Identity e hardening dei servizi di gestione
Come nominare correttamente un router MikroTik con /system/identity e come ridurre la superficie d'attacco disabilitando i servizi non necessari e limitandone l'accesso per IP.
L'identità di un router è il nome che appare nel prompt CLI, nei messaggi Winbox, nelle discovery LLDP/CDP e nelle notifiche di sistema. Un nome significativo accelera il troubleshooting e previene errori in ambienti multi-dispositivo.
Impostare l'identità del router
# Imposta il nome del router (max 64 caratteri) # Convenzione consigliata: RUOLO-SEDE-NUM (es. CORE-NAPOLI-01) /system/identity set name=CORE-NAPOLI-01 # Verifica /system/identity print
Adottare una convenzione di naming consistente (es. RUOLO-SEDE-NUMERO) permette di identificare immediatamente il dispositivo nei log centralizzati, nei messaggi Syslog e nelle sessioni SSH aperte su più router contemporaneamente.
Visualizzare e disabilitare i servizi di gestione
# Elenca tutti i servizi con porta, stato e indirizzo /ip/service print # Disabilita i protocolli legacy non cifrati /ip/service disable telnet /ip/service disable ftp /ip/service disable www # API HTTP non cifrata /ip/service disable api # API non cifrata (usa api-ssl) # Lascia abilitati solo i servizi necessari: # ssh (22), winbox (8291), api-ssl (8729), www-ssl (443)
Limitare l'accesso per indirizzo IP (whitelist)
# Limita SSH solo alla rete di gestione (es. 10.0.0.0/24) /ip/service set ssh address=10.0.0.0/24 # Limita Winbox alla rete NOC /ip/service set winbox address=10.0.0.0/24 # Limita API SSL a un singolo server NMS /ip/service set api-ssl address=10.0.0.5/32 # Cambia la porta SSH predefinita per ridurre i bot scan # (sicurezza per oscurità, NON un sostituto del firewall) /ip/service set ssh port=2222
Disabilitare le scoperte di rete e gli accessi MAC su WAN
RouterOS offre tre comodità che diventano falle di sicurezza se attive verso l'esterno: la discovery dei neighbor (LLDP/MNDP), il MAC-Winbox e il MAC-Telnet (accesso via indirizzo MAC senza IP, utilissimo in laboratorio ma pericoloso in produzione). Limitali alla sola rete di gestione.
# Neighbor discovery (MNDP/LLDP/CDP) solo sull'interface-list LAN/MGMT /ip/neighbor/discovery-settings set discover-interface-list=LAN # MAC-server (MAC-Telnet): consenti solo sulla rete di gestione /tool/mac-server set allowed-interface-list=MGMT # MAC-Winbox: idem /tool/mac-server/mac-winbox set allowed-interface-list=MGMT # Disabilita il MAC-ping se non serve /tool/mac-server/ping set enabled=no
Bandwidth Test server e Romon: spegnili se non servono
# Il server bandwidth-test può saturare il router se abusato: disabilitalo /tool/bandwidth-server set enabled=no # Disabilita l'auto-upgrade del package e i servizi non usati # /ip/proxy set enabled=no # /ip/socks set enabled=no
address nei servizi non blocca i pacchetti a livello di rete (il firewall lo fa), ma nega l'accesso applicativo. Per una protezione completa, usa SEMPRE anche regole firewall /ip/firewall/filter per droppare il traffico verso le porte di gestione da sorgenti non autorizzate. I due meccanismi sono complementari, non alternativi. Regola d'oro per un WISP: tutto ciò che è MAC-based o discovery deve vivere SOLO sulla rete di management, MAI verso la WAN o le subnet clienti.Continua con
Configura senza fatica con l'AI
In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.
Prova WispOS