A estas alturas, nadie duda de la importancia de mantener al día las actualizaciones de MikroTik. Pero, ¿conviene programar los equipos para que las actualizaciones se lleven a cabo de forma automática? Desde nuestro punto de vista, la respuesta depende de varios factores.
¿Qué puede ocurrir si los equipos MikroTik no se encuentran actualizados?
Durante este año, hemos visto cómo miles de routers MikroTik resultaban afectados por diferentes bugs en la versión de RouterOS instalada. Bugs identificados y resueltos desde muchos meses antes por el fabricante, pero que seguían afectando a los equipos que aún estaban sin actualizar.
Recordemos alguna de las noticias que publicamos en su momento al respecto:
Fruto de esta situación, y aunque todas nuestras redes gestionadas son aseguradas de forma sólida vía firewall, sometimos a todas las redes al amparo de nuestros planes de soporte a una revisión profunda de los accesos, credenciales, métodos de gestión permitidos e inventario de versiones de RouterOS operativas.
En paralelo, consensuamos con cada operador una política individualizada de actualizaciones, con el fin de evitar cualquier vulnerabilidad futura. Entre otros puntos, se trató la automatización de las actualizaciones de MikroTik frente a una gestión manual de las mismas.
¿Se pueden automatizar las actualizaciones de MikroTik?
Técnicamente, la respuesta es sí, es realmente fácil programar RouterOS para que las actualizaciones se lleven a cabo de forma automática desde un ‘scheduler’:
system package update check-for-updates
system package update install
Pero habría que hacerse otras preguntas:
- ¿Es conveniente hacer actualizaciones automáticas?
- ¿Se puede correr algún riesgo con la actualización automática de RouterOS?
- Tengo toda una red basada en equipos MikroTik. ¿Actualizo de forma masiva?
- …
La respuesta a todas estas preguntas puede ser amplia y discutida en función del escenario, pero siempre teniendo en cuenta, entre otras:
- Nivel de exposición a Internet.
- Servicios abiertos (permitidos desde Internet/clientes).
- Existencia de un plan de contingencia para recuperar versiones previas.
- Tiempo de reacción mínima para ejecutar plan de contingencia.
- Función que cumple el equipo MikroTik. Obviamente, no es lo mismo una cabecera de control de acceso PPPoE o un equipo de borde BGP, que un CPE de abonado.
Antes de nada, hay que decir qué, algunas actualizaciones se convierten, por su complejidad, en migraciones, que por supuesto, no pueden ser automáticas. Ponemos como ejemplo un caso muy extremo al que recientemente nos hemos enfrentado:
Hemos actualizado un router de core de ISP desde la versión 5 a la versión 6, y no nos ha quedado mejor forma de hacerlo que instalar un segundo equipo hardware en paralelo e ir migrando funcionalidades paso a paso.
Esta actualización (migración), ademas de ser satisfactoria, se ha transformado en una optimización global del sistema, reduciendo las reglas de firewall al 10% de las iniciales, entre otras cosas.
Actualizaciones de MikroTik de forma no automática.
En aquellos en casos en los que no se pueda automatizar el proceso de actualización, no quedará más remedio que hacerlo de forma manual o controlada, y aquí la dependencia del factor humano, puede jugar malas pasadas.
Para evitar despistes ante la publicación de nuevas versiones de RouterOS, hemos establecido soluciones de monitorización y alerta. Esta monitorización la llevamos a cabo con Nagios Core.
Nagios Core es un sistema de monitorización basado en software libre, y tan versátil que nos permite monitorizar:
- La disponibilidad de un host.
- Estado de los servicios asociados a un host:
- Uptime.
- Versión de RouterOS de nuestro equipo MikroTik.
- Consumo de tráfico de las interfaces.
- Y un largo etcétera de servicios.
- Desencadenar acciones derivadas del resultado de la monitorización.
Utilizamos Nagios Core para comprobar el estado de las actualizaciones de MikroTik.
Y para terminar, una pregunta: ¿qué opinas de automatizar las actualizaciones de MikroTik?
