O Mikrotik, conhecido por seu poderoso sistema operacional RouterOS, desempenha um papel crucial no roteamento e gestão de redes. No entanto, a eficácia do Mikrotik está diretamente ligada à segurança implementada pelo administrador da rede. Este guia visa fornecer alguns passos básicos essenciais de segurança no Mikrotik, destacando medidas fundamentais para proteger sua rede contra ameaças potenciais.
Ao adentrar o universo do Mikrotik, é imperativo compreender que, por padrão, algumas configurações podem representar vulnerabilidades. Este texto explora passos básicos para gerenciar usuários de maneira segura, proteger portas de serviços e adotar medidas proativas para resguardar seu ambiente de rede. Ao seguir as práticas recomendadas aqui apresentadas, você estará fortalecendo as defesas do Mikrotik e contribuindo para um ambiente de rede mais seguro e confiável.
Gerenciando usuários no Mikrotik
Ao acessar o Mikrotik, é crucial tomar medidas imediatas para aumentar a segurança. O usuário admin, que inicialmente não possui senha, deve ser configurado com uma senha forte ou substituído (fortemente recomendável) por um novo usuário com permissões totais. Isso cria uma camada adicional de complexidade para possíveis invasores.
Segue um passo a passo para a criação de um novo usuário com permissão total e a exclusão do usuário admin:
Criando novo usuário no Mikrotik
Acesse o Mikrotik pelo Winbox e selecione o menu System, depois a opção Users.
Na janela “User List”, na aba Users clique no botão “+” para adicionar um novo usuário. Na janela “New User” adicione as informações nos campos:
- Name – nome do usuário;
- Group – selecione a opção “full”, onde o usuário terá todos os privilégios de administrador;
- Password – informe uma senha padrão forte, combinando letras, números, símbolos e dígitos;
- Confirm Password – confirme a senha informada no campo Password.
Após clique no botão “Ok” para salvar no RouterOS.
Desconecte do Winbox, e após faça o teste conectando com o novo usuário e senha.
Deletar usuário admin padrão
Após garantir o acesso com o novo usuário, retorne à “User List”, selecione o usuário admin e clique no botão “-” para excluí-lo.
Gerenciamento das portas de serviços
Acessando o menu IP e depois a opção Services, o RouterOS disponibiliza as opções das portas que são acessadas via IP.
É recomendável desabilitar a porta que não esteja usando, no cenário abaixo já estão desabilitados “telnet” (por não ter criptografia em seu acesso) e “www-ssl”.
Para desabilitar alguma porta, selecione com o mouse e depois clica no botão “X”. No exemplo abaixo, foi selecionada a porta “api-ssl”.
Alterando numeração de portas e liberando acesso para redes específicas.
Alterando a numeração padrão das portas de serviços, dificulta um pouco mais para um atacante descobrir o acesso a um determinado serviço que utiliza porta padrão. Pode-se utilizar numeração alta de até o número 65535 para a atualização.
Em “IP Service List” dê dois cliques com o mouse na porta que deseja fazer as alterações, depois altere os campos:
- Port – informe a numeração da porta para alterar, neste exemplo foi usado o número 41555 (obs: use um número diferente para o seu cenário);
- Available From – caso deseje restringir mais o acesso para alguma porta, clique no símbolo de seta para baixo (Add new value) para habilitar o campo, após adicione a rede ou um ip específico que poderá acessar esta porta, neste exemplo a porta está disponível para a rede interna 192.168.1.0/24.
Clique no botão OK para confirmar as alterações.
Obs: caso seja cliente da MKController, ao informar algum IP no campo “Available From”, terá que adicionar o IP utilizado na comunicação VPN nas portas com as alterações feitas. Para saber o IP de comunicação com a VPN da MKController, acesse o menu IP e depois Firewall, na regra que estiver o comentário “MKController” anote o IP utilizado e adicione no campo Available From do IP Service.
Numerações das portas na MKController
Clientes da MKController devem garantir a sincronização das informações após alterar a numeração padrão das portas no Mikrotik.
Após realizar o login no site “https://app.mkcontroller.com”, acesse o menu Dispositivos e depois clique no botão “Ver mais” na representação do dispositivo.
Na parte de baixo da tela, em Ports verifique se as informações das portas estão atualizadas conforme no Mikrotik. Caso não estejam, clique no símbolo de um lápis (Editar portas).
Informe as numerações das portas, conforme está configurado no dispositivo Mikrotik, e clique no botão Salvar.
Embarque na jornada da segurança Mikrotik com confiança, implementando passos essenciais para fortalecer suas defesas e contribuir para um ambiente de rede mais seguro e confiável.
Não encontrou as informações que procurava? Tem outras perguntas? Quer nos ajudar a melhorar o material? Não hesite em entrar em contato e buscar o suporte da MKController! Clique aqui para eventuais dúvidas.
Potencialize o controle, a eficiência e o acesso remoto do seu Mikrotik com a MKController. Clique aqui para experimentar agora e descubra o poder de uma gestão avançada e intuitiva para elevar sua experiência a novos patamares!
Você poderá ver o conteúdo deste artigo no vídeo abaixo, se preferir!