Vou explicar cinco erros comuns de configuração que todo usuário do roteador Mikrotik deve evitar. Esses erros são tão comuns que você pode encontrar pelo menos três deles em 80% de todos os roteadores Mikrotik configurados na internet.
Eu aprendi ao longo dos anos que a parte mais difícil da rede não é prover seus roteadores para conectar os usuários à Internet. Na verdade, é o mais fácil. A parte mais difícil está em proteger seus roteadores contra agressores externos. Infelizmente, muitos usuários de roteadores Mikrotik prestam pouca ou nenhuma atenção a essa parte.
Recentemente, houve muitos casos de roteadores Mikrotik que foram comprometidos pelo hacker. Eu não estou surpreso com isso. Se não fosse por nada, confirma minha afirmação anterior de que 80% dos roteadores Mikrotik são propensos a ataques porque os usuários não conseguiram evitar esses cinco erros comuns. Além desses cinco erros comuns, existem outras medidas que devem ser tomadas para proteger seu roteador Mikrotik.
Curso PROJETE SUA REDE ÓTICA
1. Usando um nome para o nome de usuário
Muitos usuários de roteadores Mikrotik cometem o erro de usar nomes como admin, superadmin, mikrotikadmin ou seus nomes como nome de usuário. Se o seu roteador tiver um endereço IP público configurado, é altamente desaconselhável que você use qualquer um desses nomes como seu nome de usuário. Hackers que tentam ataques de força bruta contra dispositivos de rede usando aplicativos como Cain e Abel, tentarão várias senhas juntamente com qualquer um desses nomes
Exceto quando a autorização é feita em um servidor radius, o Mikrotik routerOS não tem limite para tentativas de login (eu tenho que corrigir isso), os roteadores Mikrotik são geralmente vistos como alvos fáceis para ataques de força bruta. Se possível, torne seus nomes de usuário tão fortes quanto seus passaportes. Use uma combinação de nomes e caracteres especiais para formar um nome de usuário.
Falha nas tentativas de login não autorizadas em roteadores Mikrotik não seguros pode ser vista clicando no log. Veja a imagem abaixo e anote os nomes de usuário usados.
2. Usando senhas fracas
Enquanto todos entendem o perigo de usar senhas fracas, muitos usuários do Mikrotik routeros ainda os utilizam simplesmente porque não querem configurar senhas complicadas que podem ser facilmente esquecidas.
A verdade é que as senhas podem ser esquecidas se não estiverem em uso. Uma vez definido em um roteador, não importa o quão complicado, o login constante no roteador garante que ele não seja esquecido. Usar senhas como admin @ 12345 , p @ 55w0rd , Protect @ 123 , etc, não apenas fará com que você seja tratado como alguém que esqueceu a senha de um roteador, mas também garante que seu dispositivo seja rapidamente controlado e você, surfista o efeito da negação de ataques de servce.
Use senhas fortes compostas de letras maiúsculas e minúsculas, caracteres especiais, etc.
Curso Completo Mikrotik
3. Permitindo permitir pedido de DNS remoto
Ao marcar a caixa para permitir a solicitação de DNS remoto ao configurar um IP do servidor de DNS no roteador, você estará provendo o roteador para servir como servidor de DNS para os usuários na sua rede. A intenção original do Mikrotik em relação a este recurso roteador é reduzir o tempo de resolução de dns para os usuários em sua rede e, como resultado, acelerar a experiência de navegação.
Infelizmente, permitir a permissão de solicitação remota em um roteador Mikrotik com um endereço IP público e sem regras de filtro de firewall para proteger o roteador contra solicitações de DNS externas pode aterrar sua rede. Seu roteador de repente se torna um servidor de DNS público, recebendo centenas e milhares de solicitações de DNS da Internet. Os dois efeitos óbvios desse erro são a alta utilização do processador em seu roteador e o alto tráfego de upload em sua rede.
Se você não quiser passar horas tentando resolver o problema do congestionamento da rede, ative esse recurso somente quando tiver uma regra de filtro de firewall que elimine solicitações de DNS provenientes da Internet no roteador.
4. Usando números de porta padrão
Parte das razões pelas quais tentativas de login não autorizadas são bem-sucedidas na maioria dos roteadores Mikrotik é simplesmente porque a maioria dos usuários não altera os números de postagem de seus valores padrão. Quando os números de porta populares são alterados, ele pode servir como a primeira camada de segurança no roteador, pois os invasores precisarão inserir o número de porta correto, digamos, para ssh, para chegar ao roteador antes que as credenciais de login sejam necessárias.
Por exemplo, se a porta ssh for alterada de 22 para 9621, o primeiro desafio enfrentado por um invasor será obter o número de porta correto, que obviamente não é tão simples quanto o ABC. É somente quando o número de porta ssh correto é usado que as combinações de nome de usuário e senha podem ser feitas usando o ataque bruteforce. Ao impedir que os ataques cheguem ao roteador, você economiza em seu dispositivo alguma utilização do processador.
Curso Consultor Projetista de Redes Ópticas
Além de alterar os números de porta, os aplicativos que não são necessários devem ter o desligamento de suas portas.
5. Ausência de regras de filtro de firewall
A maioria dos usuários de roteadores Mikrotik não se incomoda em ir para a seção de firewall do roteador porque eles acham que é muito complicado. Contanto que o roteador possa fornecer acesso à internet para usuários conectados, eles estão bem. Agora, ouça isso, se o seu roteador tiver um endereço IP público, deixá-lo sem uma regra de filtro não é aconselhável.
A maioria dos roteadores Mikrotik de pequeno porte como a série RB750 vem com regras pré-configuradas de filtro de firewall que protegem o roteador de agressores externos. Infelizmente, a maioria dos usuários com pouco ou nenhum conhecimento do que essas regras fazem com freqüência as desativam. Nos roteadores do MIkrotik, como a série RB1100, sem regras de firewall pré-configuradas, os usuários devem adicionar pelo menos uma regra de filtro de firewall com entrada de dados para proteger o roteador contra o acesso pela Internet.
Deixe uma resposta