Hardening MK

## 1. Desativando Serviços de Rede (IP Services)
Vamos fechar as portas de serviços inseguros ou que você não vai usar, deixando apenas o Winbox e o SSH abertos.

Snippet de código
/ip service
disable telnet,ftp,www,api,api-ssl
(Se você quiser ser ainda mais paranoico, pode alterar a porta padrão do SSH de 22 para outra, como set ssh port=22022, mas em uma rede de gerência isolada não é estritamente necessário).

## 2. O Perigo Silencioso: MAC Server
Esse é o maior erro da galera de provedor. Por padrão, o MikroTik permite que qualquer pessoa com o Winbox consiga "achar" o equipamento e tentar logar por MAC Address a partir de qualquer porta.

Nós vamos criar uma lista de interfaces seguras (a ether1 e a VLAN500) e mandar ele só aceitar conexões L2 por elas:

Snippet de código
# Cria a lista "ACESSO-SEGURO"
/interface list
add name=ACESSO-SEGURO

# Adiciona suas portas de gerência na lista
/interface list member
add interface=VLAN500-Gerencia list=ACESSO-SEGURO
add interface=ether1 list=ACESSO-SEGURO

# Trava o MAC-Winbox e MAC-Telnet SOMENTE para essa lista
/tool mac-server
set allowed-interface-list=ACESSO-SEGURO
/tool mac-server mac-winbox
set allowed-interface-list=ACESSO-SEGURO

# Desativa o ping por MAC (desnecessário e consome CPU se atacado)
/tool mac-server ping
set enabled=no
## 3. Modo Stealth (Neighbor Discovery)
Sabe quando você abre o Winbox e vê vários MikroTiks do vizinho na aba "Neighbors"? Isso acontece porque o protocolo de descoberta (MNDP/CDP/LLDP) grita para a rede: "Oi, eu sou o MikroTik da Distribuição!".
Vamos proibir ele de gritar isso nas portas dos blocos, restringindo apenas para a rede de gerência:

Snippet de código
/ip neighbor discovery-settings
set discover-interface-list=ACESSO-SEGURO
## 4. Desativando Ferramentas Nativas
O MikroTik tem um servidor de teste de banda embutido que, se alguém tentar explorar na sua rede, vai jogar a CPU do seu switch em 100% à toa. Vamos matar isso também:

Snippet de código
/tool bandwidth-server
set enabled=no