Recomendaciones de Seguridad1

Vulnerabilidad RouterOS Versiones menores a 6.42

Se recomienda siempre actualizar los RB a todos aquellos con versiones menores a la V6.42, debido a una vulnerabilidad en Winbox esto para evitar atacantes (virus).
Mikrotik soluciono este problema en versiones V6.42.1 en adelante. Más detalles aqui: https://wisphub.net/documentacion/vulnerabilidad-routeros-versiones-menores-642-40/

Crear usuario y grupo exclusivamente para wisphub. No usar el usuario admin del RouterBoard en Wisphub.

1 Crear Grupo, copia y pega el script en la terminal de tu Router Board


/user group remove [find where name ~"wisphub"]; /user group add name=wisphub policy="local, ftp, reboot, read, write, policy, test, password, sniff, api, romon, sensitive"

 

2Crear usuario

Crear usuario wisphub routeros

3Usar el nuevo usuario en agregar o editar router Wisphub.

Usuario Creado

Desactivar servicios

Es recomendable desactivar ssh, ftp y telnet si no están siendo usuados.

Desactivar Servicios

Modificar puerto API

En caso de que estemos recibiendo ataques por el puerto api o en su defecto dispongamos de varias peticiones a este puerto, podemos modificar en el mikrotik el puerto. Solo bastaría con añadir cualquier número. 

Posterior en WispHub, si conectamos por medio de nuestro script VPN, solo bastaria con desactivarla casilla de "USAR SCRIPT VPN" Para que nos permita cambiar el puerto api. Si conectamos directamente por Ip pública esta casilla por default debe estar inactiva o puede no aparecer.

Aplicar solamente una opción

Para permiti la conexión de WispHub por IP Pública solo usar cualquiera de las 2 opciones que se le mostrarán.

Restringir el acceso al puerto API por IP service  opción 1

Para restringir el acceso colocar lo sig:

Usuarios que se conectan a WispHub con IP Pública (si ingresas con wisphub.net)

Agregar las siguientes IPs mendiante el script.


/ip service set api port=8728 disabled=no address="192.241.222.19,192.241.207.177,198.199.95.86,107.170.255.167,107.170.193.237,192.241.233.47,192.241.211.226,192.241.211.37,198.199.101.139,192.241.197.180,198.199.100.231,198.199.119.149,104.26.13.125,104.26.12.125,104.26.12.125,172.67.72.161,192.241.192.207,192.241.205.12,107.170.225.6,198.199.109.38,192.241.198.13";

 

Restringir el acceso al puerto API por reglas de firewall opción 2

Obsoleto apartir del 15 de Enero del 2024

Estas reglas estarán obsoletas apartir del 15 de Enero del 2024, para cuentas nuevas ya no es necesario usar esta configuración.

Usuarios que se conectan a WispHub con IP Pública (si ingresas con wisphub.net)

1 Agregar mediante un script la regla para aceptar


/ip firewall filter
add action=accept chain=input comment="Aceptar WispHub" src-address-list=\
    AceptarWispHub;

2Subir la regla al principio

3Copiar y pegar las ip publicas


/ip firewall address-list add address=192.241.222.19 list=AceptarWispHub
/ip firewall address-list add address=192.241.207.177 list=AceptarWispHub
/ip firewall address-list add address=198.199.95.86 list=AceptarWispHub
/ip firewall address-list add address=107.170.255.167 list=AceptarWispHub
/ip firewall address-list add address=107.170.193.237 list=AceptarWispHub
/ip firewall address-list add address=192.241.233.47 list=AceptarWispHub
/ip firewall address-list add address=192.241.211.226 list=AceptarWispHub
/ip firewall address-list add address=192.241.211.37 list=AceptarWispHub
/ip firewall address-list add address=198.199.101.139 list=AceptarWispHub
/ip firewall address-list add address=192.241.197.180 list=AceptarWispHub
/ip firewall address-list add address=198.199.100.231 list=AceptarWispHub
/ip firewall address-list add address=198.199.119.149 list=AceptarWispHub
/ip firewall address-list add address=104.26.13.125 list=AceptarWispHub
/ip firewall address-list add address=104.26.12.125 list=AceptarWispHub
/ip firewall address-list add address=172.67.72.161 list=AceptarWispHub 
/ip firewall address-list add address=192.241.192.207 list=AceptarWispHub
/ip firewall address-list add address=192.241.205.12 list=AceptarWispHub
/ip firewall address-list add address=107.170.225.6 list=AceptarWispHub
/ip firewall address-list add address=198.199.109.38 list=AceptarWispHub
/ip firewall address-list add address=192.241.198.13 list=AceptarWispHub
/ip firewall address-list add address=servers-corte.wisphub.net list=AceptarWispHub

 

Actualización apartir del 01 de Diciembre 2023 si ingresas con wisphub.net

Para empresas que se quieran conectar por ip pública o usar el failover pueden realizar este proceso.

1Agrega la regla para aceptar servidores desde la terminal y subela al principio, esta regla la encontrarás en ip-firewall-filter rules


/ip firewall filter
add action=accept chain=input comment="servers_wisphub" src-address-list=\
    servers_wisphub;

2Copia y pega el script en la terminal


/ip firewall address-list add address=servers-corte.wisphub.net list=servers_wisphub

Usuarios que se conectan a WispHub con IP Pública (si ingresas con wisphub.io)

Obsoleto apartir del 15 de Enero del 2024

Estas reglas estarán obsoletas apartir del 15 de Enero del 2024, para cuentas nuevas ya no es necesario usar esta configuración.

Agregar las siguientes IPs.


/ip firewall address-list add address=134.209.169.68 list=AceptarWispHub
/ip firewall address-list add address=167.172.246.245 list=AceptarWispHub
/ip firewall address-list add address=201.159.23.40 list=AceptarWispHub
/ip firewall address-list add address=172.67.70.6 list=AceptarWispHub
/ip firewall address-list add address=104.26.1.232 list=AceptarWispHub
/ip firewall address-list add address=104.26.0.232 list=AceptarWispHub
/ip firewall address-list add address=134.122.10.252 list=AceptarWispHub
/ip firewall address-list add address=159.203.170.145 list=AceptarWispHub
/ip firewall address-list add address=167.172.226.89 list=AceptarWispHub
/ip firewall address-list add address=161.35.136.156 list=AceptarWispHub
/ip firewall address-list add address=165.227.113.62 list=AceptarWispHub

 

Actualización apartir del 01 de Diciembre 2023 si ingresas con wisphub.io

Para empresas que se quieran conectar por ip pública o usar el failover pueden realizar este proceso.

1Agrega la regla para aceptar servidores desde la terminal y subela al principio, esta regla la encontrarás en ip-firewall-filter rules


/ip firewall filter
add action=accept chain=input comment="servers_wisphub" src-address-list=\
    servers_wisphub;

2Copia y pega el script en la terminal


/ip firewall address-list add address=servers-corte.wisphub.io list=servers_wisphub

Usuarios que se conectan a WispHub con IP Pública (si ingresas con wisphub.app)

Obsoleto apartir del 15 de Enero del 2024

Estas reglas estarán obsoletas apartir del 15 de Enero del 2024, para cuentas nuevas ya no es necesario usar esta configuración.

Agregar las siguientes IPs.


/ip firewall address-list add address=206.189.232.53 list=AceptarWispHub
/ip firewall address-list add address=137.184.155.255 list=AceptarWispHub
/ip firewall address-list add address=172.67.72.205 list=AceptarWispHub
/ip firewall address-list add address=104.26.11.197 list=AceptarWispHub
/ip firewall address-list add address=104.26.10.197 list=AceptarWispHub
/ip firewall address-list add address=159.89.236.114 list=AceptarWispHub
/ip firewall address-list add address=142.93.13.171 list=AceptarWispHub

 

 

Actualización apartir del 01 de Diciembre 2023 si ingresas con wisphub.app

Para empresas que se quieran conectar por ip pública o usar el failover pueden realizar este proceso.

1Agrega la regla para aceptar servidores desde la terminal y subela al principio, esta regla la encontrarás en ip-firewall-filter rules


/ip firewall filter
add action=accept chain=input comment="servers_wisphub" src-address-list=\
    servers_wisphub;

2Copia y pega el script en la terminal


/ip firewall address-list add address=servers-corte.wisphub.app list=servers_wisphub

7 de Marzo de 2019 a las 18:13 - Visitas: 13232