Panduan Lengkap Cara Mengamankan Router Mikrotik

Mengamankan Router Mikrotik adalah langkah yang harus kita lakukan untuk melindungi Router dan juga jaringan komputer yang ada dibawahnya. Dalam postingan ini kita akan melakukan beberapa setingan dan konfigurasi untuk mengamankan Router Mikrotik, mulai dari mengganti username dan password sampai seting firewall basic untuk hardening Mikrotik.

Step by Step Mengamankan Router Mikrotik

Berikut adalah langkah – langkah yang dapat kita lakukan untuk mengamankan Router Mikrotik :

1. Ganti Default Username dan Password

2. Disable atau Ubah setingan pada IP – Services

Pada Mikrotik terdapat beberapa service seperti telnet, ssh, winbox dan lain sebagainya yang secara default dalam kondisi aktif dan terbuka (tanpa pengamanan) sehingga ada beberapa setingan yang harus kita ubah untuk mengamankan Router Mikrotik tersebut

  • Disable service yang tidak diperlukan
  • Ubah Default Port
  • Batasi akses ke router dari jaringan tertentu
  • Aktifkan Secure SSH

Aktifkan SSH strong crypto untuk koneksi SSH yang lebih aman dengan perintah :

/ip ssh set strong-crypto=yes

3. Disable atau Ubah Setingan Neighbors Discovery

Mikrotik Neighbor Discovery protocol digunakan untuk menampilkan dan mengenali router Mikrotik lain yang terdapat di jaringan, sehingga informasi seperti identity Router, MAC-Address dan IP-Address bisa kelihatan. Contohnya apabila kita menggunakan Winbox dan klik tab Neighbors seperti berikut:

Untuk alasan keamanan, maka disable fitur Neighbor Discovery tersebut pada semua interface, dengan perintah berikut:

/ip neighbor discovery-settings set discover-interface-list=none 

Apabila menghendaki Mikrotik masih bisa dilihat di jaringan lokan / LAN, maka pertama kita buat dulu Interface List seperti telah dijelaskan dalam postingan tentang perintah dasar Mikrotik sebelumnya, kemudian set Neighbor Discovery hanya pada interface LAN tersebut.

/ip neighbor discovery-settings set discover-interface-list=LAN

4. Disable atau Ubah Fitur MAC Server

Secara default Mikrotik mempunyai fitur MAC Server yang telah aktif yang memungkinkan Mikrotik masih bisa diremote lewat MAC Address-nya dengan menggunakan Winbox atau Telnet.

Jadi meskipun kita telah menon-aktifkan Neighbor Discovery kita masih bisa meremote Mikrotik asalkan mengetahui MAC Addressnya.

Berikut cara untuk men-disable mac-telnet services, mac-winbox services dan mac-ping services, sehingga Mikrotik hanya bisa diremote dengan menggunakan IP Address-nya saja:

Klik Tools – MAC Server, lalu klik MAC Telnet Server, pada Allowed Interface List pilih none, lakukan hal yang sama pada MAC Winbox Server dan uncheck MAC Ping Server seperti gambar dibawah:

Apabila menggunakan perintah Mikrotik CLI, maka command-nya adalah seperti berikut:

/tool mac-server set allowed-interface-list=none
/tool mac-server mac-winbox set allowed-interface-list=none 
/tool mac-server ping set enabled=no 
Mikrotik tidak bisa diremote via MAC Address

Apabila menghendaki Mikrotik masih bisa diremote lewat MAC Address pada jaringan lokal atau LAN, maka caranya sama seperti Neighbor Discovery yaitu interface list-nya kita pilih LAN seperti berikut :

/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

5. Disable Interface yang tidak digunakan

Langkah berikutnya untuk mengamankan Router Mikrotik adalah dengan men-disable Interface yang tidak digunakan, klik menu Interfaces dan disable tiap-tiap interface yang tidak digunakan seperti gambar berikut:

Apabila menggunakan perintah Mikotik CLI, command-nya kurang lebih seperti berikut :

interface disable ether3,ether4,ether5,wlan1

6. Disable Banwidth Server

Bandwidth Server digunakan untuk mengetes throughput (bandwidth aktual) antara 2 Router Mikrotik. Disable fitur ini agar Mikrotik kita tidak dimanfaatkan orang lain untuk melakukan pengetesan bandwidth yang akan menyebabkan bandwidth kita habis.

Untuk men-disable Banwidth Server lewat Winbox, klik Tools -> BTest Server, kemudian uncheck Enabled

Atau apabila menggunakan perintah mikrotik CLI, command-nya adalah sebagai berikut:

/tool bandwidth-server set enabled=no 

7. Disable Client Services yang tidak digunakan

Beberapa Client Services pada Mikrotik juga secara default berada dalam kondisi aktif, sehingga untuk Router yang sudah jalan sebaiknya di-disable, yaitu Mikrotik caching proxy, socks proxy, UPNP service dan Mikrotik dynamic name service atau ip cloud.

/ip proxy set enabled=no
/ip socks set enabled=no
/ip upnp set enabled=no
/ip cloud set ddns-enabled=no update-time=no

8. Disable atau Gunakan PIN pada LCD

Beberapa seri Mikrotik yang telah menggunakan LCD, secara default bisa melakukan setingan atau perintah langsung dari LCD tersebut. PIN yang dipergunakan juga masih standard yaitu 1234. Untuk keamanan kita bisa men-disable fitur LCD ini atau mengubahnya menjadi hanya mode Read Only saja atau bisa juga dengan mengganti PIN dengan yang baru.

9. Aktifkan Wireless Client Isolation

Untuk Router Mikrotik yang terdapat Interface Wireless, apabila digunakan sebagai Access Point (AP Bridge) maka sebaiknya Default Forward di uncheck, hal ini akan menyebabkan Client yang terhubung tidak bisa mengirimkan traffic satu sama lainnya.

10. Basic Firewall Rule untuk Mengamankan Router Mikrotik

Sesuai dengan namanya, firewall di Mikrotik berfungsi untuk mengamankan dan memfilter paket yang masuk dan yang melewati router. Kita bisa menggunakan basic firewall dibawah khususnya untuk mengamankan Router :

/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=input src-address-list=allowed_to_router
add action=accept chain=input protocol=icmp
add action=drop chain=input

/ip firewall address-list
add address=172.16.1.10-172.16.1.15 list=allowed_to_router

Rule tersebut akan memfilter new connection (established dan related connection diterima dan tidak diteruskan ke baris firewall berikutnya)) sehingga mengurangi beban pada router, membuat daftar alamat untuk alamat IP yang diizinkan untuk mengakses router dengan nama allowed_to_router yaitu IP Address dari 172.16.1.10 s/d 172.16.1.15 saja, tetap mengijinkan akses ICMP sehingga Mikrotik masih bisa di Ping dan akan men-drop semua koneksi yang lainnya.

11. Protect DNS dan Web Proxy

Pada router Mikrotik terdapat fitur untuk membuat router tersebut bertindak sebagai DNS Chache yang tujuannya adalah untuk mempercepat proses resolve Domain dari komputer Client (jaringan LAN).

Dengan mengaktifkan DNS Chace tanpa pengamanan, maka Mikrotik kita dapat digunakan oleh pihak lain sebagai DNS Resolver sehingga akan membebani router dan jaringan. Untuk mengamankan router mikrotik, disable fitur tersebut dengan cara meng-uncheck Allow Remote Requests.

/ip dns set allow-remote-requests=no

Apabila fitur DNS Cache dan Web Proxy diaktifkan, maka gunakan rule firewall berikut agar koneksi dari luar tidak bisa menggunakan router kita.

/ip firewall filter
add chain=input in-interface=ether1 protocol=udp dst-port=53 action=drop
add chain=input in-interface=ether1 protocol=tcp dst-port=53 action=drop
add chain=input in-interface=ether1 protocol=tcp dst-port=8080 action=drop

12. Menggunakan Firewall Rule untuk mengamankan Client

Untuk mengamankan komputer yang berada pada jaringan LAN bisa dengan menggunakan rule berikut:

/ip firewall filter
add action=fasttrack-connection chain=forward comment=FastTrack connection-state=established,related
add action=accept chain=forward comment="Established, Related"  connection-state=established,related
add action=drop chain=forward comment="Drop invalid" connection-state=invalid log=yes log-prefix=invalid
add action=drop chain=forward comment="Drop tries to reach not public addresses from LAN" dst-address-list=not_in_internet in-interface=bridge1 log=yes log-prefix=!public_from_LAN out-interface=!bridge1
add action=drop chain=forward comment="Drop incoming packets that are not NATted" connection-nat-state=!dstnat connection-state=new in-interface=ether1 log=yes log-prefix=!NAT
add action=drop chain=forward comment="Drop incoming from internet which is not public IP" in-interface=ether1 log=yes log-prefix=!public src-address-list=not_in_internet
add action=drop chain=forward comment="Drop packets from LAN that do not have LAN IP" in-interface=bridge1 log=yes log-prefix=LAN_!LAN src-address=!172.16.1.0/24

/ip firewall address-list
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=not_in_internet

12. Upgrade Router ke Versi Terbaru

13. Lakukan Backup System / Export Konfigurasi Mikrotik

Gunakan fitur backup dan export untuk menyimpan konfigurasi dari Router Mikrotik saat ini sehingga apabila suatu saat diperlukan kita tinggal merestore-nya saja.

/system backup save name=basic-config-051019
/export file=all-basic-config-051019

14. Monitoring Router Mikrotik

Ada beberapa cara untuk monitoring Router Mikrotik yang sudah berjalan, diantaranya adalah dengan mengaktifkan fitur Graph, melihat Log, cek Connections untuk melihat host lain yang sedang terkoneksi dengan Router atau bisa juga dengan menggunakan tool Torch.

Demikianlah beberapa setingan atau konfigurasi untuk mengamankan Mikrotik Router dan jangan lupa untuk mengamankan Router secara fisik, misalnya dengan menempatkan Router pada Box yang terkunci dan terlindung dari panas ruangan yang berlebihan.

sumber : https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router

Leave a Reply

Your email address will not be published. Required fields are marked *