesso dos serviços essenciais.

* Trocar a porta de acesso não é sinônimo de segurança, uma vez que um simples
port scan pode informar a nova porta de acesso.

Para seguir acessando o seu dispositivo remotamente, é recomendado o uso de VPN. Veja o nosso artigo sobre como configurar um servidor de VPN no RouterOS.

Atualização

Manter o dispositivo atualizado é uma boa prática pois evita que falhas de segurança já corrigidas sejam exploradas.

    Caso você ainda não esteja seguro para utilizar a versão 7 do RouterOS, utilize a versão 6 long-term. Versões mais antigas possuem falhas de segurança que podem comprometê-lo gravemente.

Para atualizar, basta usar o menu System > Packages e o botão “Check for Updates”

Ao clicar em “Download&Install” o roteador é reiniciado após o download do pacote. Se optar por apenas baixar o pacote usando o botão “Download”, basta reiniciar o roteador (System > Reboot) para que a atualização seja realizada.

Não esqueça de atualizar também o routerboot do roteador, em “System > RouterBOARD” e em seguida, “Upgrade”. Um novo reboot será necessário para efetivar o novo bootloader.

Você pode optar por baixar os pacotes de atualização diretamente do site da MikroTik e fazer o upload para o seu roteador, caso tenha problemas ao usar o botão “Check for Updates”.

Comentários desativados em 3 práticas seguras para equipamentos MikroTik que você precisa implementar InMikroTik Redes Segurança
tchesolutions
02/05/2022

Como configurar um servidor de VPN usando MikroTik

O termo VPN se tornou ainda mais comum após a pandemia de COVID 19. A “rede virtual privada”, se traduzirmos fielmente do inglês, trabalha no modelo cliente-servidor e nos permite fazer parte de uma conexão onde não precisamos estar obrigatoriamente presentes fisicamente.

Esse tipo de conexão é perfeita para situações em que precisamos acessar recursos de um ambiente remoto, seja ele um escritório, um datacenter ou ambiente NOC, sem precisar abrir o acesso externo que é altamente perigoso.

    Sem mais delongas, vamos colocar a mão na massa e configurar o nosso servidor de VPN usando Mikrotik. Optamos por usar  L2TP + IPSec pois traz velocidade e segurança.

Vamos dividir  a configuração em 5 partes: configuração da pool de endereços, perfil da VPN, usuários, servidor L2TP e o firewall.

IP Pool

Vamos configurar uma pool de endereços IP privados para os clientes que irão usar a VPN:

/ip pool add name=Pool_VPN ranges=10.10.10.2-10.10.10.15

Note que foi usado uma range /28 (16 IPs), pois neste exemplo não teremos muitos usuários de VPN. Pode ser também uma rede /27, /25, /24 e etc. O próximo passo é configurar o profile para o nosso VPN server.

Profile

/ppp profile 
add name=VPN local-address=10.10.10.1 \
remote-address=Pool_VPN dns-server=8.8.8.8,1.1.1.1 \
use-compression=no use-ipv6=no use-mpls=no \
use-encryption=required change-tcp-mss=yes

Neste exemplo, vejam que configuramos o profile com:

Name: VPN
Local address: 10.10.10.1 (o primeiro IP da range e vejam que ele ficou fora da pool)
Remote address: pool_VPN
DNS Server: usei endereços públicos, mas sugiro você usar os endereços que vocês normalmente utiliza na sua rede Compression, IPv6 e MPLS eu deixei desativado para este exemplo Encryption ficou habilitado com “required” para ser obrigado a usar encriptação E o change-tcp-mss é uma opção que não vamos entrar em detalhes aqui, mas serve para evitar alguns problemas de fragmentação quando usamos MTU menores do que os 1500 bytes convencionais.

* Você pode personalizar o seu perfil com mais opções, desde que saiba o que está fazendo.

Servidor L2TP + IPSec

À seguir, devemos configurar o servidor L2TP mencionando o perfil configurado anteriormente:

/interface l2tp-server server
set enabled=yes default-profile=VPN \
authentication=chap,mschap1,mschap2 use-ipsec=required \
ipsec-secret=m1nh4Ch4v3IP@SeC

No servidor L2TP, configuramos da seguinte forma:

Enabled: Yes
Default Profile: Perfil da VPN configurado anteriormente
Authentication: Todas, com exceção de pap (que é texto plano e inseguro)
Use IPSec: Required para obrigar o uso de IPsec
IPSec Secret: chave IPsec

Usuários da VPN

Adicionaremos os usuários que irão usar a VPN localmente em nosso roteador. É possível usar RADIUS caso prefiram.

/ppp secret add name=joaozinho password="LittL3j0hN#" \
service=l2tp profile=VPN

Podem adicionar quantos usuários preferirem e não se esqueçam de dar preferência para senhas seguras.

    Por último e não menos importante, devemos fazer com que o firewall aceite as conexões de VPN vindas de fora:

/ip firewall filter
add chain=input protocol=udp port=1701,500,4500
add chain=input protocol=ipsec-esp

* Basta posicionar as regras de acordo com a disposição do firewall. Devem estar acima do drop geral.

Por fim, basta utilizar as informações de usuário para configurar a conexão de VPN no celular, computador, tablet e etc.

Exemplo de usuário de VPN conectado no servidor

Agora você já sabe o básico de como configurar um servidor de VPN usando MikroTik mas não deixe de ver a documentação completa sobre a configuração de VPNs no RouterOS na página da MikroTik.

Comentários desativados em Como configurar um servidor de VPN usando MikroTik InMikroTik Redes Segurança
Fernando Garcia
30/03/2022

Bem vindo aos 100 Gbps com MikroTik

No mercado de Telecom desde 1996, a MikroTik sempre teve como missão entregar soluções de rede a baixo custo, viabilizando o crescimento de milhares de negócios mundo afora, principalmente provedores de Internet.

Desde o surgimento do sistema operacional que podia ser instalado em um PC o catálogo tem evoluído muito e agora a MikroTik dá mais um importante passo em direção ao futuro com a chegada do primeiro equipamento com interfaces de 100Gbps. Trata-se da CCR2216-1G-12XS-2XQ.

CCR2216-1G-12XS-2XQ

Segundo o próprio fabricante esse modelo é a evolução perfeita para a CCR 1072, o qual apresentou uma performance muito superior em testes de bancada, passando um tráfego agregado de mais de 200 Gbps.

Teste divulgado pelo fabricante

A nova CCR conta com 2 interfaces QSFP28 com capacidade para 100Gbps cada, também possui 12 interfaces SFP28 para 25 Gbps e ainda uma porta Gigabit Ethernet.

Diferentemente da CCR 2116 que roda apenas a versão 7 do RouterOS, a nova CCR 2216 vem de fábrica com a versão 6 instalada, podendo ser realizado upgrade pelo usuário.

O preço sugerido pelo fabricante é de $2795,00 (dólares).

Confira o vídeo da MikroTik sobre o produto. (em inglês)

Detalhes
Código do produtoCCR2216-1G-12XS-2XQ
ArquiteturaARM 64 bits
CPUAL73400
contagem de núcleos da CPU16
Frequência nominal da CPU2000MHz
Licença do RouterOS6
Sistema operacionalRoteador OS 7
Tamanho da RAM16 GB
Tamanho do armazenamento128 MB
Tipo de armazenamentoNAND
MTBFAproximadamente 200.000 horas a 25C
Temperatura ambiente testada-20°C a 60°C
Preço sugerido$ 2.795,00
Número de entradas CA2
Faixa de entrada CA100-240
Consumo máximo de energia128 W
Consumo máximo de energia sem acessórios80 W
Tipo de resfriamento4
10/100/1000 portas Ethernet1
Número de portas 25G SFP2812
Número de portas 100G QSFP282
Porta serial do consoleRJ45
Número de slots M.22
Monitor de temperatura da CPUsim
Monitor de temperatura PCBsim
Monitor de tensãosim
CertificaçãoCE, EAC, ROHS
IP20

Mais detalhes na página do produto.

Confira mais novidades sobre o mundo de telecom no Blog da Tchê!

Comentários desativados em Bem vindo aos 100 Gbps com MikroTik InMikroTik Redes