Escolar Documentos
Profissional Documentos
Cultura Documentos
Reset do equipamento
O Mikrotik possui configurações padrão de fábrica que permitem seu uso para
navegação doméstica independente de qualquer configuração extra realizada no
equipamento. Essas configurações contemplam regras básicas de firewall e serviços de
DHCP client para comunicação com um modem, por exemplo, para habilitar a navegação.
Essas configurações podem ser removidas, porém sempre após o reset físico do
equipamento (através do botão de reset) elas retornarão. Portanto, sempre antes de dar
início nas configurações iniciais do Mikrotik, remova as configurações de fábrica via
software através do Winbox, assim você elimina qualquer configuração que possa ter no
equipamento e se resguarda de que elas não voltarão.
Atualização de S.O
É importante manter seu equipamento atualizado sempre que possível com a
versão mais recente disponibilizada pelo fabricante, porém para equipamentos em
produção faça sempre a opção de manter um versão estável e livre de bugs e atualize seu
equipamento apenas se as novidades forem de suma importância para você, se a versão
corrir algum bug ou corrigir alguma falha de segurança.
API: 8728
API-SSL: 8729
FTP: 21
SSH: 22
TELNET: 23
WINBOX: 8291
WWW: 80
WWW-SSL: 443
Desativação de serviços
O Mikrotik possui diversos serviços, opções e funcionalidades que por padrão de
fábrica, encontram-se ativadas. Porém para evitar explorações de vulnerabilidades e
consumo desnecessário de recursos, é importante desabilitar estes serviços. Abaixo
seguem os serviços que podem ser desabilitados na configuração inicial.
Mikrotik Cloud
O Mikrotik possui diversos pacotes instalados para habilitar funções, porém nem
todos são de uso necessário para nossos cenários, portanto, desabilite os que não
estiverem em uso para evitar a ocorrência de falhas (alguns pacotes podem apresentar
falhas na versão que estiver utilizando, para evitar problemas com pacotes que não são
necessários, os mantenha desativados), evitar explorações de vulnerabilidades e também
consumo de recursos sem necessidade.
Neighbor Discovery
Mac Services
Btest Server
Por padrão esta opção vem ativada. Desabilite-a pois não será de uso necessário.
Ativação de serviços
Strong Crypto
Força com que clientes de conexão ssh (como putty) utilizem algorítimos mais
fortes de criptografia ao se conectarem com o Mikrotik. Faz a preferência por
criptografias de 256 e 192 bits em relação a 128 bits, desabilita criptografia nulas,
desabilita o uso de MD5, faz preferência pela hash sha256 em relação a sha1, utiliza
prioritariamente troca de chaves Diffie-Hellman 2048bit em relação a 1024bit. (STIG
Finding V-3069)
Gráficos na interface
Habilitar nas interfaces de rede interna e externa para gerar gráficos de consumo
das interfaces.
Syncookie
Configuração de DNS
Faça a opção por configurar sempre mais de um servidor de DNS para obter
redundância. Abaixo um script para configurar 4 de uma única vez:
/ip dns
Configuração de NTP
O Mikrotik possui a funcionalidade de NTP client para manter seu horário
atualizado. Assim como no DNS, é importante manter mais de um servidor configurado
para garantir alta disponibilidade. Utilize o script abaixo para configurar de maneira
automática:
Identificação do equipamento
Por padrão todos os equipamentos saem da fábrica com o nome “Mikrotik”, é
necessário alterar o nome.
Endereçamento de interfaces
Habilitar nas interfaces os endereços de rede e gateway de acordo com o cenário
do cliente.
Servidor de DHCP
Habilitar nas interfaces necessárias servidores DHCP de acordo com o ambiente
do cliente.
Banner de login
É importante habilitar esta função para evidenciar ao usuário que seu acesso ao
equipamento está sendo monitorado.
Após inserção do código acima, é necessário criar uma regra no Firewall bloqueando
qualquer tráfego originário desta lista e entrando pelas interfaces WAN do roteador,
conforme script abaixo:
Alerta no DHCP
Através desta funcionalidade é possível identificar se existem outros servidores
DHCPs habilitados no mesmo enlace de rede. Em casos onde o Mikrotik fornece os IPs
da rede, é de extremo bom uso para evitar servidores "rogues" que podem possivelmente
entregar outra faixa de rede atrapalhando assim o bom funcionando da mesma.
Configurações de firewall
As configurações abaixo foram criadas para permitir a inserção de um firewall
restritivo no cliente de maneira a habilitar serviços básicos, como a navegação e envio de
e-mails. Demais configurações deve ser adicionadas de acordo com as regras de negócio
de cada cliente.
Utilize o script abaixo na ativação de qualquer firewall para garantir uma segurança
mínima:
/ip dns