Como Proteger o Serviço SSH no Roteador Mikrotik (Mudar Porta Padrão)

Para proteger o serviço SSH no roteador Mikrotik, é fundamental mudar a porta padrão de 22 para outra menos comum.

Importância da Segurança no Acesso SSH
O SSH (Secure Shell) é um protocolo essencial para a administração remota de dispositivos de rede. No entanto, a sua configuração inadequada pode expor o roteador a ataques cibernéticos.
Alterar a porta padrão do SSH é uma das práticas recomendadas para aumentar a segurança. Isso dificulta o acesso de invasores que tentam realizar ataques automatizados.
Passos para Mudar a Porta SSH no Roteador Mikrotik
A mudança da porta SSH no Mikrotik pode ser realizada através de sua interface gráfica ou via terminal. O método escolhido depende da familiaridade do usuário com o ambiente.
A seguir, são apresentados os passos detalhados para realizar essa alteração:
- Acesse o roteador Mikrotik através da interface Winbox ou pelo terminal SSH.
- Navegue até a seção IP e depois Services.
- Localize a opção SSH na lista de serviços.
- Edite o serviço SSH e altere a porta para um número diferente de 22.
- Salve as alterações e reinicie o serviço SSH.
Configurações Avançadas para Aumentar a Segurança SSH
Além de mudar a porta padrão, existem outras configurações que podem ser implementadas para reforçar a segurança do SSH. Abaixo, algumas delas:
- Desativar o acesso SSH para usuários não autorizados.
- Utilizar autenticação por chave pública em vez de senha.
- Limitar o acesso SSH a endereços IP específicos.
- Implementar regras de firewall para bloquear tentativas de acesso indesejadas.

Configuração do Firewall para Proteger o SSH
O firewall do roteador Mikrotik pode ser utilizado para filtrar conexões indesejadas e proteger o serviço SSH. É essencial criar regras específicas que permitam apenas acessos autorizados.
As regras de firewall podem ser configuradas da seguinte maneira:
| Regra | Descrição | Ação |
|---|---|---|
| Permitir SSH | Permitir acessos de IPs autorizados | Accept |
| Bloquear SSH | Bloquear acessos de IPs não autorizados | Drop |
Dicas Adicionais para Fortalecer a Segurança SSH
Para garantir uma segurança ainda maior no serviço SSH, considere implementar as seguintes dicas:
Dica DomineTec: Utilize uma VPN para acessar o roteador, isso adiciona uma camada extra de segurança ao tráfego de dados.
Além disso, sempre mantenha o firmware do Mikrotik atualizado. Isso garante que vulnerabilidades conhecidas sejam corrigidas rapidamente.

Configuração de Firewall para SSH
Para proteger o serviço SSH, é essencial configurar as regras de firewall adequadas. Isso ajuda a bloquear conexões indesejadas e ataques de força bruta.
- Abra o terminal do Mikrotik e digite:
- /ip firewall filter
- Criar uma nova regra para permitir SSH apenas de IPs específicos:
- add chain=input protocol=tcp dst-port=22 src-address=
action=accept - Bloquear todas as outras tentativas de conexão:
- add chain=input protocol=tcp dst-port=22 action=drop
Habilitando Logs de Conexão SSH
Ativar logs para conexões SSH é fundamental para monitorar acessos e detectar atividades suspeitas. Isso permite uma auditoria eficaz das tentativas de login.
- Para habilitar logs, utilize o comando:
- /system logging add topics=ssh,info action=memory
- Verifique os logs com:
- /log print where topics~"ssh"
Implementação de Autenticação por Chave Pública
A autenticação por chave pública é mais segura do que senhas. Isso minimiza o risco de acesso não autorizado ao roteador.
- Gere um par de chaves (privada e pública) em seu computador local:
- ssh-keygen -t rsa
- Copie a chave pública para o Mikrotik:
- /user ssh-keys import public-key-file=
- Desabilite a autenticação por senha:
- /user set
password=""
Segregação de Rede para Acesso SSH
Implementar VLANs e segregação de rede ajuda a isolar o tráfego SSH. Isso aumenta a segurança ao limitar a exposição do serviço SSH.
- Criar uma nova VLAN no roteador:
- /interface vlan add name=vlan_ssh vlan-id=10 interface=
- Configurar os IPs para a nova VLAN:
- /ip address add address=
interface=vlan_ssh - Limitar acessos externos apenas a essa VLAN.
Configuração de Fail2Ban para SSH
Utilizar o Fail2Ban ajuda a prevenir ataques de força bruta ao bloquear IPs após múltiplas tentativas de login falhadas. Isso é crucial para a segurança do SSH.
- Instale o Fail2Ban em um servidor Linux que tenha acesso ao Mikrotik.
- Crie um novo filtro em /etc/fail2ban/filter.d/ssh.conf com as regras desejadas.
- Configure o jail.local para monitorar o serviço SSH:
- [sshd]
- enabled = true
- port = 22
- filter = ssh
- maxretry = 5
- bantime = 3600
- Reinicie o Fail2Ban para aplicar as configurações:
- systemctl restart fail2ban
Utilização de VPN para Acesso SSH Remoto
Estabelecer uma conexão VPN para acessar o SSH oferece uma camada adicional de segurança. Isso mantém o tráfego SSH criptografado e protegido.
- Configure um servidor VPN no Mikrotik:
- /interface l2tp-server server set enabled=yes
- Criar um perfil de usuário VPN:
- /ppp profile add name=vpn_profile local-address=
remote-address= - Adicionar usuários VPN:
- /ppp secret add name=
password= profile=vpn_profile
Monitoramento de Conexões SSH em Tempo Real
Monitorar conexões SSH em tempo real pode ajudar a identificar e responder rapidamente a acessos não autorizados. Ferramentas de gerenciamento de rede são úteis nesse aspecto.
- Use o comando para ver as conexões ativas:
- /ip ssh active print
- Instale ferramentas de monitoramento como o The Dude para visualização em tempo real.
- Configure alertas para atividades suspeitas. Isso pode ser feito através de scripts personalizados.
Configuração de Firewall para SSH no Mikrotik
Proteger o serviço SSH requer uma configuração adequada do firewall. Isso pode ser feito através do ajuste de regras específicas para permitir apenas conexões seguras.
- Abra o terminal do Mikrotik.
- Insira o comando para adicionar uma regra de firewall que permita o tráfego na nova porta SSH:
/ip firewall filter add action=accept chain=input dst-port=NOVA_PORT protocol=tcp
Substitua NOVA_PORT pelo número da nova porta escolhida. Essa regra deve ser posicionada antes de qualquer regra que possa bloquear o tráfego de entrada.
Adicione também uma regra para descartar conexões na porta padrão:
/ip firewall filter add action=drop chain=input dst-port=22 protocol=tcp
Monitoramento de Conexões SSH no Mikrotik
É essencial monitorar as conexões SSH para identificar acessos não autorizados. Utilize as ferramentas de log do Mikrotik para registrar tentativas de acesso.
- Ative o registro de logs para o serviço SSH com o seguinte comando:
/system logging add topics=ssh,info action=memory
Isso permitirá que todas as tentativas de acesso SSH sejam armazenadas na memória. Para visualizar os logs, utilize:
/log print where topics~"ssh"
Revise regularmente os logs para identificar padrões suspeitos de acesso.
Implementação de Autenticação por Chave Pública
Utilizar autenticação por chave pública é uma forma eficaz de aumentar a segurança do SSH. Isso elimina a necessidade de senhas, que podem ser vulneráveis.
- Gere um par de chaves SSH usando um cliente SSH, como o PuTTY ou o OpenSSH.
- Transfira a chave pública para o Mikrotik:
/user add name=usuario group=full public-key="chave_publica"
Certifique-se de substituir usuario e chave_publica pelos valores corretos. Após a configuração, desabilite a autenticação por senha:
/ip ssh set allow-password-login=no
Segurança Adicional com Fail2Ban no Servidor SSH
Implementar o Fail2Ban pode ajudar a proteger o serviço SSH contra ataques de força bruta. Essa ferramenta bloqueia endereços IP que tentam se conectar repetidamente sem sucesso.
- Configure o Fail2Ban em um servidor que interaja com o Mikrotik. Instale o Fail2Ban utilizando o gerenciador de pacotes da sua distribuição Linux.
- Crie uma nova configuração para o SSH:
[sshd]
enabled = true
filter = sshd
action = iptables[name=sshd, port=NOVA_PORT, protocol=tcp]
logpath = /var/log/auth.log
maxretry = 5
Substitua NOVA_PORT pela porta SSH configurada. Isso garante que, após 5 tentativas falhas, o IP será bloqueado.
Utilização de VPN para Acesso ao Mikrotik
Uma alternativa eficaz para proteger o serviço SSH é utilizar uma VPN para o acesso remoto. Isso adiciona uma camada extra de segurança.
- Configure um servidor VPN no Mikrotik com o protocolo L2TP ou PPTP:
/interface l2tp-server server set enabled=yes default-profile=default
Em seguida, adicione um usuário VPN:
/ppp secret add name=usuario password=senha service=l2tp
Os usuários devem se conectar à VPN antes de acessar o Mikrotik via SSH, garantindo que somente usuários autenticados possam se conectar.
Configuração de Firewall para SSH
Para garantir uma proteção adicional ao serviço SSH, é fundamental configurar regras de firewall específicas.
As regras devem permitir o tráfego apenas na nova porta SSH e bloquear tentativas de acesso na porta padrão.
- Acesse o terminal do Mikrotik.
- Use o comando para adicionar uma regra que permita o tráfego na nova porta:
/ip firewall filter add chain=input protocol=tcp dst-port=NOVA_PORTA action=accept
Substitua NOVA_PORTA pelo número da porta escolhida.
- Em seguida, adicione uma regra para negar o tráfego na porta padrão:
/ip firewall filter add chain=input protocol=tcp dst-port=22 action=drop
Essas regras garantem que apenas conexões na nova porta sejam aceitas e que tentativas na porta padrão sejam rejeitadas.
Implementação de Chaves SSH para Autenticação
A autenticação por chave SSH é uma prática recomendada que aumenta a segurança do acesso remoto.
O uso de chaves evita que senhas possam ser interceptadas durante a conexão.
- Gere um par de chaves SSH no seu computador:
ssh-keygen -t rsa -b 2048
Isso criará uma chave pública e uma privada em seu sistema.
- Agora, envie a chave pública para o Mikrotik:
ssh-copy-id -i ~/.ssh/id_rsa.pub usuario@IP_DO_MIKROTIK -p NOVA_PORTA
Substitua usuario pelo nome de usuário e IP_DO_MIKROTIK pelo IP do roteador.
Após a configuração, desative a autenticação por senha no Mikrotik.
/user set usuario password=0
Com isso, o acesso SSH será permitido apenas com a chave, aumentando a segurança.
Monitoramento de Acesso e Registro de Logs
Monitorar o acesso SSH e registrar logs é essencial para detectar atividades suspeitas.
Configurar o Mikrotik para registrar tentativas de conexão ajuda na identificação de possíveis invasores.
- Acesse o menu de logs e configure para registrar eventos SSH:
/system logging add topics=ssh action=memory
Isso armazenará os logs na memória, permitindo fácil acesso em tempo real.
- Para visualizar os logs gerados, utilize o seguinte comando:
/log print where topics~"ssh"
Além disso, pode-se configurar o envio de logs para um servidor remoto para armazenamento seguro:
/system logging action add name=remote target=remote remote=IP_DO_SERVIDOR remote-port=514
Substitua IP_DO_SERVIDOR pelo endereço do servidor de logs.
Com essa configuração, a segurança da conexão SSH é monitorada constantemente, aumentando a proteção do roteador.
Configuração de Firewall para Aumentar a Segurança do SSH no Roteador Mikrotik
A segurança do serviço SSH não se limita apenas à mudança da porta padrão. Uma configuração robusta de firewall é essencial para proteger o acesso ao roteador. O Mikrotik oferece um sistema de firewall poderoso que pode ser usado para filtrar, bloquear ou permitir tráfego com base em vários critérios.
Para iniciar, a criação de regras no firewall deve ser feita de forma a permitir apenas conexões específicas. Por exemplo, se a porta SSH foi alterada para 2222, uma regra pode ser configurada para permitir o tráfego apenas de endereços IP confiáveis. Isso pode ser feito através do comando: /ip firewall filter add chain=input protocol=tcp dst-port=2222 src-address=XXX.XXX.XXX.XXX action=accept, onde XXX.XXX.XXX.XXX corresponde ao endereço IP autorizado.
Além de permitir conexões de IPs específicos, é recomendável bloquear todas as outras conexões na nova porta SSH. Isso pode ser feito adicionando uma regra de rejeição: /ip firewall filter add chain=input protocol=tcp dst-port=2222 action=drop. Essa abordagem garante que apenas os endereços IP previamente autorizados possam acessar o serviço SSH, aumentando significativamente a segurança do roteador.
Outro ponto importante é registrar tentativas de conexão não autorizadas. Isso pode ser feito habilitando o registro de logs no firewall. A regra pode ser configurada assim: /ip firewall filter add chain=input protocol=tcp dst-port=2222 action=log log-prefix="SSH Access Attempt". O log permitirá a monitoração das tentativas de acesso e pode ser útil para ajustes futuros nas regras de segurança.
Implementação de Autenticação por Chave Pública no SSH do Mikrotik
A autenticação por chave pública é uma das melhores práticas para fortalecer a segurança do serviço SSH. A utilização de chaves em vez de senhas reduz significativamente o risco de ataques de força bruta. O Mikrotik suporta a configuração de autenticação por chave pública, que deve ser habilitada para um acesso mais seguro.
Para implementar essa funcionalidade, primeiro é necessário gerar um par de chaves (pública e privada) em um cliente SSH. Isso pode ser feito utilizando ferramentas como o OpenSSH. O comando para gerar um par de chaves é: ssh-keygen -t rsa -b 2048. O arquivo da chave pública gerado deve ser copiado para o roteador Mikrotik.
Uma vez que a chave pública está no roteador, ela pode ser adicionada à lista de chaves autorizadas. O comando para adicionar a chave pública é: /user ssh-keys import user=usuario public-key="chave_publica", onde usuario é o nome do usuário configurado no Mikrotik. A chave privada deve ser mantida em segurança no dispositivo cliente.
Após a configuração, a autenticação por chave pública pode ser testada. A conexão SSH deve ser feita sem solicitar uma senha, desde que a chave privada correspondente esteja presente no cliente. Essa abordagem não só aumenta a segurança, mas também proporciona uma forma de autenticação mais conveniente, eliminando a necessidade de lembrar senhas complexas.
Perguntas Frequentes
Qual a importância de mudar a porta SSH padrão?
Mudar a porta SSH padrão dificulta o acesso de invasores que utilizam ataques automatizados.
Como posso saber se meu SSH está seguro?
Realizar uma análise de vulnerabilidades pode ajudar a identificar falhas de segurança no serviço SSH.
É seguro usar senhas para autenticação SSH?
Embora possível, é mais seguro utilizar autenticação por chave pública em vez de senhas.
Quais portas posso usar para o SSH?
Qualquer porta acima de 1024 pode ser utilizada, mas é recomendável evitar portas comuns como 8080 e 443.
Como posso restringir o acesso SSH a IPs específicos?
Utilizando regras de firewall, é possível permitir o acesso somente a endereços IP autorizados.



