Mikrotik router sebagai salah satu infrastuktur utama memang sudah seharusnya lebih diperhatikan dari sisi kemanan dibanding komponen yang lain. Biasanya Router menjadi penghubung antara jaringan lokal dengan internet. Serangan akan banyak terjadi ke router entah hanya sekedar iseng atau memang berniat jahat untuk merusak jaringan.
Dalam panduan singkat ini akan saya berikan tip sederhana meningkatkan kemanan Mikrotik Router dengan perintah Terminal. Anda bisa saja menggunakan perintah lewat WInbox dengan menyesuaikan perintahnya. Misalkan perintah untuk mengupdate package bisa dengan masuk ke Menu System->Package lalu tekan tombol check for update. Namun demikian saya tetap menyarankan gunakan terminal agar anda semakin mahir dengan Mikrotik. Berikut ini ad 8 tip yang bisa langsung anda praktekan untuk mengamankan mikrotik anda.
Mengupdate OS Mikrotik
Untuk update ini saya beri contoh di Mikrotik versi 6.x, untuk versi sebelumnya perintahnya tinggal disesuaikan.
[admin@Router] > system package update check-for-updates
channel: current
current-version: 6.32.3
latest-version: 6.33.3
status: New version is available
[admin@Router Atas] > system package update download
channel: current
current-version: 6.32.3
latest-version: 6.33.3
status: Downloaded 91% (16.8MiB)
[admin@Router] > system reboot
Tujuan utama mengupdate software mikrotik adalah untuk meningkatkan keamanan, memperbaiki bug ataupun menambah fitur baru tanpa harus ganti hardware. Namun yang perlu diperhatikan anda harus melihat Rilis note /Changelog updatenya untuk memastikan bahwa setelah update tidak ada konfigurasi yang justru malah tidak kompatibel.
Mematikan paket software yang tidak dipakai
Mikrotik punya banyak paket yang bisa dilihat dengan perintah /system package print Sebagai contoh kita akan mematikan paket mpls
/system package disable mpls /system reboot
Untuk mendisable package harus mereboot system. Untuk pemakai kantoran atau warnet banyak packet yang tidak di pakai. Paket yang
sering dipakai hanya system,dhcp, security,ppp, advanced tool dan hotspot Sisanya tidak dipakai sama sekali, Konsultasikan ke Tech support ISP anda jika anda ragu.
Melakukan Backup Konfigurasi
Mikrotik mengenal dua backup konfigurasi. Yang pertama berupa file binary dan yang kedua adalah script konfigurasi. Cara pertama sangat bermanfaat jika anda mereset mikrotik dan merestore dengan file konfigurasi yang telah anda backup tadi. Cara yang kedua berisi file script yang berisi seluruh perintah konfigurasi mikrotik. Backup cara kedua sangat bermanfaat jika anda ingin menganalisa konfigurasi mikrotik.
Backup binary
[admin@Router] > /system backup save Saving system configuration Configuration backup saved
Filenya bisa di lihat di menu file dengan nama nama_router-yyyymmdd-hhmm.backupJika anda mereset mikrotik anda, langkah untuk merestorenya tinggal buka winbox masuk ke menu file lalu klik nama file tersebut dan klik restore.
Mengexport script Konfigurasi Mikrotik
export compact file=backup-skrip
Filenya akan tersimpan dengan nama backup-skrip.src silahkan download file ini dari menu File Winbox untuk dianalisa script konfigurasinya. Teknik ini sangat bermanfaat jika BUKAN ANDA yang menseting router tersebut namun sekarang andalah yang harus mengelolanya.
Mematikan Interface yang tidak terpakai
Interface ini biasanya adalah port Ethernet yang tidak terpakai. Misalkan anda memakai Mikrotik RB450 dengan 5 Port. Sementara itu anda hanya
memakai port 1, 2 dan 3. Maka matikan port keempat dan kelimanya. Alasan utamanya untuk memastikan bahwa jika ada cracker yang bisa mengakses secara fisik ke Routernya tidak dengan mudah mencolokan kabel ke port tersebut. Misalkan saya ingin mendisable ether4 dan ether5 maka perintahnya
[admin@Router] > interface disable ether4 [admin@Router] > interface disable ether5
Jika anda belum yakin port mana yang tidak dipakai, cari saja port yang tidak ada tanda R(Running) saat memberi perintah interface print
Mematikan Neighbourhood Discovery
Fitur ini memudahkan kita menemukan Server Mikrotik dari Winbox. Saat kita buka Winbox, biasanya dibagian bawah Winbox langsung terdeteksi router Mikrotik yang ada di jaringan tersebut. Fitur ini sangat bermanfaat bagi admin jaringan terutama ISP yang memonitor banyak Mikrotik. Namun, fitur tidak aman karena Cracker pun dengan mudah mendapatkan calon korbannya. Dalam contoh ini ada 3 interface yaitu WAN, WIFI dan LAN. Maka perintah mematikanya adalah :
ip neighbor discovery set WAN discover=no ip neghbor discovery set WIFI discover=no ip neghbor discovery set LAN discover=no
Memonitor Log
Untuk memonitor log, caranya cukup mudah. Cukup beri perintah /log print Hal yang perlu diperhatikan adalah masalah Clock Mikrotik. Biasanya mikrotik yang baru pertama diseting akan menunjukan tanggal 1 Januari 1970. Ini sangat berbahaya karena anda tidak akan tahu tanggal dan jam berapa insiden keamanan terjadi. Solusinya gunakan NTP agar jam mikrotik selalu menunjukan waktu saat ini. Panduannya bisa anda baca di artikel saya yang lain dengan judul Setting Waktu Mikrotik dengan NTP Client.
Contoh tampilan Log dari Mikrotik
22:05:28 dhcp,info dhcp-public deassigned 192.168.1.5 from 5C:93:A2:A6:CB:65 22:05:28 dhcp,info dhcp-public assigned 192.168.1.6 to 5C:93:A2:A6:CB:65 22:08:17 system,error,critical login failure for user admin from 192.168.9 via winbox 22:08:17 system,error,critical login failure for user admin from 72.10.203.1 via ssh
Usahakan sering menganalisa Log dan melihat potensi keamanan yang terjadi. Contohnya, lihat pada log diatas ternyata ada yang berusaha login dari ip 192.168.1.9 dan ada yang berusaha meremote lewat ssh dari ip 72.10.203.1. Biasanya baris ini akan berwarna merah. Dengan melihat hal di atas anda bisa melakukan tindakan misalkan memblokir IP tersebut, mematikan service ssh atau mengganti port ssh nya, penjelasannya bisa anda baca di point selanjutnya.
Mematikan service yang tidak perlu
Mikrotik bisa diakses dengan berbagai cara semisal http, winbox, ssh, telnet, FTP dan sebagainya. Yang paling sering dipakai adalah akses Winbox dan SSH menggunakan Putty.Maka saya rekomendasikan matikan seluruh service yang tidak terpakai.
Untuk melihat seluruh service yang ada gunakan perintah /ip service print Berikut ini cara mematikan service telnet dan ftp di mikrotik
ip service disable telnet ip service disable ftp
Disisi lain, serangan brute force login sering juga menimpa SSH di port 22. Walaupun SSH terkenal aman, namun alahkah baiknya jika port SSH juga kita ganti portnya misal kita ganti ke port 22222, perintahnya:
ip service set ssh port=2222
Untuk lebih meningkatkan keamanan jaringan, kita juga bisa membuat agar SSH hanya bisa diakses lewat jaringan lokal. Kita asumsikan ip jaringan lokal adalah 192.168.1.0/24 Maka perintahnya
ip service set ssh address=192.168.1.0/24
Jika anda ingin Mikrotik hanya bisa diakses oleh dengan SSH terbatas pada satu IP misalkan ip 192.168.1.200. Maka perintahnya
ip service set ssh address=192.168.1.200
Intinya tinggal kombinasikan antara mematikan, mengganti port atau membatasi limit akses ke Router Mikrotik. Silahkan sesuaikan
dengan kondisi di lapangan.
Membatasi limit akses User ke Router
Mikrotik punya 3 tingkatan user yaitu full, write dan read. Kadang, kita butuh pegawai yang selalu memonitor kondisi mikrotik seperti OP Warnet
atau bagian Costumer support. Pegawai ini hanya ditugasi memonitor, tidak bisa mengubah konfigurasi sedikitpun. Maka alangkah baiknya anda membuat user sendiri dengan akses READ. Sebagai contoh
/user add name=pegawai password=pegawai group=read address=192.168.1.1
Pegawai tersebut bisa login ke monitor dari ip 192.168.1.1 untuk memonitor kondisi mikrotik. Sebenarnya masih banyak tip keamanan yang lain namun tips ini insyaAllah cukup untuk jaringan kantor dan warnet. Jangan lupa carilah sumber lain untuk meningkatkan kemanan jaringan anda, apa yang saya sampaikan disini hanya DASAR DASARnya saja. Semoga tip ini bermanfaat, selamat mencoba!
Ilmunya sangat bermanfaat
Thanks share ilmunya.. success terus..