WispOSWispOS
Guida MikroTik
Primi passi e gestioneIntermedio

Hardening dei servizi: /ip/service e sicurezza accesso

Disabilita i servizi non necessari, cambia le porte default, limita l'accesso per IP e abilita solo i protocolli sicuri per ridurre la superficie d'attacco.

Servizi abilitati di default

RouterOS abilita diversi servizi di gestione alla consegna. Ogni servizio apre una porta in ascolto e rappresenta una potenziale superficie d'attacco. La regola d'oro: abilita solo quello che usi, su porte non standard, limitato agli IP di gestione.

Visualizza servizi attivi
# Elenca tutti i servizi con porta, stato e allowed-from
/ip/service/print
  • telnet — porta 23, testo in chiaro: disabilita sempre
  • ftp — porta 21, testo in chiaro: disabilita sempre
  • www — porta 80, HTTP non cifrato: disabilita o limita a LAN
  • ssh — porta 22, cifrato: tieni, ma sposta su porta non standard
  • www-ssl — porta 443, HTTPS: necessario per REST API e WebFig sicuro
  • api — porta 8728, non cifrata: disabilita se non usata
  • api-ssl — porta 8729, cifrata: usa questa se hai bisogno dell'API RouterOS
  • winbox — porta 8291: tieni, limita agli IP di gestione
Hardening completo dei servizi
# 1. Disabilita servizi insicuri o non usati
/ip/service/set telnet disabled=yes
/ip/service/set ftp disabled=yes
/ip/service/set www disabled=yes
/ip/service/set api disabled=yes

# 2. Mantieni solo servizi necessari e limitali per IP
#    Sostituisci 192.168.100.0/24 con la tua rete di gestione
/ip/service/set ssh    port=2222 allowed-address=192.168.100.0/24
/ip/service/set winbox port=8291 allowed-address=192.168.100.0/24
/ip/service/set api-ssl port=8729 allowed-address=192.168.100.0/24 disabled=no

# 3. Abilita www-ssl per REST API e WebFig HTTPS
#    (richiede un certificato, vedi sotto)
/ip/service/set www-ssl disabled=no allowed-address=192.168.100.0/24

# 4. Verifica stato finale
/ip/service/print

Disabilita servizi di rete interni non necessari

Riduzione superficie d'attacco aggiuntiva
# Disabilita MAC-Winbox e MAC-Telnet (utili solo in lab/recovery)
/tool/mac-server/set allowed-interface-list=none
/tool/mac-server/mac-winbox/set allowed-interface-list=none
/tool/mac-server/ping/set enabled=no

# Disabilita neighbor discovery su tutte le interfacce
# (rivela informazioni sulla topologia di rete)
/ip/neighbor/discovery-settings/set discover-interface-list=none

# Disabilita bandwidth test server (espone banda)
/tool/bandwidth-server/set enabled=no

# Disabilita DNS resolver esterno (se non usato come resolver LAN)
/ip/dns/set allow-remote-requests=no

# Disabilita UPnP, SOCKS proxy, cloud DDNS
/ip/upnp/set enabled=no
/ip/socks/set enabled=no
/ip/cloud/set ddns-enabled=no update-time=no
Il MAC-server è fondamentale per il recupero del router in caso di configurazione errata che blocca l'accesso IP: puoi tenerlo abilitato solo sulla VLAN/interfaccia di management fisico (es. allowed-interface-list=mgmt-list), non su tutte le interfacce. Documentati su come accedere fisicamente al router prima di disabilitarlo del tutto.
ip servicehardeningsicurezzatelnetftpapiwinboxwwwwww-sslsshportaallowed-fromsurface attack

Continua con

Cos'è RouterOS e RouterBOARDPrimo accesso: WinBox, WebFig, SSH e REST APIConfigurazione di default e Quick SetCLI RouterOS: navigazione, print, find e Safe Mode

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS