Сменить порт управления через winbox, ssh с дефолтных на любые другие значения в дипозоне свободных портов 10000-65535.
/ip service set winbox port=24323; /ip service set ssh port=22022
Отключить ftp, telnet, api, api-ssl, www, www-ssl
/ip service disable ftp,telnet,api,api-ssl,www,www-ssl
Если какой то сервис нужен для автоматизированного управления устройством, то лучше ограничить доступ к этому сервису с опредленных подсетей, и как говорилось ваше сменить порт.
/ip service set telnet port=23023 address=172.17.0.1
Лучше отключить api, www и использовать api-ssl, www-ssl сервисы управления.
Отключить штатного пользователя и создать другого.
/user add name=administrators group=full password=qwerty; /user disable admin
При использовании микротик как dns сервер, в файрволе заблокируйте 53 udp порт на wan порту
/ip firewall filter add in-interface=inet dst-port=53 action=drop chain=input protocol=udp comment="DROP IN DNS"
Отключить обнаружение роутера на wan порту
/ip neighbor discovery set inet discover=no
Сменить mac адрес роутера, чтобы роутер нельзя было идентифицировать по mac адресу.
/interface ethernet set inet mac-address=00::11:22:33:66:44
Если роутер испльзуется в кафе, офисе, или даже дома и в данных местах предоставляется публичный доступ, то лучше разграничить сеть офиса и публичную.
Разделить можно выделением разных подсетей, разнесением в разные vlan или bridge.