Concepto Dash Button con Mikrotik

Buenos días,

Como se ha dicho anteriormente hace mucho tiempo que soy usuario de Mikrotik actualmente varios 962UiGS-5HacT2HnT (en ubicaciones distintas)...

Por un tema de seguridad que siempre he pensado que es muy importante tengo varios inventos/chapuzas que puede que alguien quiera opinar o implementar. Yo lo tengo implementado ahora paso a especificar el qué, cómo y porqué.

La idea como dice el titulo es un DASH BUTTON que active la VPN, WinBox, TikTool, FTP, SSH... lo que quieras a golpe de tan solo un botón. El hecho de tener cualquier servicio al aire constantemente implica que se pueden hacer ataques de fuerza bruta probando credenciales .... Para ello si los servicios solo está abiertos en el momento que se usan y posteriormente quedan deshabilitados es más seguro no?

Requisitos: Router Mikrotik cualquier placa LowCost (de pasta y de voltaje) del estilo raspberry pi... yo en mi caso una Odroid-C1+ con un servicio Web (nginx) a partir de ahora llamado SERVIDOR que tengo alimentado con el USB del Router... así si se reinicia el router el SERVIDOR también.... Obvio tener o ip fija o gestionado el tema mediante scripts con DDNS.

El secreto o kit de la cuestión, el servidor tiene acceso al Mikrotik vía ssh mediante un certificado sin contraseña, eso implica que puede ejecutar cualquier comando directamente en el Mikrotik...

El SERVIDOR tiene un nginx el cual puede recibir peticiones (con parámetros php) que ejecutan directamente los comandos en el Mikrotik... quizás es inseguro medidas para mitigarlo?

1.-.Las peticiones al servicio Web llevan password...

2.-.Las peticiones al servicio Web se hacen desde una aplicación descatalogada que no usa nadie y si no coincide el user agent el servidor las descarta... Desde mi reloj descatalogado clicko un botón y activo/desactivo VPN, WIFI, SSH, FTP.... cualquier comando que se me ocurra.

3.-.Para poder activar/desactivar cosas en Mikrotik a golpe de botón necesito mi reloj que va vinculado a mi móvil para rizar el rizo un poco cuando activo cualquier cosa solo se activa para la ip pública por la que sale mi terminal móvil o sea que... estoy en cualquier ubicación fuera de mi casa y necesito acceder a mi NAS... me conecto con mi móvil a la red externa en la que estoy y clicko un botón activando el servicio que quiera pero solo para esa IP pública.... posteriormente clicko el botón de off, esto borra la ip autorizada y deshabilita las reglas.

4.-.Esto mismo lo tengo hecho/programado con una centralita VOIP en el SERVIDOR, llamo a una extensión y esta ejecuta comandos en mikrotik.

Todo esto porqué... al tener abierto al mundo un servicio de VPN, SSH, FTP... hay gente que intenta conectarse, nmap... etc. si solo existe durante el periodo de uso... es menos probable que nadie indague...

5.-.En el SERVIDOR también tengo instalado un servicio que se llama FAIL2BAN este protege el servicio VOIP de intentos de accesos bloqueando/creando IPS en la lista negra del Mikrotik.

Espero que os haya gustado el tema.

Así en el aire dejo que lo que me gustaría sería poder habilitar/deshabilitar Mikrotik desde la app LATCH... no se si hay plugin pero sería literalmente la caña de españa.

Cordialmente,

Juhn_Hoo
 
Buenos días.

Yo creo que no me he enterado muy bien del sistema. Para poder acceder al servidor conectado al router necesitamos tener un puerto abierto.

Si es así, estamos en el mismo caso que tener un wireguard montado para manejarlo todo desde fuera de casa y no veo la diferencia porque tenemos sólo un puerto abierto.

Algo se me escapa seguro.

¿Podrías aclararlo un poco más?

Gracias.
 
Buenos días.

Yo creo que no me he enterado muy bien del sistema. Para poder acceder al servidor conectado al router necesitamos tener un puerto abierto.

Si es así, estamos en el mismo caso que tener un wireguard montado para manejarlo todo desde fuera de casa y no veo la diferencia porque tenemos sólo un puerto abierto.

Algo se me escapa seguro.

¿Podrías aclararlo un poco más?

Gracias.
No se te ha escapado, no

@Juhn_Hoo, la idea es buena, pero ojo con la implementación que la puedes liar. Cuando he leído PHP y aplicación descatalogada, se me ha erizado el pelo.

Lo que estás implementando es básicamente un sistema de “port knocking”. Mírate cómo se implementa, que quizá no te compense tanto lío, y apuesto a que la solución es más segura de lo que tienes montado.

Y, todo lo anterior, viene a corregirlo una solución de tipo VPN. Si es WireGuard, sólo expones un puerto, UDP y de tu elección. A todo lo demás, tienes acceso una vez conectado a la VPN. Si creas segmentos de red distintos, para distintos tipos de usuario, incluso puedes hacer perfiles de a qué llega cada uno.

Saludos!
 
Buenos días.

Yo creo que no me he enterado muy bien del sistema. Para poder acceder al servidor conectado al router necesitamos tener un puerto abierto.

Si es así, estamos en el mismo caso que tener un wireguard montado para manejarlo todo desde fuera de casa y no veo la diferencia porque tenemos sólo un puerto abierto.

Algo se me escapa seguro.

¿Podrías aclararlo un poco más?

Gracias.
Buenas noches,
Es sencillo no hace falta que tengas abierto nada el concepto básico es el siguiente...en tu red tienes un servidor web este al estar en tu lan tiene acceso via ssh al router y puede enviarle comandos al router....
En el servidor web tengo un fichero php que es capaz de recoger parametros y ejecutarlos en el mikrotik.
De forma que puedo habilitar y deshabititar lo que quiera cuando quiera con un boton si así lo tengo preparado.

Cordialmente,

Juhn_Hoo
 
No se te ha escapado, no

@Juhn_Hoo, la idea es buena, pero ojo con la implementación que la puedes liar. Cuando he leído PHP y aplicación descatalogada, se me ha erizado el pelo.

Lo que estás implementando es básicamente un sistema de “port knocking”. Mírate cómo se implementa, que quizá no te compense tanto lío, y apuesto a que la solución es más segura de lo que tienes montado.

Y, todo lo anterior, viene a corregirlo una solución de tipo VPN. Si es WireGuard, sólo expones un puerto, UDP y de tu elección. A todo lo demás, tienes acceso una vez conectado a la VPN. Si creas segmentos de red distintos, para distintos tipos de usuario, incluso puedes hacer perfiles de a qué llega cada uno.

Saludos!
Buenas noches,

A ver.... si me explico lo que hace el fichero php es pasar parametros al servidor web para ejecutarlos en el servidor y estos afectan al router... si alguien capturara uno de esos paquetes podria hacer la peticion web via get y funcionaria... para evitar eso el servidor web mira el user agent... como resulta que esa peticion se hace desde una app descatalogada que nadie usa al igual qur mi reloj lo hace tan más segura que algo que use todo el mundo...

Pero lo idilico seria que funcionara con LATCH.

No obstante miraré lo del port knocking... de momento me va bien así y lo abro y cierro a base de peticiones https sin problemas.

Cordialmente,

Juhn_Hoo
 
Última edición:
Buenos días.

Yo creo que no me he enterado muy bien del sistema. Para poder acceder al servidor conectado al router necesitamos tener un puerto abierto.

Si es así, estamos en el mismo caso que tener un wireguard montado para manejarlo todo desde fuera de casa y no veo la diferencia porque tenemos sólo un puerto abierto.

Algo se me escapa seguro.

¿Podrías aclararlo un poco más?

Gracias.
Buenos días,

Por otro lado en mi dispositivo Mikrotik 962UiGS-5HacT2HnT salvo error al no poder tener el Router OS 7 no puedo implementar el tema de la VPN wireguard.

En las actualizaciones no me aparece dicha versión y en las descargas tampoco... https://mikrotik.com/product/RB962UiGS-5HacT2HnT#fndtn-downloads

No se si iran saliendo para todos o es que hay algunos modelos que no llegarán.

Cordialmente,

Juhn_Hoo
 
Buenos días,

Por otro lado en mi dispositivo Mikrotik 962UiGS-5HacT2HnT salvo error al no poder tener el Router OS 7 no puedo implementar el tema de la VPN wireguard.

En las actualizaciones no me aparece dicha versión y en las descargas tampoco... https://mikrotik.com/product/RB962UiGS-5HacT2HnT#fndtn-downloads

No se si iran saliendo para todos o es que hay algunos modelos que no llegarán.

Cordialmente,

Juhn_Hoo

Sí tienes disponible RouterOS v7 para el HAP AC. Y podrás usar Wireguard.

Captura de pantalla_2022-03-14_10-11-15.png

Saludos.
 
Sí tienes disponible RouterOS v7 para el HAP AC. Y podrás usar Wireguard.

Ver el adjunto 92781

Saludos.
Buenos días,

Ahhh pues en el enlace siguiente:


El firmware que aparece es el 6.49.4 y en las actualizaciones igual

Tik.png


Hay algún manualillo/tutorial/recomendación, de como poner el Router OS 7 sin hacer demasiado destrozo?

Se sobre entiende que habrá que configurar de nuevo el dispositivo... desde el export línea a línea vigilando de no meter nada indebido que choque con la v7.

Cordialmente,

Juhn_Hoo
 
Arriba