Voltar para o blogSegurança e Privacidade

Como Mudar e Desativar o Usuário Admin Padrão no Roteador Mikrotik

8 min de leitura
Como Mudar e Desativar o Usuário Admin Padrão no Roteador Mikrotik
Publicidade

Desative o usuário admin padrão no roteador Mikrotik.

Publicidade
Como Mudar e Desativar o Usuário Admin Padrão no Roteador Mikrotik

Entendendo a Importância da Segurança no Roteador Mikrotik

A segurança do roteador é fundamental para proteger a rede contra acessos não autorizados e ataques cibernéticos.

Alterar e desativar o usuário admin padrão é um passo crucial nesse processo.

Por que a Segurança é Importante

A segurança do roteador Mikrotik é essencial para evitar acessos não autorizados e proteger a rede contra ataques cibernéticos.

Isso inclui a proteção contra ataques de força bruta, malware e outras ameaças.

Riscos de Segurança

Os principais riscos de segurança incluem acessos não autorizados, ataques de força bruta e malware.

Além disso, a falta de atualizações de segurança e a utilização de senhas fracas também podem comprometer a segurança do roteador.

Como Mudar a Senha do Usuário Admin no Roteador Mikrotik

Para mudar a senha do usuário admin, é necessário acessar o painel de controle do roteador.

Utilize o software Winbox ou a interface web para realizar essa operação.

Passos para Mudar a Senha

Para mudar a senha do usuário admin, siga os seguintes passos:

1. Acesse o painel de controle do roteador Mikrotik.

Utilizando o Winbox

Para mudar a senha utilizando o Winbox, vá para "System" > "Users" e selecione o usuário admin.

Em seguida, clique em "Edit" e altere a senha.

Utilizando a Interface Web

Para mudar a senha utilizando a interface web, vá para "System" > "Users" e selecione o usuário admin.

Publicidade

Em seguida, clique em "Edit" e altere a senha.

Como Desativar o Usuário Admin Padrão no Roteador Mikrotik

Desativar o usuário admin padrão é uma medida de segurança adicional para evitar acessos não autorizados.

Isso pode ser feito criando um novo usuário com privilégios de admin e, em seguida, desativando o usuário padrão.

Passos para Desativar o Usuário Admin

Para desativar o usuário admin padrão, siga os seguintes passos:

1. Crie um novo usuário com privilégios de admin.

2. Desative o usuário admin padrão.

Utilizando o Winbox

Para desativar o usuário admin utilizando o Winbox, vá para "System" > "Users" e selecione o usuário admin.

Em seguida, clique em "Disable" para desativar o usuário.

Utilizando a Interface Web

Para desativar o usuário admin utilizando a interface web, vá para "System" > "Users" e selecione o usuário admin.

Em seguida, clique em "Disable" para desativar o usuário.

Como Mudar a Porta no Winbox Passo a Passo

Alterar a porta padrão do Winbox ajuda a evitar ataques de força bruta.

Siga os passos para mudar a porta: abra o Winbox, vá para "IP" > "Services", e altere a porta padrão.

Passos para Mudar a Porta

Para mudar a porta, siga os seguintes passos:

1. Abra o Winbox.

2. Vá para "IP" > "Services".

Alterando a Porta

Para alterar a porta, selecione a porta padrão e altere-a para uma porta personalizada.

Publicidade

Em seguida, clique em "Apply" para salvar as alterações.

Configurações de Segurança Adicionais no Roteador Mikrotik

Além de mudar e desativar o usuário admin, existem outras configurações de segurança importantes.

Incluam a utilização de firewalls, a configuração de VPN e a implementação de autenticação de dois fatores.

Configuração de Rede

Firewall

O firewall é uma ferramenta importante para bloquear acessos não autorizados à rede.

Configure o firewall para bloquear tráfego de entrada e saída não autorizado.

VPN

A VPN (Rede Privada Virtual) é uma tecnologia que permite criar uma conexão segura e criptografada entre dois pontos.

Configure a VPN para proteger a comunicação entre a rede e a internet.

Autenticação de Dois Fatores

A autenticação de dois fatores é uma técnica de segurança que exige dois métodos de autenticação para acessar a rede.

Configure a autenticação de dois fatores para adicionar uma camada adicional de segurança à rede.

É importante entender a diferença entre estabilizador e nobreak para proteger o roteador contra flutuações de energia.

Além disso, saber como os dispositivos de casa inteligente funcionam sem internet pode ajudar na configuração de redes mais seguras.

Dica DomineTec: Utilize um cabo de rede blindado para reduzir a interferência eletromagnética e aumentar a segurança da conexão.

Passos para Configurar o Roteador Mikrotik com Segurança

  1. Acesse o painel de controle do roteador.
  2. Mude a senha do usuário admin.
  3. Desative o usuário admin padrão.
  4. Configure o firewall e a VPN.
  5. Implemente autenticação de dois fatores.
Publicidade
Segurança de Conexão

Verificando a Configuração

Verifique se o roteador está configurado corretamente verificando as configurações de segurança.

Isso inclui a senha do usuário admin, a configuração do firewall e a implementação de autenticação de dois fatores.

Testando a Segurança

Teste a segurança do roteador Mikrotik realizando um teste de penetração.

Isso ajudará a identificar vulnerabilidades e melhorar a segurança da rede.

Integração com Servidor RADIUS para Autenticação Centralizada

A centralização de credenciais em um servidor RADIUS elimina a necessidade de gerenciar contas locais em múltiplos roteadores. Essa prática facilita a revogação imediata de acessos quando um operador deixa a organização.

Para ativar essa integração, configure o servidor RADIUS de destino e habilite o uso de autenticação externa no RouterOS. Utilize os comandos abaixo no terminal do Mikrotik para realizar esse apontamento técnico:

/radius add address=10.0.0.50 service=login secret=ChaveSecretaRadius
/user aaa set use-radius=yes default-group=read

O parâmetro default-group define o nível de permissão inicial para usuários autenticados via RADIUS. Caso o servidor RADIUS não envie o atributo específico do grupo, o usuário receberá apenas a permissão mínima definida.

Criação de Grupos de Permissão Customizados (Custom Groups)

Os grupos padrão do RouterOS como read, write e full podem ser inadequados para equipes específicas de suporte. Criar grupos customizados garante que cada técnico possua apenas as permissões estritamente necessárias para suas funções diárias.

O comando a seguir cria um grupo intermediário focado em diagnóstico de rede. Esse grupo permite pingar e visualizar configurações, mas impede alterações estruturais ou criação de novos usuários:

Publicidade
/user group add name=Diagnostico policy=read,test,ping,winbox,!write,!policy,!local

A tabela abaixo descreve as principais políticas que podem ser combinadas para personalizar o acesso:

Política Função Técnica Impacto de Segurança
write Permite alterar configurações do sistema. Alto: pode modificar regras de firewall e rotas.
policy Permite gerenciar usuários e permissões. Crítico: pode criar novos administradores com privilégios totais.
sensitive Permite visualizar senhas em texto claro e backups. Crítico: expõe credenciais de vizinhos e serviços.

Proteção Dinâmica contra Ataques de Força Bruta via Firewall

Desativar o usuário admin padrão atenua ataques direcionados, mas tentativas de força bruta ainda podem sobrecarregar o processamento do roteador. É fundamental configurar regras de firewall que bloqueiem temporariamente IPs que falharem repetidamente na autenticação.

As regras abaixo monitoram conexões na porta do Winbox (8291) e adicionam atacantes a uma lista de bloqueio por 3 horas:

/ip firewall filter
add chain=input protocol=tcp dst-port=8291 connection-state=new src-address-list=bloqueado_winbox action=drop comment="Bloqueia atacantes de forca bruta"
add chain=input protocol=tcp dst-port=8291 connection-state=new action=add-src-to-address-list address-list=tentativa_1 address-list-timeout=1m
add chain=input protocol=tcp dst-port=8291 connection-state=new src-address-list=tentativa_1 action=add-src-to-address-list address-list=tentativa_2 address-list-timeout=1m
add chain=input protocol=tcp dst-port=8291 connection-state=new src-address-list=tentativa_2 action=add-src-to-address-list address-list=bloqueado_winbox address-list-timeout=3h

Esse encadeamento de regras garante que o atacante seja banido após três tentativas falhas consecutivas dentro de um minuto. O tráfego legítimo de administradores não é impactado desde que a senha correta seja inserida na primeira tentativa.

Exportação de Logs de Auditoria para Servidor Syslog Externo

Armazenar logs localmente no Mikrotik apresenta riscos, pois um invasor com acesso administrativo pode apagar os rastros de sua atividade. A melhor prática regulatória exige o envio em tempo real de todos os eventos de login para um servidor Syslog externo.

Execute os comandos a seguir para direcionar os logs de segurança e tentativas de login para um coletor remoto:

Publicidade
/system logging action add name=syslog-externo target=remote remote=192.168.100.250 remote-port=514
/system logging add topics=account action=syslog-externo
/system logging add topics=critical action=syslog-externo

O tópico account registra todas as ações de login, logout e falhas de autenticação de usuários. O armazenamento externo garante a integridade das evidências em caso de auditoria pós-incidente.

Autenticação por Chave Pública SSH para Acesso Administrativo

A autenticação baseada exclusivamente em senhas é vulnerável a ataques de interceptação e engenharia reversa. O RouterOS suporta o uso de chaves criptográficas SSH, eliminando a necessidade de digitar senhas durante sessões de terminal remoto.

Primeiro, você deve gerar um par de chaves RSA ou ED25519 em seu computador pessoal. Em seguida, importe a chave pública para o usuário correspondente no Mikrotik utilizando as instruções abaixo:

/file print
# Transfira o arquivo "id_rsa.pub" para o Mikrotik antes de executar o comando abaixo
/user ssh-keys import user=AdminSeguro public-key-file=id_rsa.pub

Após a importação, você poderá desativar completamente o login por senha tradicional para conexões SSH. Isso força todos os administradores a utilizarem exclusivamente suas chaves privadas para obter acesso.

Restrição de Endereço IP de Origem por Usuário (Allowed Address)

Mesmo que uma senha administrativa forte seja descoberta, o acesso pode ser mitigado se houver restrição geográfica de rede. O RouterOS permite vincular cada usuário local a uma sub-rede ou endereço IP específico de origem.

Para limitar um usuário administrador de forma que ele consiga se conectar apenas a partir da sub-rede de gerência interna, configure o seguinte parâmetro:

Publicidade
/user set [find name="AdminSeguro"] allowed-address=192.168.88.0/24,10.10.0.5/32

Qualquer tentativa de login originada de um IP fora dessas faixas especificadas será sumariamente descartada pelo sistema. Essa configuração cria uma camada de defesa essencial contra acessos não autorizados vindos da internet pública.

Gerenciamento de Senhas e Segurança Aumentada

A segurança da rede é uma prioridade ao alterar o usuário admin padrão. É recomendável utilizar senhas complexas e únicas para cada usuário criado.

Uma boa prática é a utilização de uma combinação de letras maiúsculas, minúsculas, números e caracteres especiais, com pelo menos 12 caracteres.

  • Exemplo de senha forte: M!kR0t1k#2023
  • Exemplo de senha fraca: admin123

Além disso, é importante implementar a autenticação de dois fatores se disponível. Isso agrega uma camada extra de segurança contra acessos não autorizados.

Para monitorar tentativas de acesso, utilize o recurso de logs do Mikrotik. A configuração pode ser feita através da interface gráfica ou pelo terminal.

Parâmetro Descrição
/system logging Comando para acessar as configurações de log.
topics=login Configuração para registrar tentativas de login.

Criação e Gerenciamento de Perfis de Acesso

Para um controle mais granular, é possível criar perfis de acesso personalizados para diferentes usuários. Isso garante que cada usuário tenha permissões adequadas às suas funções.

Os perfis podem ser configurados para permitir ou negar acesso a certas funcionalidades do roteador, como a configuração de firewall ou a gestão de usuários.

  • Passo a passo para criar um perfil:
  • Acesse o terminal e digite /user group add name=novogrupo policy=read,write.
  • Em seguida, associe o usuário ao novo grupo com /user add name=novo_usuario group=novogrupo.
Publicidade

Os perfis podem ser adaptados conforme a necessidade, tornando o gerenciamento da rede mais eficiente. Sempre revise os direitos de acesso para garantir a segurança e a funcionalidade.

Ultrapassar limites de acesso pode ser feito por meio do comando /user set seguido do nome do usuário e do perfil desejado. Isso facilita a administração sem comprometer a segurança.

Gerenciamento de Usuários e Políticas de Acesso

O gerenciamento de usuários em um roteador MikroTik é essencial para garantir a segurança da rede. É possível definir diferentes níveis de acesso para cada usuário, criando uma política de acesso que limita as permissões de acordo com as necessidades.

O MikroTik permite a configuração de grupos de usuários, onde cada grupo possui permissões específicas. Isso é feito através do menu "System" e, em seguida, "Users".

  • Admin: Acesso total a todas as configurações do roteador.
  • Read: Permissão apenas para visualização das configurações, sem possibilidade de alteração.
  • Write: Permite a alteração de configurações, mas não o acesso a configurações críticas de segurança.

Para adicionar um novo usuário, utilize o comando:

/user add name="novo_usuario" group="grupo_desejado" password="senha_secreta"

É aconselhável revisar periodicamente as contas de usuários e suas permissões para evitar acessos indesejados. A documentação oficial do MikroTik fornece detalhes adicionais sobre as políticas de acesso.

Monitoramento e Auditoria de Acessos

A auditoria de acessos em um roteador MikroTik é crucial para identificar e prevenir atividades não autorizadas. O sistema oferece recursos de logs que registram todas as tentativas de login e ações realizadas pelos usuários.

Publicidade

Para habilitar o registro de logs, acesse o menu "System" e, depois, "Logging". Configure as regras de log para capturar eventos relacionados a usuários e autenticações.

Tipo de Log Descrição
info Registra informações gerais, incluindo logins bem-sucedidos.
warning Registra tentativas de login falhas e acessos não autorizados.
error Registra erros críticos que podem impactar a operação do roteador.

As entradas de log podem ser visualizadas em "Log" dentro do menu "System". Filtrar os logs por tipo de evento ajuda a analisar atividades suspeitas rapidamente.

Para exportar logs, utilize o comando:

/log export file=nome_do_arquivo

Isso permite um armazenamento externo e uma análise mais aprofundada, se necessário.

Perguntas Frequentes

Como faço para acessar o painel de controle do roteador Mikrotik?

Acesse o painel de controle do roteador Mikrotik utilizando o software Winbox ou a interface web.

Para isso, é necessário conhecer o endereço IP do roteador e a senha de admin.

Qual é a importância de mudar a porta padrão do Winbox?

Mudar a porta padrão do Winbox ajuda a evitar ataques de força bruta.

Isso porque os atacantes muitas vezes sabem a porta padrão e tentam acessar o sistema por ela.

Posso utilizar um cabo de rede comum em vez de um blindado?

Embora seja possível utilizar um cabo de rede comum, um cabo blindado oferece melhor proteção contra interferência eletromagnética.

Isso é especialmente importante em ambientes com muitos dispositivos eletrônicos.

Como posso saber se o meu roteador Mikrotik está configurado corretamente?

Verifique se o roteador está configurado corretamente verificando as configurações de segurança.

Publicidade

Isso inclui a senha do usuário admin, a configuração do firewall e a implementação de autenticação de dois fatores.

Quais são as consequências de não desativar o usuário admin padrão?

Não desativar o usuário admin padrão deixa a rede vulnerável a acessos não autorizados.

Isso pode levar a ataques cibernéticos e perda de dados importantes.

Publicidade

Escrito por

DomineTec

Equipe DomineTec — trazendo as melhores dicas sobre tecnologia, segurança digital, empregos e finanças.

Receba as melhores dicas no seu e-mail

Tecnologia, segurança digital, finanças e empregos — tudo que importa, direto na sua caixa de entrada. 100% gratuito, sem spam.

Respeitamos sua privacidade. Cancele a qualquer momento.

Posts Relacionados

Mais em Segurança e Privacidade

Ver todos
Como Descobrir se Seus Dados Foram Vazados na Internet (Guia Completo 2026)
Segurança e Privacidade

Como Descobrir se Seus Dados Foram Vazados na Internet (Guia Completo 2026)

Saber como descobrir se seus dados foram vazados na internet se tornou uma necessidade urgente em 2026. Vazamentos de CPF, e-mail, senhas, números de telefone e até dados bancários estão cada vez mais comuns, expondo milhões de pessoas a fraudes financeiras, clonagem de contas e golpes digitais. Neste guia completo, você vai aprender como identificar sinais de vazamento, consultar seus dados em ferramentas confiáveis e agir rapidamente para proteger sua segurança digital.

DomineTec
5 min
10 boas práticas de segurança digital que todos deveriam adotar
Segurança e Privacidade

10 boas práticas de segurança digital que todos deveriam adotar

Com a crescente exposição de dados na internet, proteger sua segurança digital é mais urgente do que nunca. Neste post, você vai descobrir 10 boas práticas essenciais para proteger senhas, e-mails, contas bancárias, arquivos pessoais e toda a sua navegação online. O conteúdo é prático, direto e incl

DomineTec
5 min
Como Encontrar um Celular Perdido ou Roubado: Guia Definitivo
Segurança e Privacidade

Como Encontrar um Celular Perdido ou Roubado: Guia Definitivo

Perdeu o celular ou foi roubado? Aprenda como encontrar um celular perdido rapidamente usando ferramentas nativas do Android e iPhone, e o que fazer em caso de roubo.

DomineTec
5 min
Como saber se meus dados foram vazados
Segurança e Privacidade

Como saber se meus dados foram vazados

Milhares de brasileiros já foram vítimas de vazamentos de dados. Aprenda a identificar se você também foi afetado, como agir em caso de exposição e como evitar novos riscos.

DomineTec
5 min
Publicidade