Archives: 03/05/2022

3 práticas seguras para equipamentos MikroTik que você precisa implementar

Você sabia que o Brasil é um dos países que lidera a lista de equipamentos MikroTik comprometidos por alguma falha de segurança? Muito se deve apenas a falta práticas seguras nos equipamentos.

Imagem: blog.netlab.360.com

Juntamente com a Rússia, o Brasil possui muitos equipamentos MikroTik com algum tipo de vulnerabilidade a ser explorada. Isso ocorre por má configuração e falta de aplicação de boas práticas como controle de acesso e atualização do RouterOS. Com isso, separamos 3 dicas de segurança que são indispensáveis para você aplicar em seus dispositivos.

Usuário admin

Esqueça o usuário admin. Este é o usuário padrão dos equipamentos MikroTik, quando fazemos o primeiro acesso e ele não possui nenhuma senha.

* As versões mais recentes do RouterOS
já sugerem a troca de senha do usuário admin
após o primeiro acesso
.

Portanto,  a primeira coisa que devemos fazer ao configurar um roteador MikroTik é trocar a senha de admin. Mas para deixar essa prática mais segura, recomendamos a remoção do usuário admin e adição de um usuário novo com uma senha forte*

* Combine letras maiúsculas, minúsculas, números e caracteres especiais.

Para adicionar um novo usuário:

/user
add name=”joaozinho30” group=”full” password=”S3nhA!suP3r&secR3t4”

Para remover o usuário admin:

/user remove admin

IP Services

O controle de acesso ao dispositivo MikroTik é essencial para garantir que o equipamento esteja acessível apenas por endereços IP confiáveis. 

Muitos profissionais deixam seus roteadores abertos e não contam com regras de firewall capazes de proteger o acesso indevido.

Em IP > Services, é possível controlar o acesso aos vários meios de acesso ao seu roteador MikroTik:

É extremamente recomendável desativar os serviços não utilizados e limitar o acesso dos serviços essenciais.

* Trocar a porta de acesso não é sinônimo de segurança, uma vez que um simples
port scan pode informar a nova porta de acesso.

Para seguir acessando o seu dispositivo remotamente, é recomendado o uso de VPN. Veja o nosso artigo sobre como configurar um servidor de VPN no RouterOS.

Atualização

Manter o dispositivo atualizado é uma boa prática pois evita que falhas de segurança já corrigidas sejam exploradas.

    Caso você ainda não esteja seguro para utilizar a versão 7 do RouterOS, utilize a versão 6 long-term. Versões mais antigas possuem falhas de segurança que podem comprometê-lo gravemente.

Para atualizar, basta usar o menu System > Packages e o botão “Check for Updates”

Ao clicar em “Download&Install” o roteador é reiniciado após o download do pacote. Se optar por apenas baixar o pacote usando o botão “Download”, basta reiniciar o roteador (System > Reboot) para que a atualização seja realizada.

Não esqueça de atualizar também o routerboot do roteador, em “System > RouterBOARD” e em seguida, “Upgrade”. Um novo reboot será necessário para efetivar o novo bootloader.

Você pode optar por baixar os pacotes de atualização diretamente do site da MikroTik e fazer o upload para o seu roteador, caso tenha problemas ao usar o botão “Check for Updates”.


Como configurar um servidor de VPN usando MikroTik

O termo VPN se tornou ainda mais comum após a pandemia de COVID 19. A “rede virtual privada”, se traduzirmos fielmente do inglês, trabalha no modelo cliente-servidor e nos permite fazer parte de uma conexão onde não precisamos estar obrigatoriamente presentes fisicamente.

Esse tipo de conexão é perfeita para situações em que precisamos acessar recursos de um ambiente remoto, seja ele um escritório, um datacenter ou ambiente NOC, sem precisar abrir o acesso externo que é altamente perigoso.

    Sem mais delongas, vamos colocar a mão na massa e configurar o nosso servidor de VPN usando Mikrotik. Optamos por usar  L2TP + IPSec pois traz velocidade e segurança.

Vamos dividir  a configuração em 5 partes: configuração da pool de endereços, perfil da VPN, usuários, servidor L2TP e o firewall.

IP Pool

Vamos configurar uma pool de endereços IP privados para os clientes que irão usar a VPN:

/ip pool add name=Pool_VPN ranges=10.10.10.2-10.10.10.15

Note que foi usado uma range /28 (16 IPs), pois neste exemplo não teremos muitos usuários de VPN. Pode ser também uma rede /27, /25, /24 e etc. O próximo passo é configurar o profile para o nosso VPN server.

Profile

/ppp profile 
add name=VPN local-address=10.10.10.1 \
remote-address=Pool_VPN dns-server=8.8.8.8,1.1.1.1 \
use-compression=no use-ipv6=no use-mpls=no \
use-encryption=required change-tcp-mss=yes

Neste exemplo, vejam que configuramos o profile com:

Name: VPN
Local address: 10.10.10.1 (o primeiro IP da range e vejam que ele ficou fora da pool)
Remote address: pool_VPN
DNS Server: usei endereços públicos, mas sugiro você usar os endereços que vocês normalmente utiliza na sua rede Compression, IPv6 e MPLS eu deixei desativado para este exemplo Encryption ficou habilitado com “required” para ser obrigado a usar encriptação E o change-tcp-mss é uma opção que não vamos entrar em detalhes aqui, mas serve para evitar alguns problemas de fragmentação quando usamos MTU menores do que os 1500 bytes convencionais.

* Você pode personalizar o seu perfil com mais opções, desde que saiba o que está fazendo.

Servidor L2TP + IPSec

À seguir, devemos configurar o servidor L2TP mencionando o perfil configurado anteriormente:

/interface l2tp-server server
set enabled=yes default-profile=VPN \
authentication=chap,mschap1,mschap2 use-ipsec=required \
ipsec-secret=m1nh4Ch4v3IP@SeC

No servidor L2TP, configuramos da seguinte forma:

Enabled: Yes
Default Profile: Perfil da VPN configurado anteriormente
Authentication: Todas, com exceção de pap (que é texto plano e inseguro)
Use IPSec: Required para obrigar o uso de IPsec
IPSec Secret: chave IPsec

Usuários da VPN

Adicionaremos os usuários que irão usar a VPN localmente em nosso roteador. É possível usar RADIUS caso prefiram.

/ppp secret add name=joaozinho password="LittL3j0hN#" \
service=l2tp profile=VPN

Podem adicionar quantos usuários preferirem e não se esqueçam de dar preferência para senhas seguras.

    Por último e não menos importante, devemos fazer com que o firewall aceite as conexões de VPN vindas de fora:

/ip firewall filter
add chain=input protocol=udp port=1701,500,4500
add chain=input protocol=ipsec-esp

* Basta posicionar as regras de acordo com a disposição do firewall. Devem estar acima do drop geral.

Por fim, basta utilizar as informações de usuário para configurar a conexão de VPN no celular, computador, tablet e etc.

Exemplo de usuário de VPN conectado no servidor

Agora você já sabe o básico de como configurar um servidor de VPN usando MikroTik mas não deixe de ver a documentação completa sobre a configuração de VPNs no RouterOS na página da MikroTik.