Hardening MikroTik para Pequenas Empresas: Guia Passo a Passo
Todo roteador MikroTik sai de fábrica com um conjunto de serviços ativos que facilitam a primeira configuração — mas que representam riscos sérios de segurança se não forem desabilitados antes de colocar o equipamento em produção. Em redes de pequenas empresas, onde muitas vezes não há equipe de TI dedicada, essa configuração padrão persiste por meses ou anos.
Este guia apresenta um checklist prático de hardening para RouterOS — aplicável a qualquer modelo MikroTik, do hAP ac lite ao CCR2004.
Atenção: antes de aplicar qualquer configuração de segurança em um roteador de produção, tenha acesso físico disponível como contingência. Algumas mudanças mal aplicadas podem cortar o acesso remoto ao equipamento.
1. Trocar a senha padrão imediatamente
O MikroTik sai de fábrica com o usuário admin e sem senha (senha em branco). Qualquer pessoa na mesma rede — ou na internet, se o equipamento tiver IP público — pode acessar o dispositivo.
# Trocar a senha do admin /user set admin password="SenhaForte!2025#" # Criar usuário operacional separado (opcional, recomendado) /user add name=noc-leitura group=read password="SenhaRead!2025"
Use senhas de pelo menos 16 caracteres com letras, números e símbolos. Nunca use o nome da empresa, endereço ou data como senha.
2. Desativar serviços que não são utilizados
Por padrão, o RouterOS mantém ativos: Telnet (porta 23), FTP (porta 21), Winbox (porta 8291), HTTP (porta 80), HTTPS (porta 443), SSH (porta 22) e API (porta 8728). Para uma PME típica, apenas SSH e Winbox são necessários — e mesmo esses devem ter acesso restrito.
# Desativar Telnet (nunca use — trafega em texto claro) /ip service disable telnet # Desativar FTP /ip service disable ftp # Desativar HTTP (use HTTPS ou Winbox) /ip service disable www # Desativar API (só ative se usar automação) /ip service disable api # Restringir SSH e Winbox à rede interna apenas /ip service set ssh address=192.168.1.0/24 /ip service set winbox address=192.168.1.0/24
3. Mudar a porta padrão do SSH
Bots automatizados na internet escaneiam a porta 22 constantemente. Trocar para uma porta não-padrão reduz drasticamente o volume de tentativas de força bruta nos logs.
# Mudar SSH para porta não-padrão /ip service set ssh port=2222
4. Proteção do firewall — regras de INPUT essenciais
O firewall padrão do RouterOS protege principalmente o tráfego que passa pelo roteador (forward), mas muitas instalações não têm regras adequadas para proteger o próprio roteador (chain input).
# Aceitar conexões estabelecidas/relacionadas /ip firewall filter add chain=input \ connection-state=established,related action=accept \ comment="Aceitar conexões estabelecidas" # Dropar conexões inválidas /ip firewall filter add chain=input \ connection-state=invalid action=drop \ comment="Dropar inválidas" # Aceitar ICMP (ping) — útil para diagnóstico /ip firewall filter add chain=input \ protocol=icmp action=accept \ comment="Aceitar ICMP" # Aceitar acesso da rede interna /ip firewall filter add chain=input \ src-address=192.168.1.0/24 action=accept \ comment="Aceitar rede interna" # Bloquear acesso administrativo da WAN /ip firewall filter add chain=input \ in-interface=ether1 action=drop \ comment="Bloquear acesso admin pela WAN"
5. Bloquear força bruta com address-list dinâmica
Este conjunto de regras detecta tentativas de força bruta no SSH e bloqueia o IP atacante automaticamente por 1 hora:
# Detectar e listar IPs com múltiplas tentativas SSH /ip firewall filter add chain=input \ protocol=tcp dst-port=2222 \ connection-state=new \ src-address-list=!whitelist \ action=add-src-to-address-list \ address-list=brute-force-ssh \ address-list-timeout=1h \ connection-limit=3,32 \ comment="Detectar brute force SSH" # Bloquear IPs na lista /ip firewall filter add chain=input \ src-address-list=brute-force-ssh \ action=drop \ comment="Bloquear brute force SSH"
6. Desativar Neighbor Discovery e MAC server na WAN
# Descoberta de vizinhos apenas na LAN /ip neighbor discovery-settings set \ discover-interface-list=LAN # MAC server apenas na LAN (sem acesso via MAC pela WAN) /tool mac-server set \ allowed-interface-list=LAN /tool mac-server mac-winbox set \ allowed-interface-list=LAN
7. Manter o RouterOS atualizado
Vulnerabilidades críticas são descobertas regularmente no RouterOS. Em 2023, a CVE-2023-30799 permitia execução remota de código com privilégios root em versões não atualizadas. O processo de atualização é simples:
# Verificar atualizações disponíveis /system package update check-for-updates # Aplicar atualização (reinicia o roteador) /system package update install
Dica: antes de atualizar em produção, faça um backup completo. Com o Mikrosinc, backups automáticos garantem que você sempre tenha um ponto de restauração antes de qualquer atualização.
Checklist de hardening resumido
- Senha forte no usuário admin
- Telnet e FTP desabilitados
- HTTP desabilitado (usar Winbox ou SSH)
- SSH e Winbox restritos à rede interna
- Porta SSH trocada (não usar 22)
- Regras de firewall INPUT bloqueando WAN
- Proteção anti brute-force ativa
- Neighbor discovery e MAC server restritos à LAN
- RouterOS na versão mais recente estável
- Backup automático configurado
Mikrosinc avalia e aplica hardening automaticamente
O recurso Hardening 1-Click do Mikrosinc analisa cada roteador, atribui um score de segurança de 0 a 100 e aplica as correções com um clique — sem precisar executar cada comando manualmente. Ideal para PMEs com múltiplos equipamentos.
Ver Score de Segurança dos meus roteadores