Firewall e QoSIntermedio
Hardening dei servizi — Ridurre la superficie d'attacco del router
Il firewall è metà del lavoro: l'altra metà è spegnere i servizi inutili, limitare gli accessi e disattivare le funzioni di scoperta. Checklist completa per blindare un router WISP esposto su Internet.
Un firewall perfetto non basta se il router espone servizi non necessari o offre punti di accesso 'laterali' (MAC server, neighbor discovery, bandwidth test). L'hardening consiste nel ridurre la superficie d'attacco: meno servizi attivi, meno modi per entrare. Questa è una checklist obbligatoria prima di mettere in produzione un router WISP.
1. Disabilitare i servizi inutilizzati e limitare gli altri
/ip service — spegni ciò che non usi, limita il resto
# Vedi tutti i servizi e il loro stato /ip service print # DISABILITA i servizi non cifrati o non usati /ip service disable telnet /ip service disable ftp /ip service disable www /ip service disable api # LIMITA i servizi necessari a IP/subnet di management (available-from) # Anche con il firewall, questo è un secondo livello di difesa. /ip service set ssh port=2222 available-from=10.0.0.0/8,203.0.113.50 /ip service set winbox available-from=10.0.0.0/8,203.0.113.50 /ip service set api-ssl available-from=10.0.0.0/8 # Preferisci sempre le versioni cifrate: # ssh (non telnet), www-ssl (non www), api-ssl (non api) /ip service set www-ssl certificate=mio-cert available-from=10.0.0.0/8
2. Bloccare gli accessi via MAC (scoperta L2)
Winbox e Telnet possono funzionare anche via MAC address (senza IP), bypassando completamente il firewall IP. Su un router di produzione questo è pericoloso: chiunque sia sullo stesso dominio di broadcast (es. un cliente sulla rete d'accesso o un apparato compromesso) potrebbe tentare l'accesso. Va limitato alle sole interfacce di management.
Limitare MAC server, MAC Winbox e MAC ping
# Limita il MAC server (Telnet via MAC) a una sola interfaccia mgmt # Meglio ancora: nessuna interfaccia se non serve. /tool mac-server set allowed-interface-list=MGMT # Limita il MAC Winbox alle sole interfacce di management /tool mac-server mac-winbox set allowed-interface-list=MGMT # Disabilita il MAC ping (riduce la visibilità del router in L2) /tool mac-server ping set enabled=no # Crea la interface list MGMT con la sola porta/VLAN di gestione /interface list add name=MGMT comment="Solo gestione" /interface list member add list=MGMT interface=ether2
3. Disattivare neighbor discovery e RoMON sulle interfacce pubbliche
Neighbor discovery, RoMON e bandwidth test
# Neighbor Discovery (MNDP/CDP/LLDP): espone modello, versione, identità. # Lascialo SOLO sulle interfacce di management, MAI sulla WAN. /ip neighbor discovery-settings set discover-interface-list=MGMT # RoMON (gestione L2 tra MikroTik): comodo ma è una porta in più. # Se non lo usi, lascialo disabilitato (default). Se lo usi, mettici # una password forte e limitalo alle interfacce mgmt. /tool romon set enabled=no # Bandwidth Test server: spegnilo o richiedi autenticazione, # altrimenti chiunque può saturare il router con un btest. /tool bandwidth-server set enabled=no # (se serve attivo: enabled=yes authenticate=yes)
4. Account, password e accessi
Irrobustire gli account amministrativi
# Rinomina o disabilita l'utente 'admin' di default (target n.1 dei bot) /user add name=noc-pcs group=full password="UnaPasswordMoltoLunga!" comment="Admin WISP" # Dopo aver verificato il nuovo accesso: /user disable admin # Limita ogni utente alle subnet da cui può accedere /user set noc-pcs allowed-address=10.0.0.0/8,203.0.113.50 # Forza chiavi SSH e disabilita il login SSH con sola password /user ssh-keys import user=noc-pcs public-key-file=noc-pcs.pub /ip ssh set strong-crypto=yes /ip ssh set always-allow-password-login=no # Auto-logout delle sessioni inattive /ip service set ssh ... # (vedi available-from sopra) /console set ... # timeout sessione gestito dal group/policy
Checklist finale di hardening
| Area | Azione | Comando chiave |
|---|---|---|
| Servizi | Disabilita telnet/ftp/www/api in chiaro | /ip service disable ... |
| Servizi | available-from solo subnet mgmt | /ip service set ... available-from= |
| L2 | MAC server/Winbox solo su MGMT | /tool mac-server set allowed-interface-list=MGMT |
| L2 | Discovery solo su MGMT | /ip neighbor discovery-settings set ... |
| L2 | Bandwidth server off | /tool bandwidth-server set enabled=no |
| Account | Rinomina/disabilita 'admin' | /user add ... ; /user disable admin |
| Account | allowed-address per ogni utente | /user set ... allowed-address= |
| SSH | Chiavi, no password, porta non standard | /ip ssh set always-allow-password-login=no |
| Firmware | RouterOS aggiornato (security fix) | /system package update |
| Backup | Backup + export prima di esporre | /export ; /system backup save |
Tieni il firmware aggiornato: molte intrusioni sui MikroTik (es. la famigerata Winbox CVE-2018-14847) hanno colpito router con firmware vecchio e Winbox esposto. La combinazione 'firewall input deny-by-default + servizi limitati + firmware aggiornato' chiude la quasi totalità dei vettori reali. Esegui sempre un
/export della config prima e dopo l'hardening per avere un riferimento.hardeningip servicemac servermac winboxneighbor discoverybandwidth testbtestromonsuperficie attaccosicurezza routerdisabilita serviziavailable-from
Continua con
Configura senza fatica con l'AI
In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.
Prova WispOS