WispOSWispOS
Guida MikroTik
Utenti, RADIUS, IoT e containerIntermedio

Utenti del router: gruppi, least-privilege e chiavi SSH

Gestisci gli account amministrativi di RouterOS in modo sicuro: gruppi con permessi minimi, restrizioni per IP sorgente, chiavi SSH al posto della password e disattivazione dell'utente admin di default.

Il primo errore di sicurezza nei WISP è lasciare l'utente admin di default con password debole e accessibile da ovunque. RouterOS ha un sistema di utenti e gruppi granulare: ogni tecnico deve avere il suo account, con i soli permessi necessari (least-privilege) e accesso limitato per IP sorgente.

1. Gruppi e policy

Un gruppo raccoglie un set di policy (permessi). I tre gruppi predefiniti sono full, write e read. Per un WISP conviene creare gruppi su misura: ad esempio un tecnico di campo non deve poter resettare la configurazione.

Creare gruppi su misura
# Gruppo per tecnici di campo: legge, scrive, ma niente policy/ftp/reset
/user/group add \
  name=tecnico \
  policy=local,ssh,read,write,test,winbox,api,!ftp,!reboot,!policy,!password,!sensitive

# Gruppo sola lettura per il monitoraggio/NOC
/user/group add \
  name=noc \
  policy=local,ssh,read,winbox,api,test,!sensitive

# Gruppo amministratori completi (solo titolari)
/user/group add \
  name=admin-full \
  policy=local,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,api,romon
La policy !sensitive nasconde le password/secret in chiaro (PPP secret, RADIUS, ecc.) anche a chi può leggere la config: fondamentale per i gruppi di tecnici e NOC. La policy policy è la più pericolosa: chi la possiede può creare altri utenti e cambiare i permessi — riservarla ai titolari.

2. Creare utenti nominali e limitarne l'accesso

Account per tecnico con restrizione per IP
# Account nominale del tecnico, accessibile SOLO dalla rete di gestione
/user/add \
  name=mrossi \
  group=tecnico \
  password=Un4P4ssw0rdF0rt3! \
  address=10.0.0.0/24,192.168.88.0/24 \
  comment="Mario Rossi - tecnico campo"

# Account NOC sola lettura
/user/add name=monitor group=noc password=M0nit0r! address=10.0.0.0/24

# Disabilitare (non rimuovere subito) l'admin di default dopo aver
# verificato che il nuovo account full funzioni
/user/disable admin
Il campo address limita gli IP/subnet da cui l'utente può autenticarsi: anche se le credenziali trapelassero, un attaccante da Internet non potrebbe usarle. Combinare sempre questa restrizione con il blocco dei servizi di gestione sulle interfacce pubbliche.

3. Login con chiave SSH (senza password)

Le chiavi SSH eliminano il rischio di brute-force sulle password. Si carica la chiave pubblica sul router e la si importa per uno specifico utente; opzionalmente si disabilita del tutto il login con password.

Importare una chiave pubblica SSH
# 1) Caricare il file della chiave pubblica sul router (FTP/WinBox): id_ed25519.pub
# 2) Importarla per l'utente mrossi
/user/ssh-keys/import \
  user=mrossi \
  public-key-file=id_ed25519.pub

# 3) Verificare
/user/ssh-keys/print

# 4) Irrobustire il servizio SSH: solo crypto forte, niente login forte-vuoto
/ip/ssh set \
  strong-crypto=yes \
  always-allow-password-login=no

4. Bloccare i servizi di gestione

Limitare /ip/services agli IP fidati
# Disabilitare i servizi non cifrati e inutili
/ip/service/disable telnet,ftp,www,api

# Restringere SSH/WinBox/API-SSL alla sola rete di gestione
/ip/service/set ssh port=22 address=10.0.0.0/24
/ip/service/set winbox port=8291 address=10.0.0.0/24
/ip/service/set api-ssl address=10.0.0.0/24

# Verificare lo stato finale
/ip/service/print
Regola d'oro WISP: WinBox (8291), SSH (22) e le API NON devono mai essere raggiungibili dalla WAN pubblica. Se serve accesso remoto, farlo attraverso una VPN (WireGuard) o il servizio MikroTik VPN/RoMON, mai esponendo le porte di gestione su Internet.

5. Checklist least-privilege per un WISP

  • Un account nominale per ogni tecnico (mai credenziali condivise)
  • Gruppi su misura con !sensitive per chi non deve vedere le password
  • Restrizione address per IP/subnet su ogni utente
  • Chiavi SSH per gli accessi automatici/agenti; password forti per gli umani
  • Admin di default disabilitato o rinominato con password forte
  • Servizi di gestione filtrati per IP e mai esposti su WAN
  • Audit periodico: /user/print e /user/active/print per vedere chi è connesso
usergroupleast privilegessh keyadminpolicyallowed-addresssicurezza accessiRouterOS hardeningip servicesrotazione credenziali

Continua con

PPP/PPPoE: profili, segreti e server — guida praticaPPP AAA: autenticazione e accounting via RADIUSRADIUS: configurazione client, attributi e RadSecHotspot e Captive Portal: setup, profili e bypass

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS