Guida MikroTik
Primi passi e gestioneIntermedio

Hardening dei servizi: /ip/service e sicurezza accesso

Disabilita i servizi non necessari, cambia le porte default, limita l'accesso per IP e abilita solo i protocolli sicuri per ridurre la superficie d'attacco.

Servizi abilitati di default

RouterOS abilita diversi servizi di gestione alla consegna. Ogni servizio apre una porta in ascolto e rappresenta una potenziale superficie d'attacco: i router MikroTik esposti su Internet sono un bersaglio noto di botnet che provano credenziali deboli e vecchie vulnerabilità. La regola d'oro: abilita solo quello che usi, su porte non standard, limitato agli IP di gestione, e bloccando comunque l'accesso ai servizi di management dalla WAN nel firewall.

Visualizza i servizi attivi
# Elenca tutti i servizi con porta, stato e allowed-from
/ip/service/print
ServizioPortaCifratoAzione consigliata
telnet23NoDisabilita sempre
ftp21NoDisabilita sempre
www80NoDisabilita o solo LAN
api8728NoDisabilita (usa api-ssl)
ssh22Tieni, sposta porta, limita IP
winbox8291Tieni, limita IP
www-ssl443Abilita per REST/WebFig, limita IP
api-ssl8729Solo se serve l'API cifrata
Servizi /ip/service: cosa farne su un apparato WISP esposto.
Hardening completo dei servizi
# 1. Disabilita servizi insicuri o non usati
/ip/service/set telnet disabled=yes
/ip/service/set ftp    disabled=yes
/ip/service/set www    disabled=yes
/ip/service/set api    disabled=yes

# 2. Mantieni solo i servizi necessari e limitali per IP
#    Sostituisci 192.168.100.0/24 con la TUA rete/jump host di gestione
/ip/service/set ssh    port=2222 address=192.168.100.0/24
/ip/service/set winbox port=8291 address=192.168.100.0/24
/ip/service/set api-ssl port=8729 address=192.168.100.0/24 disabled=no

# 3. www-ssl per REST API e WebFig HTTPS (richiede certificato)
/ip/service/set www-ssl disabled=no address=192.168.100.0/24

# 4. Verifica lo stato finale
/ip/service/print
Il parametro per limitare gli IP nel menu /ip/service si chiama address (lista di subnet/IP separati da virgola). Limitare qui è il primo strato; il secondo strato è il firewall chain=input che droppa il management dalla WAN. Usa entrambi: difesa in profondità.

Ridurre ulteriormente la superficie d'attacco

Disabilita servizi L2 e funzioni informative
# MAC-server: lascialo SOLO sull'interfaccia di management (recovery)
/tool/mac-server/set allowed-interface-list=mgmt
/tool/mac-server/mac-winbox/set allowed-interface-list=mgmt
/tool/mac-server/ping/set enabled=no

# Neighbor discovery (MNDP): rivela modello/versione/topologia -> solo mgmt
/ip/neighbor/discovery-settings/set discover-interface-list=mgmt

# Bandwidth test server: espone banda, disabilita in produzione
/tool/bandwidth-server/set enabled=no

# DNS resolver esterno: no risposte ricorsive a chi sta sulla WAN
/ip/dns/set allow-remote-requests=no

# UPnP, SOCKS, cloud DDNS: spegnili se non li usi
/ip/upnp/set enabled=no
/ip/socks/set enabled=no
/ip/cloud/set ddns-enabled=no update-time=no

Nota sull'interface-list mgmt: va creata e popolata prima (es. /interface/list/add name=mgmt poi /interface/list/member/add list=mgmt interface=ether2). In questo modo i servizi di recovery (MAC-WinBox, neighbor discovery) restano disponibili sull'interfaccia/VLAN da cui ti colleghi fisicamente, ma scompaiono dalla WAN e dalle interfacce verso i clienti.

Il MAC-server è la tua ancora di salvezza: se sbagli una regola firewall e ti tagli fuori via IP, con MAC-WinBox dalla LAN di management rientri lo stesso. Per questo NON disabilitarlo del tutto — confinalo all'interfaccia di management. Prima di toccare i servizi su un apparato remoto, attiva sempre la Safe Mode (Ctrl+X).
ip servicehardeningsicurezzatelnetftpapiwinboxwwwwww-sslsshportaallowed-addresssurface attackmac-serverneighbor discovery

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS