Como Mudar e Desativar o Usuário Admin Padrão no Roteador Mikrotik

Desative o usuário admin padrão no roteador Mikrotik.

Entendendo a Importância da Segurança no Roteador Mikrotik
A segurança do roteador é fundamental para proteger a rede contra acessos não autorizados e ataques cibernéticos.
Alterar e desativar o usuário admin padrão é um passo crucial nesse processo.
Por que a Segurança é Importante
A segurança do roteador Mikrotik é essencial para evitar acessos não autorizados e proteger a rede contra ataques cibernéticos.
Isso inclui a proteção contra ataques de força bruta, malware e outras ameaças.
Riscos de Segurança
Os principais riscos de segurança incluem acessos não autorizados, ataques de força bruta e malware.
Além disso, a falta de atualizações de segurança e a utilização de senhas fracas também podem comprometer a segurança do roteador.
Como Mudar a Senha do Usuário Admin no Roteador Mikrotik
Para mudar a senha do usuário admin, é necessário acessar o painel de controle do roteador.
Utilize o software Winbox ou a interface web para realizar essa operação.
Passos para Mudar a Senha
Para mudar a senha do usuário admin, siga os seguintes passos:
1. Acesse o painel de controle do roteador Mikrotik.
Utilizando o Winbox
Para mudar a senha utilizando o Winbox, vá para "System" > "Users" e selecione o usuário admin.
Em seguida, clique em "Edit" e altere a senha.
Utilizando a Interface Web
Para mudar a senha utilizando a interface web, vá para "System" > "Users" e selecione o usuário admin.
Em seguida, clique em "Edit" e altere a senha.
Como Desativar o Usuário Admin Padrão no Roteador Mikrotik
Desativar o usuário admin padrão é uma medida de segurança adicional para evitar acessos não autorizados.
Isso pode ser feito criando um novo usuário com privilégios de admin e, em seguida, desativando o usuário padrão.
Passos para Desativar o Usuário Admin
Para desativar o usuário admin padrão, siga os seguintes passos:
1. Crie um novo usuário com privilégios de admin.
2. Desative o usuário admin padrão.
Utilizando o Winbox
Para desativar o usuário admin utilizando o Winbox, vá para "System" > "Users" e selecione o usuário admin.
Em seguida, clique em "Disable" para desativar o usuário.
Utilizando a Interface Web
Para desativar o usuário admin utilizando a interface web, vá para "System" > "Users" e selecione o usuário admin.
Em seguida, clique em "Disable" para desativar o usuário.
Como Mudar a Porta no Winbox Passo a Passo
Alterar a porta padrão do Winbox ajuda a evitar ataques de força bruta.
Siga os passos para mudar a porta: abra o Winbox, vá para "IP" > "Services", e altere a porta padrão.
Passos para Mudar a Porta
Para mudar a porta, siga os seguintes passos:
1. Abra o Winbox.
2. Vá para "IP" > "Services".
Alterando a Porta
Para alterar a porta, selecione a porta padrão e altere-a para uma porta personalizada.
Em seguida, clique em "Apply" para salvar as alterações.
Configurações de Segurança Adicionais no Roteador Mikrotik
Além de mudar e desativar o usuário admin, existem outras configurações de segurança importantes.
Incluam a utilização de firewalls, a configuração de VPN e a implementação de autenticação de dois fatores.

Firewall
O firewall é uma ferramenta importante para bloquear acessos não autorizados à rede.
Configure o firewall para bloquear tráfego de entrada e saída não autorizado.
VPN
A VPN (Rede Privada Virtual) é uma tecnologia que permite criar uma conexão segura e criptografada entre dois pontos.
Configure a VPN para proteger a comunicação entre a rede e a internet.
Autenticação de Dois Fatores
A autenticação de dois fatores é uma técnica de segurança que exige dois métodos de autenticação para acessar a rede.
Configure a autenticação de dois fatores para adicionar uma camada adicional de segurança à rede.
É importante entender a diferença entre estabilizador e nobreak para proteger o roteador contra flutuações de energia.
Além disso, saber como os dispositivos de casa inteligente funcionam sem internet pode ajudar na configuração de redes mais seguras.
Dica DomineTec: Utilize um cabo de rede blindado para reduzir a interferência eletromagnética e aumentar a segurança da conexão.
Passos para Configurar o Roteador Mikrotik com Segurança
- Acesse o painel de controle do roteador.
- Mude a senha do usuário admin.
- Desative o usuário admin padrão.
- Configure o firewall e a VPN.
- Implemente autenticação de dois fatores.

Verificando a Configuração
Verifique se o roteador está configurado corretamente verificando as configurações de segurança.
Isso inclui a senha do usuário admin, a configuração do firewall e a implementação de autenticação de dois fatores.
Testando a Segurança
Teste a segurança do roteador Mikrotik realizando um teste de penetração.
Isso ajudará a identificar vulnerabilidades e melhorar a segurança da rede.
Integração com Servidor RADIUS para Autenticação Centralizada
A centralização de credenciais em um servidor RADIUS elimina a necessidade de gerenciar contas locais em múltiplos roteadores. Essa prática facilita a revogação imediata de acessos quando um operador deixa a organização.
Para ativar essa integração, configure o servidor RADIUS de destino e habilite o uso de autenticação externa no RouterOS. Utilize os comandos abaixo no terminal do Mikrotik para realizar esse apontamento técnico:
/radius add address=10.0.0.50 service=login secret=ChaveSecretaRadius /user aaa set use-radius=yes default-group=read
O parâmetro default-group define o nível de permissão inicial para usuários autenticados via RADIUS. Caso o servidor RADIUS não envie o atributo específico do grupo, o usuário receberá apenas a permissão mínima definida.
Criação de Grupos de Permissão Customizados (Custom Groups)
Os grupos padrão do RouterOS como read, write e full podem ser inadequados para equipes específicas de suporte. Criar grupos customizados garante que cada técnico possua apenas as permissões estritamente necessárias para suas funções diárias.
O comando a seguir cria um grupo intermediário focado em diagnóstico de rede. Esse grupo permite pingar e visualizar configurações, mas impede alterações estruturais ou criação de novos usuários:
/user group add name=Diagnostico policy=read,test,ping,winbox,!write,!policy,!local
A tabela abaixo descreve as principais políticas que podem ser combinadas para personalizar o acesso:
| Política | Função Técnica | Impacto de Segurança |
| write | Permite alterar configurações do sistema. | Alto: pode modificar regras de firewall e rotas. |
| policy | Permite gerenciar usuários e permissões. | Crítico: pode criar novos administradores com privilégios totais. |
| sensitive | Permite visualizar senhas em texto claro e backups. | Crítico: expõe credenciais de vizinhos e serviços. |
Proteção Dinâmica contra Ataques de Força Bruta via Firewall
Desativar o usuário admin padrão atenua ataques direcionados, mas tentativas de força bruta ainda podem sobrecarregar o processamento do roteador. É fundamental configurar regras de firewall que bloqueiem temporariamente IPs que falharem repetidamente na autenticação.
As regras abaixo monitoram conexões na porta do Winbox (8291) e adicionam atacantes a uma lista de bloqueio por 3 horas:
/ip firewall filter add chain=input protocol=tcp dst-port=8291 connection-state=new src-address-list=bloqueado_winbox action=drop comment="Bloqueia atacantes de forca bruta" add chain=input protocol=tcp dst-port=8291 connection-state=new action=add-src-to-address-list address-list=tentativa_1 address-list-timeout=1m add chain=input protocol=tcp dst-port=8291 connection-state=new src-address-list=tentativa_1 action=add-src-to-address-list address-list=tentativa_2 address-list-timeout=1m add chain=input protocol=tcp dst-port=8291 connection-state=new src-address-list=tentativa_2 action=add-src-to-address-list address-list=bloqueado_winbox address-list-timeout=3h
Esse encadeamento de regras garante que o atacante seja banido após três tentativas falhas consecutivas dentro de um minuto. O tráfego legítimo de administradores não é impactado desde que a senha correta seja inserida na primeira tentativa.
Exportação de Logs de Auditoria para Servidor Syslog Externo
Armazenar logs localmente no Mikrotik apresenta riscos, pois um invasor com acesso administrativo pode apagar os rastros de sua atividade. A melhor prática regulatória exige o envio em tempo real de todos os eventos de login para um servidor Syslog externo.
Execute os comandos a seguir para direcionar os logs de segurança e tentativas de login para um coletor remoto:
/system logging action add name=syslog-externo target=remote remote=192.168.100.250 remote-port=514 /system logging add topics=account action=syslog-externo /system logging add topics=critical action=syslog-externo
O tópico account registra todas as ações de login, logout e falhas de autenticação de usuários. O armazenamento externo garante a integridade das evidências em caso de auditoria pós-incidente.
Autenticação por Chave Pública SSH para Acesso Administrativo
A autenticação baseada exclusivamente em senhas é vulnerável a ataques de interceptação e engenharia reversa. O RouterOS suporta o uso de chaves criptográficas SSH, eliminando a necessidade de digitar senhas durante sessões de terminal remoto.
Primeiro, você deve gerar um par de chaves RSA ou ED25519 em seu computador pessoal. Em seguida, importe a chave pública para o usuário correspondente no Mikrotik utilizando as instruções abaixo:
/file print # Transfira o arquivo "id_rsa.pub" para o Mikrotik antes de executar o comando abaixo /user ssh-keys import user=AdminSeguro public-key-file=id_rsa.pub
Após a importação, você poderá desativar completamente o login por senha tradicional para conexões SSH. Isso força todos os administradores a utilizarem exclusivamente suas chaves privadas para obter acesso.
Restrição de Endereço IP de Origem por Usuário (Allowed Address)
Mesmo que uma senha administrativa forte seja descoberta, o acesso pode ser mitigado se houver restrição geográfica de rede. O RouterOS permite vincular cada usuário local a uma sub-rede ou endereço IP específico de origem.
Para limitar um usuário administrador de forma que ele consiga se conectar apenas a partir da sub-rede de gerência interna, configure o seguinte parâmetro:
/user set [find name="AdminSeguro"] allowed-address=192.168.88.0/24,10.10.0.5/32
Qualquer tentativa de login originada de um IP fora dessas faixas especificadas será sumariamente descartada pelo sistema. Essa configuração cria uma camada de defesa essencial contra acessos não autorizados vindos da internet pública.
Gerenciamento de Senhas e Segurança Aumentada
A segurança da rede é uma prioridade ao alterar o usuário admin padrão. É recomendável utilizar senhas complexas e únicas para cada usuário criado.
Uma boa prática é a utilização de uma combinação de letras maiúsculas, minúsculas, números e caracteres especiais, com pelo menos 12 caracteres.
- Exemplo de senha forte: M!kR0t1k#2023
- Exemplo de senha fraca: admin123
Além disso, é importante implementar a autenticação de dois fatores se disponível. Isso agrega uma camada extra de segurança contra acessos não autorizados.
Para monitorar tentativas de acesso, utilize o recurso de logs do Mikrotik. A configuração pode ser feita através da interface gráfica ou pelo terminal.
| Parâmetro | Descrição |
|---|---|
| /system logging | Comando para acessar as configurações de log. |
| topics=login | Configuração para registrar tentativas de login. |
Criação e Gerenciamento de Perfis de Acesso
Para um controle mais granular, é possível criar perfis de acesso personalizados para diferentes usuários. Isso garante que cada usuário tenha permissões adequadas às suas funções.
Os perfis podem ser configurados para permitir ou negar acesso a certas funcionalidades do roteador, como a configuração de firewall ou a gestão de usuários.
- Passo a passo para criar um perfil:
- Acesse o terminal e digite
/user group add name=novogrupo policy=read,write. - Em seguida, associe o usuário ao novo grupo com
/user add name=novo_usuario group=novogrupo.
Os perfis podem ser adaptados conforme a necessidade, tornando o gerenciamento da rede mais eficiente. Sempre revise os direitos de acesso para garantir a segurança e a funcionalidade.
Ultrapassar limites de acesso pode ser feito por meio do comando /user set seguido do nome do usuário e do perfil desejado. Isso facilita a administração sem comprometer a segurança.
Gerenciamento de Usuários e Políticas de Acesso
O gerenciamento de usuários em um roteador MikroTik é essencial para garantir a segurança da rede. É possível definir diferentes níveis de acesso para cada usuário, criando uma política de acesso que limita as permissões de acordo com as necessidades.
O MikroTik permite a configuração de grupos de usuários, onde cada grupo possui permissões específicas. Isso é feito através do menu "System" e, em seguida, "Users".
- Admin: Acesso total a todas as configurações do roteador.
- Read: Permissão apenas para visualização das configurações, sem possibilidade de alteração.
- Write: Permite a alteração de configurações, mas não o acesso a configurações críticas de segurança.
Para adicionar um novo usuário, utilize o comando:
/user add name="novo_usuario" group="grupo_desejado" password="senha_secreta"
É aconselhável revisar periodicamente as contas de usuários e suas permissões para evitar acessos indesejados. A documentação oficial do MikroTik fornece detalhes adicionais sobre as políticas de acesso.
Monitoramento e Auditoria de Acessos
A auditoria de acessos em um roteador MikroTik é crucial para identificar e prevenir atividades não autorizadas. O sistema oferece recursos de logs que registram todas as tentativas de login e ações realizadas pelos usuários.
Para habilitar o registro de logs, acesse o menu "System" e, depois, "Logging". Configure as regras de log para capturar eventos relacionados a usuários e autenticações.
| Tipo de Log | Descrição |
|---|---|
| info | Registra informações gerais, incluindo logins bem-sucedidos. |
| warning | Registra tentativas de login falhas e acessos não autorizados. |
| error | Registra erros críticos que podem impactar a operação do roteador. |
As entradas de log podem ser visualizadas em "Log" dentro do menu "System". Filtrar os logs por tipo de evento ajuda a analisar atividades suspeitas rapidamente.
Para exportar logs, utilize o comando:
/log export file=nome_do_arquivo
Isso permite um armazenamento externo e uma análise mais aprofundada, se necessário.
Perguntas Frequentes
Como faço para acessar o painel de controle do roteador Mikrotik?
Acesse o painel de controle do roteador Mikrotik utilizando o software Winbox ou a interface web.
Para isso, é necessário conhecer o endereço IP do roteador e a senha de admin.
Qual é a importância de mudar a porta padrão do Winbox?
Mudar a porta padrão do Winbox ajuda a evitar ataques de força bruta.
Isso porque os atacantes muitas vezes sabem a porta padrão e tentam acessar o sistema por ela.
Posso utilizar um cabo de rede comum em vez de um blindado?
Embora seja possível utilizar um cabo de rede comum, um cabo blindado oferece melhor proteção contra interferência eletromagnética.
Isso é especialmente importante em ambientes com muitos dispositivos eletrônicos.
Como posso saber se o meu roteador Mikrotik está configurado corretamente?
Verifique se o roteador está configurado corretamente verificando as configurações de segurança.
Isso inclui a senha do usuário admin, a configuração do firewall e a implementação de autenticação de dois fatores.
Quais são as consequências de não desativar o usuário admin padrão?
Não desativar o usuário admin padrão deixa a rede vulnerável a acessos não autorizados.
Isso pode levar a ataques cibernéticos e perda de dados importantes.



