Escolar Documentos
Profissional Documentos
Cultura Documentos
Esta página objetiva explicar algumas medidas básicas de segurança que se aplicam à
maioria dos Mikrotiks usados em Provedores de Internet.
Advertência: As regras aqui expostas devem ser cautelosamente lidas e entendidas, e se
necessário modificadas, antes de serem aplicadas em sua rede.
ACLs
As listas de controle de acesso aos serviços do Mikrotik (Winbox, Telnet, SSH, web etc)
podem ser encontradas no menu IP > Services.
Recomendamos fortemente que:
1. O acesso à cada um dos serviços seja restrito apenas às suas redes confiáveis;
2. Os serviços não utilizados sejam desabilitados.
Para um equipamento que é acessado apenas pelo navegador e pelo Winbox a partir da
rede 10.1.2.0/24, o que consideramos aqui como confiável, a configuração correta seria:
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=10.1.2.0/24
set ssh disabled=yes
set api disabled=yes
set winbox address=10.1.2.0/24
set api-ssl disabled=yes
Observações:
Alterar a porta dos serviços não deve ser a única medida de segurança a se
adotar. Caso altere, obrigatoriamente faça também as restrições de ACL mencionadas
acima.
Credenciais de acesso
Sob nenhuma circunstância um equipamento deve permanecer com o login e senha
padrão. O login e senha do equipamento deve ser alterado antes mesmo de o
equipamento ser conectado em sua rede. Portanto:
1. Evite usar o login admin. Se possível, use um sistema de Radius para autenticação
no roteador ou use um usuário diferente para cada técnico que acessará ao
equipamento.
2. Sempre use senhas que atendam aos requisitos abaixo:
Oito ou mais caracteres;
Possua uma letra maiúscula;
Possua uma letra minúscula;
Possua um número;
Possua um caractere especial;
Exemplo de senhas seguras:
T7J)Q:OI
a>:O9Ft6
3ibmMc&1
net2018
admin123
Fulanonet
https://wiki.mikrotik.com/wiki/IPSEC_between_Mikrotik_router_and_a_
Shrew_client
IPsec adiciono o link da wiki da Mikrotik, pois são muitas opções de configuração tanto
server e cliente.
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec
Na área verde do diagrama acima são os roteadores que obrigatoriamente devem ter o
uRPF habilitado no modo Strict.
Os roteadores na área cinza são os equipamentos onde o uRPF não deve ser aplicado no
modo strict, exceto após confirmar que existe simetria em todo o tráfego passante.
Advertência: Antes de ativá-lo definitivamente na rede, aplique-o utilizando o Safe Mode
num horário ameno e faça testes. Aplique o RP Filter definitivamente só após homologar o
funcionamento deste recurso em sua rede.
1900 - TCP/UDP - SSDP: Protocolo de auto descoberta de hosts, que deve ser
utilizado apenas em redes locais, como residências e empresas, jamais na Internet.
Atualizações
Duas boas práticas são, consecutivamente, manter sempre seu roteador atualizado e ler
as change logs antes de atualizá-lo.
Caso não leia os change logs, ao menos mantenha sempre seu roteador atualizado para a
última versão sugerida pelo fabricante, disponível neste link.
Existem sempre três opções de versões mais recentes:
Stable: a versão mais recente, com possibilidade de novos bugs ainda não
corrigidos.
Testing: versão beta, ainda em testes. Não use esta versão no ambiente de
produção de sua rede.
Artigo original por Leonardo Paixão e Daniel Damito.