Servizi di rete (DHCP, DNS…)Intermedio

Hardening dei servizi di gestione: /ip/service e MAC-server

Disattivare i servizi di gestione non necessari, limitare l'accesso ai servizi rimasti per subnet fidate, e mettere in sicurezza Winbox, SSH, API e il MAC-server: il primo passo per non farsi bucare il router.

RouterOS espone diversi servizi di gestione (Winbox, WebFig, SSH, Telnet, FTP, API). Molti sono attivi di default. Un router con questi servizi esposti su Internet e con password deboli viene compromesso in poche ore. L'hardening parte da /ip/service: spegni ciò che non usi e limita ciò che resti alle sole subnet di management.

Vedere e mettere in sicurezza i servizi

/ip/service — disabilitare i servizi insicuri, limitare gli altri

# Vedi lo stato di tutti i servizi
/ip/service print

# Disabilita i servizi in chiaro / non usati
/ip/service disable telnet,ftp,www,api

# Limita Winbox e SSH alla SOLA subnet di management
/ip/service set winbox address=10.255.0.0/24
/ip/service set ssh    address=10.255.0.0/24 port=2200

# Se usi WebFig, solo via HTTPS e ristretto
/ip/service set www-ssl address=10.255.0.0/24 disabled=no

# Verifica finale
/ip/service print

Servizio	Porta	Raccomandazione
telnet	23	Disabilitare (in chiaro)
ftp	21	Disabilitare (in chiaro)
www	80	Disabilitare (usa www-ssl)
www-ssl	443	Solo se serve WebFig, ristretto per subnet + HTTPS
ssh	22	Tenere, cambiare porta, limitare per subnet, usare chiavi
winbox	8291	Tenere, limitare per subnet di management
api	8728	Disabilitare se non usato (in chiaro)
api-ssl	8729	Solo se serve l'API, ristretto

Servizi /ip/service: cosa fare in un setup sicuro

address= NON sostituisce il firewall: il parametro address in /ip/service è un filtro aggiuntivo, ma la difesa primaria resta il /ip/firewall/filter chain=input. Configura SEMPRE un firewall input che droppa tutto dalla WAN tranne established/related — non affidarti solo a /ip/service.

MAC-server, Neighbor Discovery e Bandwidth-server

Oltre a /ip/service, RouterOS espone tre servizi spesso dimenticati: il MAC-server (permette Winbox/Telnet via MAC, senza IP — comodo ma rischioso), il Neighbor Discovery (annuncia il router ai vicini, rivela info a chi è sul segmento) e il Bandwidth-server (test btest). Vanno limitati alle interfacce di management.

Mettere in sicurezza MAC-server, discovery e btest

# MAC Winbox/Telnet solo dalla LAN di management
/tool/mac-server set allowed-interface-list=MGMT
/tool/mac-server/mac-winbox set allowed-interface-list=MGMT
/tool/mac-server/ping set enabled=no

# Neighbor Discovery solo sulle interfacce di management
/ip/neighbor/discovery-settings set discover-interface-list=MGMT

# Disabilita il bandwidth-server (usato per attacchi/ricognizione)
/tool/bandwidth-server set enabled=no

WISP — REGOLA D'ORO: prima di mettere un router in campo, crea una interface-list MGMT con le interfacce/VPN di gestione e una WAN con le interfacce verso Internet. Lega TUTTI questi servizi a MGMT e droppa l'input dalla WAN. Cambia le porte di default (Winbox, SSH) per ridurre il rumore degli scanner automatici. Disabilita l'utente admin di default e crea un utente dedicato con password forte.

ip service/ip/servicehardeningwinboxsshtelnetapiwww-sslmac-serveravailable-fromRouterOS securityneighbor discoverybandwidth-server

Continua con

Indirizzi IP e subnetting pratico su RouterOS IP Pool su RouterOS: range, dimensionamento e riuso DHCP Server su RouterOS: pool, reti e lease statici DHCP Options e Option 82 su RouterOS

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS