Protegendo o seu roteador Mikrotik

Um dos assuntos mais importantes no ambiente de TI é sem dúvidas a Segurança, e com ela não podemos ser negligentes. É necessário considerar os ambientes físico e virtual.

Hoje irei tratar de assuntos básicos que visam melhorar a segurança do seu Mikrotik, principalmente para você que é um Provedor de Internet (ISP) ou usa a Router Board como equipamento principal para receber o link e gerenciar a rede sem ser um ISP.

Se você precisa de uma infraestrutura Cloud Nacional que dispõe de Servidor VPS e Dedicado robustos, com alta disponibilidade e segurança, entre em contato com o nosso Time de Vendas clicando aqui.

Melhorando a Segurança do Mikrotik

1 – Alterando usuário e senha

No menu System > Users, você consegue adicionar, excluir, alterar senha, definir grupo e endereço de rede permitido para acesso de um usuário.

Na versão 6 do RouterOS os dados de acesso a RB é usuário é admin sem senha, na versão 7 também é assim mas ao realizar o primeiro login é solicitado que você mude a senha.

Em ambos os cassos, é recomendado que se exclua o usuário admin e adicione outro para diminuir as chances de acesso indevido.

2 – Acesso restrito

Na aba Groups dentro de System > Users, é possível alterar um grupo já existente ou criar um novo para usuários de Suporte N1 ou que estão iniciando na área, por exemplo.

O motivo mais simples é evitar dor de cabeça ao fornecer acesso com o grupo full, que é o acesso administrativo completo. Imagina que a pessoa clica em algo errado ou conseguem obter o acesso dela, evitem estresse desnecessário.

3 – Desabilitar o Services

Existem vários serviços como API, FTP, SSH, Telnet, Winbox e Www para acessar o Router Board, facilitando o gerenciamento e integração.

Aqueles que não estão em uso é aconselhado que seja desabilitado, os demais que estão sendo operados todos podem ser ajustados para melhorar a segurança.

Se você der dois cliques no SSH, verá que uma pequena janela será aberta. Nela são mostradas algumas opções como Port e Available From.

O Port faz referência a porta padrão do serviço SSH que seria a 22, porém você pode definir algo como 2222, dificultando um pouco mais para o atacante.

A opção Available From é a parte onde você define qual IP ou Faixa de IP podem acessar o seu roteador, por exemplo, apenas o seu IP Fixo ou a Faixa de IP do seu Provedor de Internet (ISP).

O exemplo acima é muito válido para o serviço do Winbox, que possui a porta padrão 8192. Alterar significa também um aumento da segurança. Importante lembrar que após mudar essas configurações, o acesso deve ter especificado a nova porta.

Exemplos:

Acesso SSH

ssh [email protected] -p 2222

Acesso via Winbox

192.168.0.1:2222

4 – Atualize o RouterOS

Um dos principais motivos de invasões a equipamentos e sistemas em geral, se dá pela situação de que os Administradores de Redes e Sistemas não realizam as atualizações.

Ter um Mikrotik com a versão muito antiga do RouterOS, significa assumir um risco muito alto porque mais cedo ou mais tarde seu equipamento vai sofrer uma invasão, que pode te gerar um alto prejuízo financeiro.

Então tenha sempre um ambiente de testes e backups em dia, para poder se preparar corretamente e atualizar os roteadores.

A versão long-term é a mais recomendada para instalar, pois possui uma maior confiabilidade em termos de bugs e falhas.

5 – Desabilite as Interfaces

Se você não está com as Interfaces Ethernet/SFP em uso, é uma boa prática desabilitar, para evitar o acesso não autorizado.

Essas foram algumas das diversas formas que você pode implementar para proteger o seu Router Board e todo o restante da infraestrutura.

Para continuar acompanhando os nossos conteúdos, adicione o blog nos favoritos e não esqueça de nos seguir em nossas redes sociais. Até a próxima!