Cara Mengamankan Mikrotik Router

Mikrotik router sebagai salah satu infrastuktur utama memang  sudah seharusnya lebih diperhatikan dari sisi kemanan dibanding komponen yang lain. Biasanya Router menjadi penghubung antara jaringan lokal dengan internet. Serangan akan banyak terjadi ke router  entah hanya sekedar iseng atau memang berniat jahat untuk merusak jaringan.

Dalam panduan singkat ini akan saya berikan tip sederhana meningkatkan kemanan Mikrotik Router dengan perintah Terminal. Anda bisa saja menggunakan perintah lewat WInbox dengan menyesuaikan perintahnya. Misalkan perintah untuk mengupdate package bisa dengan masuk ke Menu System->Package lalu tekan tombol check for update. Namun demikian saya tetap menyarankan gunakan terminal agar anda semakin mahir dengan Mikrotik. Berikut ini ad 8 tip yang bisa langsung anda praktekan untuk mengamankan mikrotik anda.

Mengupdate OS Mikrotik

Untuk update ini saya beri contoh di Mikrotik versi 6.x, untuk versi sebelumnya perintahnya tinggal disesuaikan.

[admin@Router] > system package update check-for-updates
          channel: current
  current-version: 6.32.3
   latest-version: 6.33.3
           status: New version is available
[admin@Router Atas] > system package update download 
          channel: current
  current-version: 6.32.3
   latest-version: 6.33.3
           status: Downloaded 91% (16.8MiB)
[admin@Router] > system reboot

Tujuan utama mengupdate software mikrotik adalah untuk meningkatkan keamanan, memperbaiki bug ataupun menambah fitur baru tanpa harus ganti hardware. Namun yang perlu diperhatikan anda harus melihat Rilis note /Changelog updatenya untuk memastikan bahwa setelah update tidak ada konfigurasi yang justru malah tidak kompatibel.

Mematikan paket software yang tidak dipakai

Mikrotik punya banyak paket yang bisa dilihat dengan perintah /system package print  Sebagai contoh kita akan mematikan paket mpls

/system package disable mpls 
/system reboot 

Untuk mendisable package harus mereboot system. Untuk pemakai kantoran atau warnet banyak packet yang tidak di pakai. Paket yang
sering dipakai hanya system,dhcp, security,ppp, advanced tool dan hotspot Sisanya tidak dipakai sama sekali, Konsultasikan ke Tech support ISP anda jika anda ragu.

Melakukan Backup Konfigurasi

Mikrotik mengenal dua backup konfigurasi. Yang pertama berupa file binary dan yang kedua adalah script konfigurasi. Cara pertama sangat bermanfaat jika anda mereset mikrotik dan merestore dengan file konfigurasi yang telah anda backup tadi. Cara yang kedua berisi file script yang berisi seluruh perintah konfigurasi mikrotik. Backup cara kedua sangat bermanfaat jika anda ingin menganalisa konfigurasi mikrotik.

Backup binary

[admin@Router] > /system backup save                
Saving system configuration
Configuration backup saved

Filenya bisa di lihat di menu file dengan nama nama_router-yyyymmdd-hhmm.backupJika anda mereset mikrotik anda, langkah untuk merestorenya tinggal buka winbox masuk ke menu file lalu klik nama file tersebut dan klik restore.

Mengexport script Konfigurasi Mikrotik

export compact file=backup-skrip

Filenya akan tersimpan dengan nama backup-skrip.src silahkan download file ini dari menu File Winbox untuk dianalisa script konfigurasinya. Teknik ini sangat bermanfaat jika BUKAN ANDA yang menseting router tersebut namun sekarang andalah yang harus mengelolanya.

Mematikan Interface yang tidak terpakai

Interface ini biasanya adalah port Ethernet yang tidak terpakai. Misalkan anda memakai Mikrotik RB450 dengan 5 Port. Sementara itu anda hanya
memakai port 1, 2 dan 3. Maka matikan port keempat dan kelimanya. Alasan utamanya untuk memastikan bahwa jika ada cracker yang bisa mengakses secara fisik ke Routernya tidak dengan mudah mencolokan kabel ke port tersebut. Misalkan saya ingin mendisable ether4 dan ether5 maka perintahnya

[admin@Router] > interface disable ether4 
[admin@Router] > interface disable ether5

Jika anda belum yakin port mana yang tidak dipakai, cari saja port yang tidak ada tanda R(Running) saat memberi perintah interface print

Mematikan Neighbourhood Discovery

Fitur ini memudahkan kita menemukan Server Mikrotik dari Winbox. Saat kita buka Winbox, biasanya dibagian bawah Winbox langsung terdeteksi router Mikrotik yang ada di jaringan tersebut. Fitur ini sangat bermanfaat bagi admin jaringan terutama ISP yang memonitor banyak Mikrotik. Namun, fitur tidak aman karena Cracker pun dengan mudah mendapatkan calon korbannya. Dalam contoh ini ada 3 interface yaitu WAN, WIFI dan LAN. Maka perintah mematikanya adalah :

ip neighbor discovery set WAN discover=no
ip neghbor discovery set WIFI discover=no
ip neghbor discovery set LAN discover=no

Memonitor Log

Untuk memonitor log, caranya cukup mudah. Cukup beri perintah /log print  Hal yang perlu diperhatikan adalah masalah Clock Mikrotik. Biasanya mikrotik yang baru pertama diseting akan menunjukan tanggal 1 Januari 1970. Ini sangat berbahaya karena anda tidak akan tahu tanggal dan jam berapa insiden keamanan terjadi. Solusinya gunakan NTP agar jam mikrotik selalu menunjukan waktu saat ini. Panduannya bisa anda baca di artikel saya yang lain dengan judul Setting Waktu Mikrotik dengan NTP Client.

Contoh tampilan Log dari Mikrotik

22:05:28 dhcp,info dhcp-public deassigned 192.168.1.5 from 5C:93:A2:A6:CB:65
22:05:28 dhcp,info dhcp-public assigned 192.168.1.6 to 5C:93:A2:A6:CB:65
22:08:17 system,error,critical login failure for user admin from 192.168.9 via winbox
22:08:17 system,error,critical login failure for user admin from 72.10.203.1 via ssh

Usahakan sering menganalisa Log dan melihat potensi keamanan yang terjadi. Contohnya, lihat pada log diatas ternyata ada yang berusaha login dari ip 192.168.1.9 dan ada yang berusaha meremote lewat ssh dari ip 72.10.203.1. Biasanya baris ini akan berwarna merah. Dengan melihat hal di atas anda bisa melakukan tindakan misalkan memblokir IP tersebut, mematikan service ssh atau mengganti port ssh nya, penjelasannya bisa anda baca di point selanjutnya.

Mematikan service yang tidak perlu

Mikrotik bisa diakses dengan berbagai cara semisal http, winbox, ssh, telnet, FTP dan sebagainya. Yang paling sering dipakai adalah akses Winbox dan SSH menggunakan Putty.Maka saya rekomendasikan matikan seluruh service yang tidak terpakai.

Untuk melihat seluruh service yang ada gunakan perintah /ip service print Berikut ini cara mematikan service telnet dan ftp di mikrotik

ip service disable telnet
ip service disable ftp 

Disisi lain, serangan brute force login sering juga menimpa SSH di port 22. Walaupun SSH terkenal aman, namun alahkah baiknya jika port SSH juga kita ganti portnya  misal kita ganti ke port 22222,  perintahnya:

 ip service set ssh port=2222

Untuk lebih meningkatkan keamanan jaringan, kita juga bisa membuat agar SSH hanya bisa diakses lewat jaringan lokal. Kita asumsikan ip jaringan lokal adalah 192.168.1.0/24 Maka perintahnya

 ip service set ssh address=192.168.1.0/24

Jika anda ingin Mikrotik  hanya bisa diakses oleh  dengan SSH  terbatas pada satu IP  misalkan  ip 192.168.1.200. Maka perintahnya

ip service set ssh address=192.168.1.200

Intinya tinggal kombinasikan antara mematikan, mengganti port atau membatasi limit akses ke Router Mikrotik. Silahkan sesuaikan
dengan kondisi di lapangan.

Membatasi limit akses User ke Router

Mikrotik punya 3 tingkatan user yaitu full, write dan read. Kadang, kita butuh pegawai yang selalu memonitor kondisi mikrotik seperti OP Warnet
atau bagian Costumer support. Pegawai ini hanya ditugasi memonitor, tidak bisa mengubah konfigurasi sedikitpun. Maka alangkah baiknya anda membuat user sendiri dengan akses READ. Sebagai contoh

 /user  add name=pegawai password=pegawai group=read address=192.168.1.1

Pegawai tersebut bisa login ke monitor dari ip 192.168.1.1 untuk memonitor kondisi mikrotik. Sebenarnya masih banyak tip keamanan yang lain namun tips ini insyaAllah cukup  untuk jaringan kantor dan warnet. Jangan lupa carilah sumber lain untuk meningkatkan kemanan jaringan anda, apa yang saya sampaikan disini hanya DASAR DASARnya saja. Semoga tip ini bermanfaat, selamat mencoba!

 

Cara Memblokir Facebook di Mikrotik pada Jam Kerja

Salah satu tugas dari administrator jaringan adalah memblokir Facebook pada jam kerja. Facebook boleh diakses selain di jam kerja misalkan jam makan siang atau setelah pulang kerja. Langsung ke inti, berikut ini adalah Rule yang akan kita buat di mikrotik:

  1. Mikrotik akan membokir IP lokal (192.168.1.0/24) pada jam kerja, sesuaikan dengan jaringan lokal anda
  2. Jam kerja adalah jam 08.00-12 , istirahat jam 12.01-13.00 dan jam bekerja lanjut dari jam 13.01-16.00
  3. Mikrotik melakukan Pemblokiran hanya antara hari senin sampai jumat.

Langkah langkah

  • Buka MIkrotik lewat terminal dan ketikan perintah berikut :
    ip firewall filter 
    
    add chain=forward action=drop protocol=tcp src-address=192.168.1.0/24 dst-address=173.252.120.68
         dst-port=80,443 time=8h-12h,mon,tue,wed,thu,fri 
    
     add chain=forward action=drop protocol=tcp src-address=192.168.1.0/24 dst-address=173.252.120.68 
         dst-port=80,443 time=13h-16h,mon,tue,wed,thu,fri 
    
    

    Penjelasan singkat

    Baris ip firewall filter , kita masuk ke menu Ip Firewall Filter. Jika di Winbox bisa disamakan dengan buka Menu Ip-> Firewall , Tab Filter.

    perintah kedua jika dibaca dengan bahasa manusia adalah sebagai berikut: jika ada paket forward ke ip 173.252.120.68 (IP FACEBOOK)
    dan portnya adalah 80 atau 443 (http atau https) jam 8 pagi sampai jam 12 siang dan harinya antara senin sampai jumat maka DROP PAKET. Untuk perintah ketiga hampir sama dengan perintah kedua perbedaannya hanya pada jam pemblokirannya saja.

    Jika ada