Voltar para o blogSegurança e Privacidade

Como Proteger o Serviço SSH no Roteador Mikrotik (Mudar Porta Padrão)

8 min de leitura
Como Proteger o Serviço SSH no Roteador Mikrotik (Mudar Porta Padrão)
Publicidade

Para proteger o serviço SSH no roteador Mikrotik, é fundamental mudar a porta padrão de 22 para outra menos comum.

Publicidade
Como Proteger o Serviço SSH no Roteador Mikrotik (Mudar Porta Padrão)

Importância da Segurança no Acesso SSH

O SSH (Secure Shell) é um protocolo essencial para a administração remota de dispositivos de rede. No entanto, a sua configuração inadequada pode expor o roteador a ataques cibernéticos.

Alterar a porta padrão do SSH é uma das práticas recomendadas para aumentar a segurança. Isso dificulta o acesso de invasores que tentam realizar ataques automatizados.

Passos para Mudar a Porta SSH no Roteador Mikrotik

A mudança da porta SSH no Mikrotik pode ser realizada através de sua interface gráfica ou via terminal. O método escolhido depende da familiaridade do usuário com o ambiente.

A seguir, são apresentados os passos detalhados para realizar essa alteração:

  1. Acesse o roteador Mikrotik através da interface Winbox ou pelo terminal SSH.
  2. Navegue até a seção IP e depois Services.
  3. Localize a opção SSH na lista de serviços.
  4. Edite o serviço SSH e altere a porta para um número diferente de 22.
  5. Salve as alterações e reinicie o serviço SSH.

Configurações Avançadas para Aumentar a Segurança SSH

Além de mudar a porta padrão, existem outras configurações que podem ser implementadas para reforçar a segurança do SSH. Abaixo, algumas delas:

  • Desativar o acesso SSH para usuários não autorizados.
  • Utilizar autenticação por chave pública em vez de senha.
  • Limitar o acesso SSH a endereços IP específicos.
  • Implementar regras de firewall para bloquear tentativas de acesso indesejadas.
Publicidade
Configuração de Rede

Configuração do Firewall para Proteger o SSH

O firewall do roteador Mikrotik pode ser utilizado para filtrar conexões indesejadas e proteger o serviço SSH. É essencial criar regras específicas que permitam apenas acessos autorizados.

As regras de firewall podem ser configuradas da seguinte maneira:

Regra Descrição Ação
Permitir SSH Permitir acessos de IPs autorizados Accept
Bloquear SSH Bloquear acessos de IPs não autorizados Drop

Dicas Adicionais para Fortalecer a Segurança SSH

Para garantir uma segurança ainda maior no serviço SSH, considere implementar as seguintes dicas:

Dica DomineTec: Utilize uma VPN para acessar o roteador, isso adiciona uma camada extra de segurança ao tráfego de dados.

Além disso, sempre mantenha o firmware do Mikrotik atualizado. Isso garante que vulnerabilidades conhecidas sejam corrigidas rapidamente.

Segurança de Conexão

Configuração de Firewall para SSH

Para proteger o serviço SSH, é essencial configurar as regras de firewall adequadas. Isso ajuda a bloquear conexões indesejadas e ataques de força bruta.

  • Abra o terminal do Mikrotik e digite:
  • /ip firewall filter
  • Criar uma nova regra para permitir SSH apenas de IPs específicos:
  • add chain=input protocol=tcp dst-port=22 src-address= action=accept
  • Bloquear todas as outras tentativas de conexão:
  • add chain=input protocol=tcp dst-port=22 action=drop

Habilitando Logs de Conexão SSH

Ativar logs para conexões SSH é fundamental para monitorar acessos e detectar atividades suspeitas. Isso permite uma auditoria eficaz das tentativas de login.

  • Para habilitar logs, utilize o comando:
  • /system logging add topics=ssh,info action=memory
  • Verifique os logs com:
  • /log print where topics~"ssh"

Implementação de Autenticação por Chave Pública

Publicidade

A autenticação por chave pública é mais segura do que senhas. Isso minimiza o risco de acesso não autorizado ao roteador.

  • Gere um par de chaves (privada e pública) em seu computador local:
  • ssh-keygen -t rsa
  • Copie a chave pública para o Mikrotik:
  • /user ssh-keys import public-key-file=
  • Desabilite a autenticação por senha:
  • /user set password=""

Segregação de Rede para Acesso SSH

Implementar VLANs e segregação de rede ajuda a isolar o tráfego SSH. Isso aumenta a segurança ao limitar a exposição do serviço SSH.

  • Criar uma nova VLAN no roteador:
  • /interface vlan add name=vlan_ssh vlan-id=10 interface=
  • Configurar os IPs para a nova VLAN:
  • /ip address add address= interface=vlan_ssh
  • Limitar acessos externos apenas a essa VLAN.

Configuração de Fail2Ban para SSH

Utilizar o Fail2Ban ajuda a prevenir ataques de força bruta ao bloquear IPs após múltiplas tentativas de login falhadas. Isso é crucial para a segurança do SSH.

  • Instale o Fail2Ban em um servidor Linux que tenha acesso ao Mikrotik.
  • Crie um novo filtro em /etc/fail2ban/filter.d/ssh.conf com as regras desejadas.
  • Configure o jail.local para monitorar o serviço SSH:
  • [sshd]
  • enabled = true
  • port = 22
  • filter = ssh
  • maxretry = 5
  • bantime = 3600
  • Reinicie o Fail2Ban para aplicar as configurações:
  • systemctl restart fail2ban

Utilização de VPN para Acesso SSH Remoto

Estabelecer uma conexão VPN para acessar o SSH oferece uma camada adicional de segurança. Isso mantém o tráfego SSH criptografado e protegido.

Publicidade
  • Configure um servidor VPN no Mikrotik:
  • /interface l2tp-server server set enabled=yes
  • Criar um perfil de usuário VPN:
  • /ppp profile add name=vpn_profile local-address= remote-address=
  • Adicionar usuários VPN:
  • /ppp secret add name= password= profile=vpn_profile

Monitoramento de Conexões SSH em Tempo Real

Monitorar conexões SSH em tempo real pode ajudar a identificar e responder rapidamente a acessos não autorizados. Ferramentas de gerenciamento de rede são úteis nesse aspecto.

  • Use o comando para ver as conexões ativas:
  • /ip ssh active print
  • Instale ferramentas de monitoramento como o The Dude para visualização em tempo real.
  • Configure alertas para atividades suspeitas. Isso pode ser feito através de scripts personalizados.

Configuração de Firewall para SSH no Mikrotik

Proteger o serviço SSH requer uma configuração adequada do firewall. Isso pode ser feito através do ajuste de regras específicas para permitir apenas conexões seguras.

  • Abra o terminal do Mikrotik.
  • Insira o comando para adicionar uma regra de firewall que permita o tráfego na nova porta SSH:
/ip firewall filter add action=accept chain=input dst-port=NOVA_PORT protocol=tcp

Substitua NOVA_PORT pelo número da nova porta escolhida. Essa regra deve ser posicionada antes de qualquer regra que possa bloquear o tráfego de entrada.

Adicione também uma regra para descartar conexões na porta padrão:

/ip firewall filter add action=drop chain=input dst-port=22 protocol=tcp

Monitoramento de Conexões SSH no Mikrotik

É essencial monitorar as conexões SSH para identificar acessos não autorizados. Utilize as ferramentas de log do Mikrotik para registrar tentativas de acesso.

Publicidade
  • Ative o registro de logs para o serviço SSH com o seguinte comando:
/system logging add topics=ssh,info action=memory

Isso permitirá que todas as tentativas de acesso SSH sejam armazenadas na memória. Para visualizar os logs, utilize:

/log print where topics~"ssh"

Revise regularmente os logs para identificar padrões suspeitos de acesso.

Implementação de Autenticação por Chave Pública

Utilizar autenticação por chave pública é uma forma eficaz de aumentar a segurança do SSH. Isso elimina a necessidade de senhas, que podem ser vulneráveis.

  • Gere um par de chaves SSH usando um cliente SSH, como o PuTTY ou o OpenSSH.
  • Transfira a chave pública para o Mikrotik:
/user add name=usuario group=full public-key="chave_publica"

Certifique-se de substituir usuario e chave_publica pelos valores corretos. Após a configuração, desabilite a autenticação por senha:

/ip ssh set allow-password-login=no

Segurança Adicional com Fail2Ban no Servidor SSH

Implementar o Fail2Ban pode ajudar a proteger o serviço SSH contra ataques de força bruta. Essa ferramenta bloqueia endereços IP que tentam se conectar repetidamente sem sucesso.

  • Configure o Fail2Ban em um servidor que interaja com o Mikrotik. Instale o Fail2Ban utilizando o gerenciador de pacotes da sua distribuição Linux.
  • Crie uma nova configuração para o SSH:
[sshd]
enabled  = true
filter   = sshd
action   = iptables[name=sshd, port=NOVA_PORT, protocol=tcp]
logpath  = /var/log/auth.log
maxretry = 5

Substitua NOVA_PORT pela porta SSH configurada. Isso garante que, após 5 tentativas falhas, o IP será bloqueado.

Publicidade

Utilização de VPN para Acesso ao Mikrotik

Uma alternativa eficaz para proteger o serviço SSH é utilizar uma VPN para o acesso remoto. Isso adiciona uma camada extra de segurança.

  • Configure um servidor VPN no Mikrotik com o protocolo L2TP ou PPTP:
/interface l2tp-server server set enabled=yes default-profile=default

Em seguida, adicione um usuário VPN:

/ppp secret add name=usuario password=senha service=l2tp

Os usuários devem se conectar à VPN antes de acessar o Mikrotik via SSH, garantindo que somente usuários autenticados possam se conectar.

Configuração de Firewall para SSH

Para garantir uma proteção adicional ao serviço SSH, é fundamental configurar regras de firewall específicas.

As regras devem permitir o tráfego apenas na nova porta SSH e bloquear tentativas de acesso na porta padrão.

  • Acesse o terminal do Mikrotik.
  • Use o comando para adicionar uma regra que permita o tráfego na nova porta:
/ip firewall filter add chain=input protocol=tcp dst-port=NOVA_PORTA action=accept

Substitua NOVA_PORTA pelo número da porta escolhida.

  • Em seguida, adicione uma regra para negar o tráfego na porta padrão:
/ip firewall filter add chain=input protocol=tcp dst-port=22 action=drop

Essas regras garantem que apenas conexões na nova porta sejam aceitas e que tentativas na porta padrão sejam rejeitadas.

Implementação de Chaves SSH para Autenticação

A autenticação por chave SSH é uma prática recomendada que aumenta a segurança do acesso remoto.

O uso de chaves evita que senhas possam ser interceptadas durante a conexão.

Publicidade
  • Gere um par de chaves SSH no seu computador:
ssh-keygen -t rsa -b 2048

Isso criará uma chave pública e uma privada em seu sistema.

  • Agora, envie a chave pública para o Mikrotik:
ssh-copy-id -i ~/.ssh/id_rsa.pub usuario@IP_DO_MIKROTIK -p NOVA_PORTA

Substitua usuario pelo nome de usuário e IP_DO_MIKROTIK pelo IP do roteador.

Após a configuração, desative a autenticação por senha no Mikrotik.

/user set usuario password=0

Com isso, o acesso SSH será permitido apenas com a chave, aumentando a segurança.

Monitoramento de Acesso e Registro de Logs

Monitorar o acesso SSH e registrar logs é essencial para detectar atividades suspeitas.

Configurar o Mikrotik para registrar tentativas de conexão ajuda na identificação de possíveis invasores.

  • Acesse o menu de logs e configure para registrar eventos SSH:
/system logging add topics=ssh action=memory

Isso armazenará os logs na memória, permitindo fácil acesso em tempo real.

  • Para visualizar os logs gerados, utilize o seguinte comando:
/log print where topics~"ssh"

Além disso, pode-se configurar o envio de logs para um servidor remoto para armazenamento seguro:

/system logging action add name=remote target=remote remote=IP_DO_SERVIDOR remote-port=514

Substitua IP_DO_SERVIDOR pelo endereço do servidor de logs.

Com essa configuração, a segurança da conexão SSH é monitorada constantemente, aumentando a proteção do roteador.

Configuração de Firewall para Aumentar a Segurança do SSH no Roteador Mikrotik

A segurança do serviço SSH não se limita apenas à mudança da porta padrão. Uma configuração robusta de firewall é essencial para proteger o acesso ao roteador. O Mikrotik oferece um sistema de firewall poderoso que pode ser usado para filtrar, bloquear ou permitir tráfego com base em vários critérios.

Publicidade

Para iniciar, a criação de regras no firewall deve ser feita de forma a permitir apenas conexões específicas. Por exemplo, se a porta SSH foi alterada para 2222, uma regra pode ser configurada para permitir o tráfego apenas de endereços IP confiáveis. Isso pode ser feito através do comando: /ip firewall filter add chain=input protocol=tcp dst-port=2222 src-address=XXX.XXX.XXX.XXX action=accept, onde XXX.XXX.XXX.XXX corresponde ao endereço IP autorizado.

Além de permitir conexões de IPs específicos, é recomendável bloquear todas as outras conexões na nova porta SSH. Isso pode ser feito adicionando uma regra de rejeição: /ip firewall filter add chain=input protocol=tcp dst-port=2222 action=drop. Essa abordagem garante que apenas os endereços IP previamente autorizados possam acessar o serviço SSH, aumentando significativamente a segurança do roteador.

Outro ponto importante é registrar tentativas de conexão não autorizadas. Isso pode ser feito habilitando o registro de logs no firewall. A regra pode ser configurada assim: /ip firewall filter add chain=input protocol=tcp dst-port=2222 action=log log-prefix="SSH Access Attempt". O log permitirá a monitoração das tentativas de acesso e pode ser útil para ajustes futuros nas regras de segurança.

Implementação de Autenticação por Chave Pública no SSH do Mikrotik

A autenticação por chave pública é uma das melhores práticas para fortalecer a segurança do serviço SSH. A utilização de chaves em vez de senhas reduz significativamente o risco de ataques de força bruta. O Mikrotik suporta a configuração de autenticação por chave pública, que deve ser habilitada para um acesso mais seguro.

Publicidade

Para implementar essa funcionalidade, primeiro é necessário gerar um par de chaves (pública e privada) em um cliente SSH. Isso pode ser feito utilizando ferramentas como o OpenSSH. O comando para gerar um par de chaves é: ssh-keygen -t rsa -b 2048. O arquivo da chave pública gerado deve ser copiado para o roteador Mikrotik.

Uma vez que a chave pública está no roteador, ela pode ser adicionada à lista de chaves autorizadas. O comando para adicionar a chave pública é: /user ssh-keys import user=usuario public-key="chave_publica", onde usuario é o nome do usuário configurado no Mikrotik. A chave privada deve ser mantida em segurança no dispositivo cliente.

Após a configuração, a autenticação por chave pública pode ser testada. A conexão SSH deve ser feita sem solicitar uma senha, desde que a chave privada correspondente esteja presente no cliente. Essa abordagem não só aumenta a segurança, mas também proporciona uma forma de autenticação mais conveniente, eliminando a necessidade de lembrar senhas complexas.

Perguntas Frequentes

Qual a importância de mudar a porta SSH padrão?

Mudar a porta SSH padrão dificulta o acesso de invasores que utilizam ataques automatizados.

Como posso saber se meu SSH está seguro?

Realizar uma análise de vulnerabilidades pode ajudar a identificar falhas de segurança no serviço SSH.

É seguro usar senhas para autenticação SSH?

Embora possível, é mais seguro utilizar autenticação por chave pública em vez de senhas.

Publicidade

Quais portas posso usar para o SSH?

Qualquer porta acima de 1024 pode ser utilizada, mas é recomendável evitar portas comuns como 8080 e 443.

Como posso restringir o acesso SSH a IPs específicos?

Utilizando regras de firewall, é possível permitir o acesso somente a endereços IP autorizados.

Publicidade

Escrito por

DomineTec

Equipe DomineTec — trazendo as melhores dicas sobre tecnologia, segurança digital, empregos e finanças.

Receba as melhores dicas no seu e-mail

Tecnologia, segurança digital, finanças e empregos — tudo que importa, direto na sua caixa de entrada. 100% gratuito, sem spam.

Respeitamos sua privacidade. Cancele a qualquer momento.

Posts Relacionados

Mais em Segurança e Privacidade

Ver todos
Como Descobrir se Seus Dados Foram Vazados na Internet (Guia Completo 2026)
Segurança e Privacidade

Como Descobrir se Seus Dados Foram Vazados na Internet (Guia Completo 2026)

Saber como descobrir se seus dados foram vazados na internet se tornou uma necessidade urgente em 2026. Vazamentos de CPF, e-mail, senhas, números de telefone e até dados bancários estão cada vez mais comuns, expondo milhões de pessoas a fraudes financeiras, clonagem de contas e golpes digitais. Neste guia completo, você vai aprender como identificar sinais de vazamento, consultar seus dados em ferramentas confiáveis e agir rapidamente para proteger sua segurança digital.

DomineTec
5 min
10 boas práticas de segurança digital que todos deveriam adotar
Segurança e Privacidade

10 boas práticas de segurança digital que todos deveriam adotar

Com a crescente exposição de dados na internet, proteger sua segurança digital é mais urgente do que nunca. Neste post, você vai descobrir 10 boas práticas essenciais para proteger senhas, e-mails, contas bancárias, arquivos pessoais e toda a sua navegação online. O conteúdo é prático, direto e incl

DomineTec
5 min
Como Encontrar um Celular Perdido ou Roubado: Guia Definitivo
Segurança e Privacidade

Como Encontrar um Celular Perdido ou Roubado: Guia Definitivo

Perdeu o celular ou foi roubado? Aprenda como encontrar um celular perdido rapidamente usando ferramentas nativas do Android e iPhone, e o que fazer em caso de roubo.

DomineTec
5 min
Como saber se meus dados foram vazados
Segurança e Privacidade

Como saber se meus dados foram vazados

Milhares de brasileiros já foram vítimas de vazamentos de dados. Aprenda a identificar se você também foi afetado, como agir em caso de exposição e como evitar novos riscos.

DomineTec
5 min
Publicidade