Bloqueo de Windows Update con Mikrotik & FlashStart
1. ¿Por qué bloquear Windows Update en Mikrotik?
Bloquear Windows Update en una red, una medida que puede mejorar el rendimiento de la red, puede ser necesario en determinadas situaciones para mantener la estabilidad y el ancho de banda. A veces, las actualizaciones de Windows pueden consumir una gran cantidad de ancho de banda e interferir con el uso de aplicaciones empresariales. Por lo tanto, bloquear Windows Update en Mikrotik puede ser una forma de evitar problemas y garantizar que la red funcione de forma eficiente y estable. Además, el bloqueo de Windows Update también permite a los administradores de red controlar y supervisar las actualizaciones, lo que puede ser útil en términos de seguridad y planificación de recursos.
No es una buena práctica bloquear completamente las actualizaciones de Windows, ya que podría suponer un riesgo para la seguridad de una empresa en el caso de que toda su infraestructura sea de Microsoft. Sin embargo, una buena práctica para los administradores es planificarlo. En este artículo, hablaremos de cómo conseguirlo con Mikrotik y FlashStart.
2. Cómo configurar Mikrotik para bloquear Windows Update
Es posible crear reglas de cortafuegos para bloquear las actualizaciones de Windows Update de forma sencilla. Microsoft utiliza los siguientes hosts para las actualizaciones en los puertos 80 y 443:
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
http://download.microsoft.com
http://*.download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com
http://stats.microsoft.com
https://stats.microsoft.com
Esta lista puede ser modificada, en Mikrotik, podríamos utilizar el comando «content» para el tráfico en el puerto 80, utilizar el proxy DNS en Mikrotik, y crear una entrada a una IP local, así como utilizar TLS-HOST para el tráfico en el puerto 443.
Bloquear Windows Update con Mikrotik para el puerto 443.
Puede utilizar las siguientes reglas para bloquear el tráfico de Windows Update con Mikrotik.
/ip firewall filter add action=drop chain=prerouting comment=»Blok Windows Update» protocol=tcp tls-host=windowsupdate.microsoft.com add action=drop chain=prerouting comment=»Blok Windows Update» protocol=tcp tls-host=download.microsoft.com add action=drop chain=prerouting comment=»Blok Windows Update» protocol=tcp tls-host=test.stats.update.microsoft.com add action=drop chain=prerouting comment=»Blok Windows Update» protocol=tcp tls-host=ntservicepack.microsoft.com add action=drop chain=prerouting comment=»Blok Windows Update» protocol=tcp tls-host=*.download.windowsupdate.com add action=drop chain=prerouting comment=»Blok Windows Update» protocol=tcp tls-host=*.update.microsoft.com add action=drop chain=prerouting comment=»Blok Windows Update» protocol=tcp tls-host=download.windowsupdate.com add action=drop chain=prerouting comment=»Blok Windows Update» protocol=tcp tls-host=*.windowsupdate.microsoft.com
También puedes utilizar RAW en lugar de filtro/firewall.
>> FlashStart te protege de una amplia gama de amenazas y bloquea el acceso a sitios maliciosos ? Comience su prueba gratuita o solicite una cotizaciòn
3. Bloqueo por DNS
Para hacer esto usando el proxy Mikrotik DNS, puede crear las siguientes reglas en la sección IP/DNS:
Haga clic en Static y añada una entrada del tipo all hosts arriba. Aquí hay un ejemplo, donde todo el tráfico se reenvía a un servidor local o IP inexistente.
4. ¿Por qué es importante controlar las actualizaciones en una red empresarial?
En una red empresarial, controlar las actualizaciones es esencial para garantizar la estabilidad y seguridad de la red. Las actualizaciones pueden corregir problemas de seguridad y añadir nuevas funciones a sistemas y aplicaciones, pero también pueden causar problemas, si la red no tiene suficiente ancho de banda o el consumo es demasiado elevado.
Por ejemplo, en una red donde hay sistemas críticos y el ancho de banda es limitado, podríamos perder el acceso, por ejemplo, a recursos en Internet, como máquinas virtuales en la nube. Por estos motivos, es importante que las actualizaciones se realicen de forma controlada y se prueben antes de desplegarlas por toda la red.
De este modo, se minimizan los riesgos y se garantiza una experiencia de usuario fiable y segura.
5. Cómo asegurarse de que su red está protegida mientras bloquea Windows Update
Aunque bloquear Windows Update puede ser una solución temporal para evitar problemas en la red de su empresa, es importante asegurarse de que su red está protegida frente a otras amenazas. Estos son algunos pasos que puede seguir para garantizar la seguridad de su red mientras Windows Update está bloqueado:
» Mantenga actualizados los programas antivirus y antimalware en todos los dispositivos de su red. Realice análisis periódicos y supervise la actividad de la red para detectar posibles intrusiones.
» Verifique las reglas de seguridad en el Firewall: Un Firewall es un sistema de seguridad que permite o deniega el acceso a la red basándose en un conjunto de reglas. Configura reglas estrictas para limitar el acceso a tu red y protegerla de posibles amenazas.
» Mantenga copias de seguridad: Haga copias de seguridad periódicas de los datos críticos de su red para garantizar su recuperación en caso de fallos técnicos o intrusiones.
» Supervise y realice auditorías periódicas: Supervise su red para detectar posibles intrusiones o comportamientos anómalos. Realice auditorías periódicas para detectar y corregir posibles vulnerabilidades de seguridad.
6. Alternativas a Mikrotik para bloquear Windows Update
Mikrotik es un potente cortafuegos y router con capacidades muy elevadas, pero no olvide que su función principal es gestionar la red y no está diseñado para la gestión del tráfico. FlashStart es una potente solución de filtrado DNS, integrada por inteligencia artificial y baja latencia y puede integrarse perfectamente en su router Mikrotik.
En caso de crear reglas para bloquear Windows Update con Mikrotik, y Microsoft realice algún cambio, tendremos que actualizarlas en el router. Utilizando FlashStart, la gestión será aún más sencilla, ya que, gracias a sus filtros granulares y actualizaciones constantes, tendremos siempre garantizado el bloqueo, sin necesidad de añadir o modificar reglas en nuestro router Mikrotik.
FlashStart tiene una categoría especial llamada Actualizaciones. Si queremos bloquear sólo el dominio o dominios de Windows Update con FlashStart, podemos añadirlo en la sección de lista negra personal.
FlashStart le ayudará a bloquear las actualizaciones y a controlar su red. Además, la integración para bloquear Windows Update facilitará el trabajo a un administrador.
Sin embargo, esto no es lo único. Como hemos comentado anteriormente, bloquear por completo Windows Update en una red no es una buena práctica, ya que podríamos tener un vector de ataque por un fallo de seguridad en una versión de software. FlashStart nos ofrece la posibilidad de bloquear actualizaciones programadas, esto significa que podríamos bloquear las actualizaciones en horario laboral y dejarlas activas fuera de horario, de esta forma aprovecharíamos mejor el ancho de banda sin impactar en el uso. Es una característica realmente útil y sin la complejidad de otras soluciones.
7. Consejos y consideraciones finales sobre cómo bloquear Windows Update con Mikrotik.
Al bloquear Windows Update con Mikrotik, es importante tener en cuenta los siguientes consejos y factores:
» Pruebe la configuración antes de desplegarla en toda la red: Antes de bloquear Windows Update en todos los dispositivos de la red, asegúrese de que la configuración funciona correctamente en un entorno de prueba.
» Mantenga actualizados los sistemas y aplicaciones críticos: Aunque bloquee Windows Update, asegúrese de mantener actualizados los sistemas y aplicaciones críticos para garantizar su seguridad y estabilidad.
» Supervise las actualizaciones importantes: Microsoft publica actualizaciones importantes, de vez en cuando, que corrigen problemas críticos o vulnerabilidades de seguridad. Esté atento a estas actualizaciones y considere la posibilidad de desbloquear temporalmente Windows Update para instalarlas en su red.
» Planifique la gestión de actualizaciones: Determine un plan para gestionar las actualizaciones en su red y asegúrese de que dispone de una estrategia para gestionar las actualizaciones importantes y críticas. FlashStart ofrece bloques programados.
En conclusión, es importante considerar cuidadosamente las consecuencias de bloquear Windows Update en Mikrotik y FlashStart y recordar tomar medidas para garantizar la seguridad y estabilidad a largo plazo de su red al tiempo que optimiza el ancho de banda.
>> FlashStart protege de forma rápida y coherente a más de 25 millones de usuarios frente a los ciberriesgos ? Comience su prueba gratuita o solicite una cotizaciòn
En cualquier Router y Firewall puede activar la protección FlashStart® Cloud para asegurar dispositivos de escritorio y móviles y dispositivos IdC en las redes locales.