Os dispositivos MikroTik, especialmente os roteadores que utilizam o sistema operacional RouterOS, são amplamente utilizados em ambientes corporativos e provedores de internet devido à sua flexibilidade e custo-benefício. No entanto, como qualquer dispositivo de rede, eles precisam ser devidamente protegidos contra ataques e acessos não autorizados.
Este artigo apresenta as melhores práticas de segurança para dispositivos MikroTik, com foco em proteger sua infraestrutura de rede e garantir a integridade e a confidencialidade dos dados.
1. Mantenha o RouterOS Atualizado
A MikroTik frequentemente lança atualizações que corrigem vulnerabilidades críticas.
- Verifique atualizações regularmente usando o comando
/system package update check-for-updates. - Sempre que possível, habilite atualizações automáticas de segurança.
2. Desabilite Serviços Desnecessários
Cada serviço ativo no roteador é uma possível porta de entrada para atacantes.
- Desative os serviços que você não utiliza em
/ip service(ex.: telnet, ftp). - Limite os serviços essenciais (como SSH e Winbox) apenas a IPs confiáveis.
3. Altere as Portas Padrão
As portas padrão são alvos fáceis para scans automáticos.
- Altere portas como:
- Winbox (8291)
- SSH (22)
- API (8728/8729)
/ip service set winbox port=12345
4. Use Firewall e Filtros de Acesso
Implemente regras de firewall para controlar o tráfego de entrada e saída.
- Bloqueie acessos administrativos vindos da internet.
- Permita acesso administrativo apenas de IPs ou redes específicas.
- Exemplo básico de bloqueio para Winbox: bashCopiarEditar
/ip firewall filter add chain=input protocol=tcp dst-port=8291 src-address=!IP_TRUSTED action=drop
5. Ative a Autenticação Segura
Use senhas fortes e ative o login com chave pública para SSH sempre que possível.
- Desabilite o usuário admin padrão ou altere seu nome.
- Crie usuários com privilégios específicos.
- Evite logins com senha em ambientes públicos.
6. Monitore e Faça Backup Regularmente
A segurança também envolve a capacidade de recuperação.
- Configure o envio de logs para um servidor externo (
/system logging). - Faça backup da configuração regularmente: bashCopiarEditar
/system backup save name=config_backup /export file=config_export
7. Use VPN para Acesso Remoto
Nunca exponha interfaces administrativas diretamente na internet. Use VPNs como L2TP/IPSec, SSTP ou WireGuard.
- Configure túneis seguros para acesso remoto ao equipamento.
- Desative interfaces administrativas na interface WAN.
8. Proteja Contra Ataques de Força Bruta
Habilite o recurso “Address List” + Firewall para bloquear IPs que tentam logins repetidos.
- Utilize a funcionalidade de
/ip firewall filtercomconnection-stateelimitpara mitigar tentativas.
9. Habilite Proteções Nativas (como Safe Mode e MAC Winbox)
- Use o modo seguro do Winbox ao editar regras críticas.
- Desative acesso por MAC Winbox em interfaces inseguras (especialmente em redes públicas).
10. Audite o Sistema com Frequência
- Verifique os logs de login e alterações.
- Revise contas de usuário e permissões regularmente.
Conclusão
A segurança de dispositivos MikroTik deve ser tratada com seriedade, especialmente em ambientes críticos ou conectados à internet. Seguindo as boas práticas listadas neste artigo, é possível reduzir significativamente os riscos de invasão ou falhas de segurança.
Manter uma postura proativa e atualizada em relação à segurança é essencial para qualquer profissional de redes.