Sistema e alta affidabilitàBase

Identity e hardening dei servizi di gestione

Come nominare correttamente un router MikroTik con /system/identity e come ridurre la superficie d'attacco disabilitando i servizi non necessari e limitandone l'accesso per IP.

L'identità di un router è il nome che appare nel prompt CLI, nei messaggi Winbox, nelle discovery LLDP/CDP e nelle notifiche di sistema. Un nome significativo accelera il troubleshooting e previene errori in ambienti multi-dispositivo.

Impostare l'identità del router

/system/identity set

# Imposta il nome del router (max 64 caratteri)
# Convenzione consigliata: RUOLO-SEDE-NUM (es. CORE-NAPOLI-01)
/system/identity set name=CORE-NAPOLI-01

# Verifica
/system/identity print

Adottare una convenzione di naming consistente (es. RUOLO-SEDE-NUMERO) permette di identificare immediatamente il dispositivo nei log centralizzati, nei messaggi Syslog e nelle sessioni SSH aperte su più router contemporaneamente.

Visualizzare e disabilitare i servizi di gestione

/ip/service — visualizzazione e hardening

# Elenca tutti i servizi con porta, stato e indirizzo
/ip/service print

# Disabilita i protocolli legacy non cifrati
/ip/service disable telnet
/ip/service disable ftp
/ip/service disable www       # API HTTP non cifrata
/ip/service disable api       # API non cifrata (usa api-ssl)

# Lascia abilitati solo i servizi necessari:
# ssh (22), winbox (8291), api-ssl (8729), www-ssl (443)

Limitare l'accesso per indirizzo IP (whitelist)

Whitelist IP sui servizi critici

# Limita SSH solo alla rete di gestione (es. 10.0.0.0/24)
/ip/service set ssh address=10.0.0.0/24

# Limita Winbox alla rete NOC
/ip/service set winbox address=10.0.0.0/24

# Limita API SSL a un singolo server NMS
/ip/service set api-ssl address=10.0.0.5/32

# Cambia la porta SSH predefinita per ridurre i bot scan
# (sicurezza per oscurità, NON un sostituto del firewall)
/ip/service set ssh port=2222

Il parametro address nei servizi non blocca i pacchetti a livello di rete (il firewall lo fa), ma nega l'accesso applicativo. Per una protezione completa, usa SEMPRE anche regole firewall /ip/firewall/filter per droppare il traffico verso le porte di gestione da sorgenti non autorizzate. I due meccanismi sono complementari, non alternativi.

identitynome routerhardeningsicurezzaservizitelnetsshwinboxapiwhitelistip serviceRouterOS

Continua con

Orologio di sistema: impostare data, ora e fuso orario NTP Client: sincronizzazione automatica dell'ora Monitorare risorse e salute hardware del router Scheduler e script: backup automatico notturno

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS