Даем несловарное имя пользователя и пароль посложнее:
/user set 0 name=duvdifjavmyldat2 password="MekGoshliep&os9Grydbewsh~"
Отключаем у ssh устаревшую криптографию
/ip ssh set strong-crypto=yes
Отключаем все не-Ъ способы управления (включая винбокс) кроме ssh , они для мышковозов не осиливших быструю, безопасную и удобную cli. SSH переносим на нестандартный порт .
/ip service
disable [find where name!=ssh]
set ssh port=44531
Отключаем доступ по MACу - то еще решето (без этого роутер будет продолжать определяться в винбоксе).
/tool mac-server set disabled=yes [find]
/tool mac-server mac-winbox set disabled=yes [find]
/tool mac-server ping set enabled=no
Если не используем кошкины дискавери типа CDP, то обнаружение соседей тоже лучше отключить.
/ip neighbor discovery set discover=no [find]
Генерим ключ пожирнее.
ssh-keygen -t rsa -b 4096 -N '' -C '' -f routerkey
Если нужен пароль, то
-N '' убрать. Лично я использую доступ по ключам без пароля для целей автоматизации через pssh управляяя большим кол-вом маршрутизаторов.
Запихиваем routerkey.pub в роутер и импортим.
/user ssh-keys import user=duvdifjavmyldat2 public-key-file=routerkey.pub
Если усиливать паранойю еще больше, то настраивайте
port-knocking (порт на управление открывается после того как вы постучитесь в определенной последовательности, определенное кол-во раз в заданные левые порты).
Здесь написано как предотвратить ssh брутофорс.
Если настроена вафля то конечно же сделайте на минимум tx-power и в /interface wireless access-list добавьте вручную маки ваших девайсов , и задав им signal-range такой, чтобы только близкие девайсы подрубались но не сосед за стенкой.
Это то что пришло во голову сходу, а вообще тема бесконечная.