Hardening dei servizi: /ip/service e sicurezza accesso
Disabilita i servizi non necessari, cambia le porte default, limita l'accesso per IP e abilita solo i protocolli sicuri per ridurre la superficie d'attacco.
Servizi abilitati di default
RouterOS abilita diversi servizi di gestione alla consegna. Ogni servizio apre una porta in ascolto e rappresenta una potenziale superficie d'attacco: i router MikroTik esposti su Internet sono un bersaglio noto di botnet che provano credenziali deboli e vecchie vulnerabilità. La regola d'oro: abilita solo quello che usi, su porte non standard, limitato agli IP di gestione, e bloccando comunque l'accesso ai servizi di management dalla WAN nel firewall.
# Elenca tutti i servizi con porta, stato e allowed-from /ip/service/print
| Servizio | Porta | Cifrato | Azione consigliata |
|---|---|---|---|
| telnet | 23 | No | Disabilita sempre |
| ftp | 21 | No | Disabilita sempre |
| www | 80 | No | Disabilita o solo LAN |
| api | 8728 | No | Disabilita (usa api-ssl) |
| ssh | 22 | Sì | Tieni, sposta porta, limita IP |
| winbox | 8291 | Sì | Tieni, limita IP |
| www-ssl | 443 | Sì | Abilita per REST/WebFig, limita IP |
| api-ssl | 8729 | Sì | Solo se serve l'API cifrata |
# 1. Disabilita servizi insicuri o non usati /ip/service/set telnet disabled=yes /ip/service/set ftp disabled=yes /ip/service/set www disabled=yes /ip/service/set api disabled=yes # 2. Mantieni solo i servizi necessari e limitali per IP # Sostituisci 192.168.100.0/24 con la TUA rete/jump host di gestione /ip/service/set ssh port=2222 address=192.168.100.0/24 /ip/service/set winbox port=8291 address=192.168.100.0/24 /ip/service/set api-ssl port=8729 address=192.168.100.0/24 disabled=no # 3. www-ssl per REST API e WebFig HTTPS (richiede certificato) /ip/service/set www-ssl disabled=no address=192.168.100.0/24 # 4. Verifica lo stato finale /ip/service/print
/ip/service si chiama address (lista di subnet/IP separati da virgola). Limitare qui è il primo strato; il secondo strato è il firewall chain=input che droppa il management dalla WAN. Usa entrambi: difesa in profondità.Ridurre ulteriormente la superficie d'attacco
# MAC-server: lascialo SOLO sull'interfaccia di management (recovery) /tool/mac-server/set allowed-interface-list=mgmt /tool/mac-server/mac-winbox/set allowed-interface-list=mgmt /tool/mac-server/ping/set enabled=no # Neighbor discovery (MNDP): rivela modello/versione/topologia -> solo mgmt /ip/neighbor/discovery-settings/set discover-interface-list=mgmt # Bandwidth test server: espone banda, disabilita in produzione /tool/bandwidth-server/set enabled=no # DNS resolver esterno: no risposte ricorsive a chi sta sulla WAN /ip/dns/set allow-remote-requests=no # UPnP, SOCKS, cloud DDNS: spegnili se non li usi /ip/upnp/set enabled=no /ip/socks/set enabled=no /ip/cloud/set ddns-enabled=no update-time=no
Nota sull'interface-list mgmt: va creata e popolata prima (es. /interface/list/add name=mgmt poi /interface/list/member/add list=mgmt interface=ether2). In questo modo i servizi di recovery (MAC-WinBox, neighbor discovery) restano disponibili sull'interfaccia/VLAN da cui ti colleghi fisicamente, ma scompaiono dalla WAN e dalle interfacce verso i clienti.
Continua con
Configura senza fatica con l'AI
In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.
Prova WispOS