Tag segurança

tchesolutions
03/05/2022

3 práticas seguras para equipamentos MikroTik que você precisa implementar

Você sabia que o Brasil é um dos países que lidera a lista de equipamentos MikroTik comprometidos por alguma falha de segurança? Muito se deve apenas a falta práticas seguras nos equipamentos.

Imagem: blog.netlab.360.com

Juntamente com a Rússia, o Brasil possui muitos equipamentos MikroTik com algum tipo de vulnerabilidade a ser explorada. Isso ocorre por má configuração e falta de aplicação de boas práticas como controle de acesso e atualização do RouterOS. Com isso, separamos 3 dicas de segurança que são indispensáveis para você aplicar em seus dispositivos.

Usuário admin

Esqueça o usuário admin. Este é o usuário padrão dos equipamentos MikroTik, quando fazemos o primeiro acesso e ele não possui nenhuma senha.

* As versões mais recentes do RouterOS
já sugerem a troca de senha do usuário admin
após o primeiro acesso.

Portanto,  a primeira coisa que devemos fazer ao configurar um roteador MikroTik é trocar a senha de admin. Mas para deixar essa prática mais segura, recomendamos a remoção do usuário admin e adição de um usuário novo com uma senha forte*

* Combine letras maiúsculas, minúsculas, números e caracteres especiais.

Para adicionar um novo usuário:

/user
add name=”joaozinho30” group=”full” password=”S3nhA!suP3r&secR3t4”

Para remover o usuário admin:

/user remove admin

IP Services

O controle de acesso ao dispositivo MikroTik é essencial para garantir que o equipamento esteja acessível apenas por endereços IP confiáveis. 

Muitos profissionais deixam seus roteadores abertos e não contam com regras de firewall capazes de proteger o acesso indevido.

Em IP > Services, é possível controlar o acesso aos vários meios de acesso ao seu roteador MikroTik:

É extremamente recomendável desativar os serviços não utilizados e limitar o acesso dos serviços essenciais.

* Trocar a porta de acesso não é sinônimo de segurança, uma vez que um simples
port scan pode informar a nova porta de acesso.

Para seguir acessando o seu dispositivo remotamente, é recomendado o uso de VPN. Veja o nosso artigo sobre como configurar um servidor de VPN no RouterOS.

Atualização

Manter o dispositivo atualizado é uma boa prática pois evita que falhas de segurança já corrigidas sejam exploradas.

    Caso você ainda não esteja seguro para utilizar a versão 7 do RouterOS, utilize a versão 6 long-term. Versões mais antigas possuem falhas de segurança que podem comprometê-lo gravemente.

Para atualizar, basta usar o menu System > Packages e o botão “Check for Updates”

Ao clicar em “Download&Install” o roteador é reiniciado após o download do pacote. Se optar por apenas baixar o pacote usando o botão “Download”, basta reiniciar o roteador (System > Reboot) para que a atualização seja realizada.

Não esqueça de atualizar também o routerboot do roteador, em “System > RouterBOARD” e em seguida, “Upgrade”. Um novo reboot será necessário para efetivar o novo bootloader.

Você pode optar por baixar os pacotes de atualização diretamente do site da MikroTik e fazer o upload para o seu roteador, caso tenha problemas ao usar o botão “Check for Updates”.

Comentários desativados em 3 práticas seguras para equipamentos MikroTik que você precisa implementar InMikroTik Redes Segurança
tchesolutions
02/05/2022

Como configurar um servidor de VPN usando MikroTik

O termo VPN se tornou ainda mais comum após a pandemia de COVID 19. A “rede virtual privada”, se traduzirmos fielmente do inglês, trabalha no modelo cliente-servidor e nos permite fazer parte de uma conexão onde não precisamos estar obrigatoriamente presentes fisicamente.

Esse tipo de conexão é perfeita para situações em que precisamos acessar recursos de um ambiente remoto, seja ele um escritório, um datacenter ou ambiente NOC, sem precisar abrir o acesso externo que é altamente perigoso.

    Sem mais delongas, vamos colocar a mão na massa e configurar o nosso servidor de VPN usando Mikrotik. Optamos por usar  L2TP + IPSec pois traz velocidade e segurança.

Vamos dividir  a configuração em 5 partes: configuração da pool de endereços, perfil da VPN, usuários, servidor L2TP e o firewall.

IP Pool

Vamos configurar uma pool de endereços IP privados para os clientes que irão usar a VPN:

/ip pool add name=Pool_VPN ranges=10.10.10.2-10.10.10.15

Note que foi usado uma range /28 (16 IPs), pois neste exemplo não teremos muitos usuários de VPN. Pode ser também uma rede /27, /25, /24 e etc. O próximo passo é configurar o profile para o nosso VPN server.

Profile

/ppp profile 
add name=VPN local-address=10.10.10.1 \
remote-address=Pool_VPN dns-server=8.8.8.8,1.1.1.1 \
use-compression=no use-ipv6=no use-mpls=no \
use-encryption=required change-tcp-mss=yes

Neste exemplo, vejam que configuramos o profile com:

Name: VPN
Local address: 10.10.10.1 (o primeiro IP da range e vejam que ele ficou fora da pool)
Remote address: pool_VPN
DNS Server: usei endereços públicos, mas sugiro você usar os endereços que vocês normalmente utiliza na sua rede Compression, IPv6 e MPLS eu deixei desativado para este exemplo Encryption ficou habilitado com “required” para ser obrigado a usar encriptação E o change-tcp-mss é uma opção que não vamos entrar em detalhes aqui, mas serve para evitar alguns problemas de fragmentação quando usamos MTU menores do que os 1500 bytes convencionais.

* Você pode personalizar o seu perfil com mais opções, desde que saiba o que está fazendo.

Servidor L2TP + IPSec

À seguir, devemos configurar o servidor L2TP mencionando o perfil configurado anteriormente:

/interface l2tp-server server
set enabled=yes default-profile=VPN \
authentication=chap,mschap1,mschap2 use-ipsec=required \
ipsec-secret=m1nh4Ch4v3IP@SeC

No servidor L2TP, configuramos da seguinte forma:

Enabled: Yes
Default Profile: Perfil da VPN configurado anteriormente
Authentication: Todas, com exceção de pap (que é texto plano e inseguro)
Use IPSec: Required para obrigar o uso de IPsec
IPSec Secret: chave IPsec

Usuários da VPN

Adicionaremos os usuários que irão usar a VPN localmente em nosso roteador. É possível usar RADIUS caso prefiram.

/ppp secret add name=joaozinho password="LittL3j0hN#" \
service=l2tp profile=VPN

Podem adicionar quantos usuários preferirem e não se esqueçam de dar preferência para senhas seguras.

    Por último e não menos importante, devemos fazer com que o firewall aceite as conexões de VPN vindas de fora:

/ip firewall filter
add chain=input protocol=udp port=1701,500,4500
add chain=input protocol=ipsec-esp

* Basta posicionar as regras de acordo com a disposição do firewall. Devem estar acima do drop geral.

Por fim, basta utilizar as informações de usuário para configurar a conexão de VPN no celular, computador, tablet e etc.

Exemplo de usuário de VPN conectado no servidor

Agora você já sabe o básico de como configurar um servidor de VPN usando MikroTik mas não deixe de ver a documentação completa sobre a configuração de VPNs no RouterOS na página da MikroTik.

Comentários desativados em Como configurar um servidor de VPN usando MikroTik InMikroTik Redes Segurança
tchesolutions
16/03/2020

VPN para o surto de Corona Vírus

Antes de mais nada, este post não leva em tom de humor o surto de COVID-19 que o mundo está enfrentando atualmente.

Como todo mundo deve saber, estamos imersos ao surto do vírus COVID-19, também conhecido como Corona Vírus. Há alguns meses vivemos uma transformação das nossas ações diárias, redobrando o cuidado com a higiene e cada vez mais evitando aglomerações de pessoas, para evitar a propagação da doença.

Sem mais delongas, o ponto em que queremos chegar aqui é que a cada dia, empresas, escritórios, instituições de ensino, e outros, estão aderindo ao “Home Office” que é o conhecido trabalho remoto.

A finalidade é evitar que estejamos expostos uns aos outros, mas sem prejudicar (ainda mais) as nossas rotinas de trabalho.

Lembrando que o “Home Office” já é uma realidade de muitas empresas que muitas vezes nem possuem espaços de trabalho físico. Essa modalidade de trabalho evita com que os colaboradores enfrentem o stress do trânsito até chegar na empresa, além de perder tempo neste deslocamento, e dentre outras coisas boas, possam moldar o seu horário de trabalho, podendo escolher inclusive, em qual parte do mundo morar.

A preocupação que temos em relação ao trabalho remoto “forçado” pelo surto de Corona Vírus, é que muitas empresas estão ao invés de manter suas informações seguras, expondo-as para o mundo externo, para conseguir acesso de casa ou outro local fora do ambiente de trabalho.

A exposição de serviços implica em tentativas de acesso (que podem ser de brute force), e/ou exploração de vulnerabilidades, com o intuito de encontrar algum brecha para poder ter acesso privilegiado à informação. Nos dias de hoje, não há nada mais importante que a informação que compõe os nossos sistemas, serviços, e etc.

Não só pense em liberar as pessoas para trabalhar em “Home Office”, mas também pense na segurança das informações da sua empresa. Para isso existe a VPN (Virtual Private Network), onde os seus dados estão devidamente protegidos por meio de um túnel criptografado entre o seu “Home Office” e o escritório.

Nunca ouviu falar em VPN? Fala com a gente que vamos te ajudar proteger a informação da sua empresa!

Até a próxima!

Comentários desativados em VPN para o surto de Corona Vírus InNegócios Redes Segurança
tchesolutions
05/04/2019

MikroTik lança correções para vulnerabilidades no protocolo IPv6

Publicado por tchesolutions em 05/04/2019

Na última semana, falamos aqui no Blog sobre possíveis vulnerabilidades que foram descobertas no RouterOS, referentes ao protocolo IPv6:

https://tchesolutions.com.br/site/mikrotik-trabalha-na-resolucao-de-vulnerabilidade-no-protocolo-ipv6/

No dia 4 de abril, as correções foram devidamente lançadas nos canais Long-term, Stable e Beta, conforme anúncio no Blog oficial da MikroTik:

https://blog.mikrotik.com/software/cve-2018-19298-cve-2018-19299-ipv6-resource-exhaustion.html

Portanto, é hora de atualizar os seus dispositivos, visto que a vulnerabilidade será exposta no dia 9 de Abril, conforme mencionamos no post anterior.

Até a próxima!

Comentários desativados em MikroTik lança correções para vulnerabilidades no protocolo IPv6 InMikroTik Redes Segurança
tchesolutions
08/03/2019

MikroTik trabalha na resolução de vulnerabilidade no protocolo IPv6

Em torno do dia 27 de Março de 2019, começou a se espalhar a informação de que uma nova vulnerabilidade foi descoberta no RouterOS. Dessa vez, o alvo é o protocolo IPv6.

Além disso, é dito que essa vulnerabilidade é conhecida há mais ou menos 1 ano, porém, sem ser exposta e documentada publicamente.

O prazo para que essa vulnerabilidade seja publicamente documentada através de uma CVE, é dia 9 de Abril de 2019, durante a apresentação do pesquisador Marek Isalski, no UKNOF-43 (https://indico.uknof.org.uk/event/46/).

O problema em questão afeta diretamente os recursos do hardware, de forma a esgota-los, causando a interrupção do serviço (Denial of Service). Ainda não há um detalhamento de como o processo ocorre, mas segundo o pesquisador Marek Isalski, simples (e poucos) pacotes IPv6 podem fazer com que o roteador seja reiniciado pelo Watchdog (https://wiki.mikrotik.com/wiki/Manual:System/Watchdog), diante da falta de memória RAM.

O que sabemos até agora?

  • Há uma vulnerabilidade que afeta o protocolo IPv6 em roteadores MikroTik;
  • Ela ainda não foi publicamente documentada, mas será, de acordo com a apresentação de Marek, no dia 9 de Abril, no UKNOF-43.
  • Essa vulnerabilidade é conhecida pela MikroTik, que está trabalhando para corrigir o quanto antes;
  • Segundo a própria MikroTik, o processo de correção não é tão simples, pois envolve questões relacionadas ao Kernel utilizado no RouterOS;
  • Ainda assim, a MikroTik informou em seu fórum oficial, que uma correção será liberada antes do prazo (9 de Abril de 2019);
  • Algumas correções já estão sendo liberadas na versão 6.45 beta (https://mikrotik.com/download/changelogs/testing-release-tree);

Diante de tudo isso…

  • Não criemos pânico! Como a vulnerabilidade ainda não foi publicamente exposta, aguardemos um pronunciamento oficial da MikroTik, que deve ocorrer tanto no fórum oficial (https://forum.mikrotik.com), quanto no blog (https://blog.mikrotik.com);
  • Não executem ações precipitadas. Há usuários solicitando revisão de regras de firewall IPv6, a criação de tais regras visando a proteção à essa vulnerabilidade, alguns desabilitando o pacote IPv6, e outros removendo todas as configurações IPv6 presente nos roteadores;
  • Nada disso é necessário ainda. Acreditamos que as correções serão disponibilizadas em breve, e com isso, faremos os testes e a devida atualização de nossos equipamentos;
  • Por último e muito importante: Não espalhem falsas notícias sobre o assunto. As modistas Fake News causam um impacto muito negativo, e se espalham muito mais rápido.

De onde saíram todas essas informações?

Do fórum oficial da MikroTik (https://forum.mikrotik.com/viewtopic.php?f=2&t=147048). Sugiro a leitura completa dos posts, e também dos links externos.

Ao longo dos próximos dias teremos mais informações sobre o assunto.

Até a próxima!

Comentários desativados em MikroTik trabalha na resolução de vulnerabilidade no protocolo IPv6 InMikroTik Redes Segurança
tchesolutions
07/01/2019

SNMP em Roteadores MikroTik

Introdução

O Simple Network Management Protocol já é bem conhecido da maioria dos Administradores de Rede. O SNMP é utilizado para coletar informações relevantes, tais como utilização de recursos, quantidade de tráfego, tempo de atividade, entre outros diversos parâmetros. Para facilitar, um sistema de monitoramento é utilizado para coletar as informações através de SNMP, a exemplo do Dude, PRTG e Zabbix. Estas informações nos auxiliam muito na resolução de algum problema e também no planejamento para a tomada de decisões.

O protocolo SNMP é aberto, definido nas RFCs 1157, 3414 e 3416, e suportado pelo integralmente no RouterOS. O protocolo utiliza as portas UDP 161 e 162. As configurações de SNMP se encontram através do menu IP > SNMP.

Configuração

A configuração do SNMP no RouterOS é muito simples. Basta habilitar o checkbox “Enabled”, e definir as opções de community e versão. A community padrão do protocolo SNMP é definida como “public”, e para não ativarmos nada que seja altamente conhecido, sugerimos que uma nova community seja criada. Podem caprichar na utilização de caracteres especiais, variar entre números, e letras maiúsculas e minúsculas.

A escolha da versão depende da implementação que o sistema de monitoramento estará utilizando. A versão 2 do SNMP é a mais utilizada, mas pode-se usar a versão 3, que contempla autenticação e encriptação.

Informações adicionais de contato e localização também podem ser preenchidas sem problema algum.

Segurança

É imprescindível que as consultas SNMP sejam restritas a um IP ou uma range, para evitar que qualquer dispositivo na Internet possa consultar informações e também utilizar o protocolo para um ataque de DDoS.

Através do campo “Addresses”, informamos quais IPs ou redes podem realizar consultas SNMP no dispositivo em questão.

A recomendação é que jamais o SNMP esteja habilitado sem restrição alguma (0.0.0.0/0), e com informações de fácil descoberta. Portanto, para começarmos a trabalhar com SNMP no RouterOS, lembrem-se:

  • Configure uma community diferente da padrão “public”;
  • Especifique IPs ou redes que possam realizar consultas SNMP.

Até a próxima!

Comentários desativados em SNMP em Roteadores MikroTik InMikroTik