Cara Mengamankan Mikrotik Router

Mikrotik router sebagai salah satu infrastuktur utama memang  sudah seharusnya lebih diperhatikan dari sisi kemanan dibanding komponen yang lain. Biasanya Router menjadi penghubung antara jaringan lokal dengan internet. Serangan akan banyak terjadi ke router  entah hanya sekedar iseng atau memang berniat jahat untuk merusak jaringan.

Dalam panduan singkat ini akan saya berikan tip sederhana meningkatkan kemanan Mikrotik Router dengan perintah Terminal. Anda bisa saja menggunakan perintah lewat WInbox dengan menyesuaikan perintahnya. Misalkan perintah untuk mengupdate package bisa dengan masuk ke Menu System->Package lalu tekan tombol check for update. Namun demikian saya tetap menyarankan gunakan terminal agar anda semakin mahir dengan Mikrotik. Berikut ini ad 8 tip yang bisa langsung anda praktekan untuk mengamankan mikrotik anda.

Mengupdate OS Mikrotik

Untuk update ini saya beri contoh di Mikrotik versi 6.x, untuk versi sebelumnya perintahnya tinggal disesuaikan.

[admin@Router] > system package update check-for-updates
          channel: current
  current-version: 6.32.3
   latest-version: 6.33.3
           status: New version is available
[admin@Router Atas] > system package update download 
          channel: current
  current-version: 6.32.3
   latest-version: 6.33.3
           status: Downloaded 91% (16.8MiB)
[admin@Router] > system reboot

Tujuan utama mengupdate software mikrotik adalah untuk meningkatkan keamanan, memperbaiki bug ataupun menambah fitur baru tanpa harus ganti hardware. Namun yang perlu diperhatikan anda harus melihat Rilis note /Changelog updatenya untuk memastikan bahwa setelah update tidak ada konfigurasi yang justru malah tidak kompatibel.

Mematikan paket software yang tidak dipakai

Mikrotik punya banyak paket yang bisa dilihat dengan perintah /system package print  Sebagai contoh kita akan mematikan paket mpls

/system package disable mpls 
/system reboot 

Untuk mendisable package harus mereboot system. Untuk pemakai kantoran atau warnet banyak packet yang tidak di pakai. Paket yang
sering dipakai hanya system,dhcp, security,ppp, advanced tool dan hotspot Sisanya tidak dipakai sama sekali, Konsultasikan ke Tech support ISP anda jika anda ragu.

Melakukan Backup Konfigurasi

Mikrotik mengenal dua backup konfigurasi. Yang pertama berupa file binary dan yang kedua adalah script konfigurasi. Cara pertama sangat bermanfaat jika anda mereset mikrotik dan merestore dengan file konfigurasi yang telah anda backup tadi. Cara yang kedua berisi file script yang berisi seluruh perintah konfigurasi mikrotik. Backup cara kedua sangat bermanfaat jika anda ingin menganalisa konfigurasi mikrotik.

Backup binary

[admin@Router] > /system backup save                
Saving system configuration
Configuration backup saved

Filenya bisa di lihat di menu file dengan nama nama_router-yyyymmdd-hhmm.backupJika anda mereset mikrotik anda, langkah untuk merestorenya tinggal buka winbox masuk ke menu file lalu klik nama file tersebut dan klik restore.

Mengexport script Konfigurasi Mikrotik

export compact file=backup-skrip

Filenya akan tersimpan dengan nama backup-skrip.src silahkan download file ini dari menu File Winbox untuk dianalisa script konfigurasinya. Teknik ini sangat bermanfaat jika BUKAN ANDA yang menseting router tersebut namun sekarang andalah yang harus mengelolanya.

Mematikan Interface yang tidak terpakai

Interface ini biasanya adalah port Ethernet yang tidak terpakai. Misalkan anda memakai Mikrotik RB450 dengan 5 Port. Sementara itu anda hanya
memakai port 1, 2 dan 3. Maka matikan port keempat dan kelimanya. Alasan utamanya untuk memastikan bahwa jika ada cracker yang bisa mengakses secara fisik ke Routernya tidak dengan mudah mencolokan kabel ke port tersebut. Misalkan saya ingin mendisable ether4 dan ether5 maka perintahnya

[admin@Router] > interface disable ether4 
[admin@Router] > interface disable ether5

Jika anda belum yakin port mana yang tidak dipakai, cari saja port yang tidak ada tanda R(Running) saat memberi perintah interface print

Mematikan Neighbourhood Discovery

Fitur ini memudahkan kita menemukan Server Mikrotik dari Winbox. Saat kita buka Winbox, biasanya dibagian bawah Winbox langsung terdeteksi router Mikrotik yang ada di jaringan tersebut. Fitur ini sangat bermanfaat bagi admin jaringan terutama ISP yang memonitor banyak Mikrotik. Namun, fitur tidak aman karena Cracker pun dengan mudah mendapatkan calon korbannya. Dalam contoh ini ada 3 interface yaitu WAN, WIFI dan LAN. Maka perintah mematikanya adalah :

ip neighbor discovery set WAN discover=no
ip neghbor discovery set WIFI discover=no
ip neghbor discovery set LAN discover=no

Memonitor Log

Untuk memonitor log, caranya cukup mudah. Cukup beri perintah /log print  Hal yang perlu diperhatikan adalah masalah Clock Mikrotik. Biasanya mikrotik yang baru pertama diseting akan menunjukan tanggal 1 Januari 1970. Ini sangat berbahaya karena anda tidak akan tahu tanggal dan jam berapa insiden keamanan terjadi. Solusinya gunakan NTP agar jam mikrotik selalu menunjukan waktu saat ini. Panduannya bisa anda baca di artikel saya yang lain dengan judul Setting Waktu Mikrotik dengan NTP Client.

Contoh tampilan Log dari Mikrotik

22:05:28 dhcp,info dhcp-public deassigned 192.168.1.5 from 5C:93:A2:A6:CB:65
22:05:28 dhcp,info dhcp-public assigned 192.168.1.6 to 5C:93:A2:A6:CB:65
22:08:17 system,error,critical login failure for user admin from 192.168.9 via winbox
22:08:17 system,error,critical login failure for user admin from 72.10.203.1 via ssh

Usahakan sering menganalisa Log dan melihat potensi keamanan yang terjadi. Contohnya, lihat pada log diatas ternyata ada yang berusaha login dari ip 192.168.1.9 dan ada yang berusaha meremote lewat ssh dari ip 72.10.203.1. Biasanya baris ini akan berwarna merah. Dengan melihat hal di atas anda bisa melakukan tindakan misalkan memblokir IP tersebut, mematikan service ssh atau mengganti port ssh nya, penjelasannya bisa anda baca di point selanjutnya.

Mematikan service yang tidak perlu

Mikrotik bisa diakses dengan berbagai cara semisal http, winbox, ssh, telnet, FTP dan sebagainya. Yang paling sering dipakai adalah akses Winbox dan SSH menggunakan Putty.Maka saya rekomendasikan matikan seluruh service yang tidak terpakai.

Untuk melihat seluruh service yang ada gunakan perintah /ip service print Berikut ini cara mematikan service telnet dan ftp di mikrotik

ip service disable telnet
ip service disable ftp 

Disisi lain, serangan brute force login sering juga menimpa SSH di port 22. Walaupun SSH terkenal aman, namun alahkah baiknya jika port SSH juga kita ganti portnya  misal kita ganti ke port 22222,  perintahnya:

 ip service set ssh port=2222

Untuk lebih meningkatkan keamanan jaringan, kita juga bisa membuat agar SSH hanya bisa diakses lewat jaringan lokal. Kita asumsikan ip jaringan lokal adalah 192.168.1.0/24 Maka perintahnya

 ip service set ssh address=192.168.1.0/24

Jika anda ingin Mikrotik  hanya bisa diakses oleh  dengan SSH  terbatas pada satu IP  misalkan  ip 192.168.1.200. Maka perintahnya

ip service set ssh address=192.168.1.200

Intinya tinggal kombinasikan antara mematikan, mengganti port atau membatasi limit akses ke Router Mikrotik. Silahkan sesuaikan
dengan kondisi di lapangan.

Membatasi limit akses User ke Router

Mikrotik punya 3 tingkatan user yaitu full, write dan read. Kadang, kita butuh pegawai yang selalu memonitor kondisi mikrotik seperti OP Warnet
atau bagian Costumer support. Pegawai ini hanya ditugasi memonitor, tidak bisa mengubah konfigurasi sedikitpun. Maka alangkah baiknya anda membuat user sendiri dengan akses READ. Sebagai contoh

 /user  add name=pegawai password=pegawai group=read address=192.168.1.1

Pegawai tersebut bisa login ke monitor dari ip 192.168.1.1 untuk memonitor kondisi mikrotik. Sebenarnya masih banyak tip keamanan yang lain namun tips ini insyaAllah cukup  untuk jaringan kantor dan warnet. Jangan lupa carilah sumber lain untuk meningkatkan kemanan jaringan anda, apa yang saya sampaikan disini hanya DASAR DASARnya saja. Semoga tip ini bermanfaat, selamat mencoba!

 

Monitoring Server Linux Berbasis web

Sebagai seorang admin Server Linux atau VPS, sudah seharusnya kita bisa memonitor kapan saja dan dimana saja. Pada panduan kali ini kita akan mencoba menginstall Dash sebagai alat monitoring untuk server Linux.

Fitur Dash

Dash adalah Monitoring Server simple berbasis web yang bisa memonitor hal hal berikut:

  1. Informasi Penggunaan CPU, RAM dan hardisk server secara realtime
  2. Melihat spesifikasi server termasuk RAM dan CPU serta Cronjob.
  3. Melihat aplikasi server yang terinstall seperti apache, NodeJS, PHP dan aplikasi lainnya.
  4. Melihat user yang sedang login dan history Login user
  5. Melihat konfigurasi jaringan serta trafik upload dan download di server

Semua Informasi diatas ditampilkan secara realtime dengan Grafik yang model Card. Dash sifatnya hanya memonitor secara umum dan hanya READ-ONLY. Artinya anda tidak bisa melakukan perubahan sistem dari dash. Anda bisa mencoba demo dash di http://linuxdash.afaqtariq.com/#/network.

 

Tampilan Dash

Dash - Monitoring server Linux berbasis Web
Dash – Monitoring server Linux berbasis Web

Panduan Install

Berikut ini adalah panduan install dash di server Linux Ubuntu server, untuk Linux Distro lain tidak jauh berbeda dengan syarat sudah terinstall Apache dan PHP di server. Jika anda mengelola server ditempat kerja ataupun punya server VPS  sendiri, maka anda bisa langsung mencobanya, namun jika anda tidak punya anda bisa mencobanya di menggunakan Linux Ubuntu yang terinstall di komputer anda.

Hal terpenting disini, panduan ini berasumsi bahwa Apache dan PHP sudah terinstall di Server, Selain itu pastikan fungsi shell_exec() dan exec()  tidak disable di php.ini. Kalau anda menginstall di server sendiri atau VPS biasanya fungsi ini pasti aktif, namun jika anda mencobanya di sharedhosting, biasanya dua fungsi di nonaktifkan oleh Pihak pemilik hosting dengan alasan keamanan.

  1. Download dash di https://github.com/afaqurk/linux-dash/archive/master.zip. Jika anda terbiasa dengan terminal anda bisa gunakan wget
    wget https://github.com/afaqurk/linux-dash/archive/master.zip
  2. Upload keserver anda dan extract di root webserver. Biasanya di /var/www/html/, lihat kembali  konfigurasi apache anda.
  3. Extract file master.zip dan folder hasil extract rename menjadi dash.
  4. Buka browser dengan alamat http://domain.com/dash atau http:/ipserver/dash.

Jika anda bermasalah atau gagal hal pertama yang di cek adalah pastikan fungsishell_exec() dan exec() aktif di php. Jika anda ingin mengamankan dash agar tidak setiap orang bisa mengakses dashboard monitoring server silahkan baca panduannya di DigitalOcean.