Seguridad y Hardening Avanzado en MikroTik

Descripción

El curso está completamente diseñado para poder comprender los métodos y tecnologías para tener una mejor estructura y seguridad en un router Mikrotik, Entender el problema del Hardening, potenciar la seguridad en el equipo para pasar las mejores bondades del servicio, marca.

A quién está dirigido

Este curso está diseñado para proveedores de servicios de Internet (ISPs) que buscan optimizar el rendimiento, la seguridad y la gestión de sus redes utilizando routers MikroTik. Se cubrirán desde configuraciones básicas hasta herramientas avanzadas.

Objetivo

Que el alumno tenga un claro entendimiento acerca de los métodos y tecnologías para conformar la mejor seguridad para los equipos en tema de intrusión y Hardening, que pueda tener la mejor seguridad para dar confiabilidad a los usuarios de dicha red.

Temario

Día 1: Construcción de una Base Segura y Escalable

Módulo 1: Hardening y Acceso Centralizado

Tema Principal: Blindaje de equipos y centralización de la gestión de acceso (AAA) para establecer un perímetro de confianza.

Contenido:

Aseguramiento (Hardening) del Router:

Gestión de usuarios y grupos; deshabilitación del usuario admin por defecto.

Protección de servicios de acceso (SSH, Winbox) por puerto e IP específica.

Desactivación de servicios inseguros e innecesarios (telnet, mac-server, etc.).

Introducción a la Autenticación Centralizada (AAA):

Ventajas de usar RADIUS sobre usuarios locales para la gestión de accesos.

Auditoría y control de acceso del personal técnico.

Laboratorios Prácticos:

Laboratorio 1.1: Aplicación de técnicas de hardening a un router MikroTik.

Laboratorio 1.2: Configuración de un servidor RADIUS (User Manager) en MikroTik para gestionar el acceso a toda la red de manera centralizada.

Módulo 2: Segmentación y Acceso Remoto Blindado con VPN (4 Horas)

Tema Principal: Diseño de una red segura y establecimiento de un canal de gestión encriptado, eliminando la exposición de los routers a Internet.

Contenido:

Principios de Segmentación de Red:

Riesgos de las redes en bridge (bridged) y beneficios del enrutamiento.

Uso de enlaces Punto a Punto (PTP) con subredes /30 para una interconexión segura.

Acceso Remoto Seguro con Túneles VPN:

Por qué exponer puertos de gestión a Internet es un riesgo inaceptable.

Introducción a OpenVPN: un estándar de la industria basado en SSL/TLS.

Creación de un "bastión de acceso": un túnel VPN como única puerta de entrada para la administración de la red.

Laboratorios Prácticos:

Laboratorio 2:

Creación y gestión de certificados (CA, Servidor, Cliente) en RouterOS.

Configuración de un servidor OpenVPN en el router de borde.

Exportación de los archivos necesarios para configurar un cliente OpenVPN.

Modificación de las reglas de firewall para bloquear el acceso público a los puertos de gestión y permitirlo únicamente a través del túnel OpenVPN.







Día 2: Defensa Activa y Auditoría de Seguridad (8 Horas)

Módulo 3: Implementación de Firewall Avanzado (4 Horas)

Tema Principal: Creación de un conjunto de reglas inteligentes para proteger activamente la red y a sus usuarios.

Contenido:

Filosofía y Estructura del Firewall de RouterOS:

Manejo de cadenas (input, forward) y seguimiento de conexiones (connection-state).

Optimización de reglas con fasttrack.

Protección contra Ataques de Denegación de Servicio (DoS):

Mitigación de ataques SYN Flood e ICMP Flood.

Detección y bloqueo dinámico de escaneos de puertos.

Control de Tráfico y Reputación de IP:

Prevención de ataques de amplificación DNS.

Bloqueo de puertos inseguros y control de envío de SPAM (puerto 25) desde la red.

Laboratorios Prácticos:

Laboratorio 3: Configuración de un firewall robusto en el router de borde, aplicando todas las técnicas de protección y mitigación de ataques aprendidas.



Módulo 4: Auditoría y Pruebas de Seguridad (Pentesting) (4 Horas)

Tema Principal: Validación de las defensas de seguridad puestas en marcha, asumiendo el rol de un atacante.

Contenido:

Introducción a las Pruebas de Penetración:

Metodología para la validación de la seguridad.

Preparación del entorno de laboratorio con la distribución Kali Linux.

Técnicas de Validación (Pruebas Controladas):

Escaneo de Servicios (Nmap): Verificación de que los puertos de gestión son invisibles desde Internet.

Pruebas de Conectividad VPN: Confirmación de que el único acceso es a través del túnel OpenVPN.

Pruebas de Estrés (hping3): Simulación de un ataque DoS para medir la efectividad de las reglas de mitigación.

Verificación de Políticas: Confirmación de los bloqueos de puertos (ej. SPAM) desde dentro de la red.

Laboratorios Prácticos:

Laboratorio 4: Lanzamiento de ataques controlados desde una Máquina Virtual (VM) con Kali Linux contra la red de laboratorio para analizar las respuestas del firewall y confirmar que la infraestructura es segura y cumple con las políticas de defensa