2013-05-30

4 consejos para proteger #SSH en #RouterOS

Figura 1: 4 consejos para proteger SSH en RouterOS

Hace algunos días publiqué un Dork en Google y en Shodan donde nos permite encontrar una gran cantidad de dispositivos con con el sistema RouterOS y que también se encuentran conectados a una IP pública.

Basta con conocer algunas particularidades más, para saber que estos dispositivos poseen varias formas de administración, como es el caso de su entorno Web llamado WebFig, un cliente para Windonws llamado Winbox y finalmente por medio de la línea de comandos gracias al protocolo SSH.

Quienes estamos acostumbramos a la Administración de servidores, sabemos el constante "ataque" que sufrimos al tener este tipo de servicio conectado, y lo peligroso que puede ser, que un posible atacante tome control sobre nuestras cosas de forma remota.

Por eso les quería dejar un par de tips para asegurar el servicio SSH dentro de los dispositivos RouterOS de MikroTik.

4 consejos para proteger #SSH en #RouterOS

1. Lo primero que podríamos hacer es cambiar el puerto de escucha de SSH, por defecto siempre es el 22 pero podría ser un puerto algo sin ningún servicio asociado.

2. Por otro lado deberíamos eliminar el usuario admin, pero cuidado aquí, previamente creen un usuario con todos los privilegios y luego eliminen el usuario admin. Asegurense de no utilizar usuarios como sys, root, backup, support o package.

3. De más estaría decir sobre fortalecer sus contraseñas utilizando caracteres especiales, Mayúsculas, Minúsculas, números, etc.

4. Finalmente podríamos aplicar algunas reglas en el firewall de RouterOS para banear por algunos días aquellas direcciones IP que intentan atacar al dispositivos haciendo uso de técnicas de fuerza bruta, creando el siguiente Scripts y utilizando las Address List.

# Bloqueo de fuerza bruta por SSH
# Puerto de SSH : 22

/ip firewall filter

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m disabled=no

Guardamos este script con extensión .rsc y lo subimos al menú File de RouterOS.

Finalmente desde una consola de comando ejecutamos un import de nuestro scripts.

> import file-name=ssh-fuerza-bruta.rsc ;

Con lo cuál cuando nuestro firewall detecte esta actividad en el puerto 22 va a comenzar a completar nuestras address list y bloquear aquellos que están utilizando la técnica de fuerza bruta.

A los que administran estos dispositivos, les recomiendo poner en práctica estos pequeños tips.

Saludos!

Entradas populares