02 Juni 2018

6 Cara Proteksi MikroTik Router Anda

Sebagai admin jaringan hal pertama adalah melakukan proteksi router mikrotik yang kita manage, dengan menutup celah-celah yang mungkin saja bisa di jadikan "celah serangan" oleh user yang tidak bertanggung jawab.

Cara Proteksi & Mengamankan MikroTik Router


Berikut beberapa cara mem-proteksi router MikroTik Anda :

  1. Kredensial, mengganti username password default admin. 
  2. Non-aktifkan Beberapa Services.
  3. Non-Aktifkan Bandwidth Test Server.
  4. Non-aktifkan fitur MAC Server.
  5. Non-Aktifkan Neighbors Discovery.
  6. Non-aktifkan fitur RoMON.
  7. Update versi RouterOS.

Kredensial

Hal pertama yang anda bisa lakukan untuk mengamankan router sebelum router anda ter ekpos ke cloud internet adalah mengganti username & password default admin Mikrotik ROS anda. Sebaiknya anda mengganti juga username default "admin" menjadi username lain.

/user set 0 password=passwordgw
/user set 0 name=gwadmin comment="Admin Account @Modalsemangat.Com Networks"

Dan juga menambahkan masing2 user administrator agar user admin Anda masing-masing mempunyai akun sendiri untuk mengakses router Anda.

/user add name=adam password=rahasia group=full comment="Adam @Modalsemangat.Com Networks"

Non-aktifkan Services

Secara default mikrotik router menjalankan beberapa protokol yang tidak terenkripsi (Telnet, FTP, HTTP, SOCKS) dan services yang tidak diperlukan. Yang bisa digunakan untuk "Brute-force attack" pada beberapa services tersebut setelah router Anda ter ekpos di cloud internet.

Brute Force Login Mikrotik

Jika dalam jaringan Anda memang tidak menggunakan basic service tersebut, lebih baik menon-aktifkannya.

/ip service disable [find name=telnet]
/ip service disable [find name=ftp]
/ip service disable [find name=www]
/ip service disable [find name=www-ssl]
/ip service disable [find name=api]
/ip service disable [find name=api-ssl]
/ip service disable [find name=ssh]
/ip socks set enabled=no

Perintah diatas menon-akifkan basic services Telnet, FTP, HTTP, SSH dan SOCK yang secara default aktif.

Non-Aktifkan Bandwidth Test Server

Fitur yang berfungsi untuk test koneksi untuk generate/menerima trafik test badwidth di mikrotik. Yang bisa membuat bandwidth jaringan habis dan spike load CPU routerboard Anda mentok 100%.

/tool bandwidth-server set enabled=no

Non-aktifkan fitur MAC Server

Baiknya menon-aktifkan juga MAC Telnet dan MAC Winbox Server. Yang dapat memberikan admin jaringan mengakses router tanpa IP Address, secara default aktif pada semua interface - termasuk interface WAN/Internet. User dalam jaringan lokal Anda dapat terhubung ke router menggunakan MAC Service tersebut, dan akses via MAC Address harus dibatasi dalam jaringan internal dan external Anda.

/tool mac-server set [find] disabled=yes
/tool mac-server mac-winbox set [find] disabled=yes
/tool mac-server ping set enabled=no

Kita bisa mengaktifkan hanya pada salah satu interface yg dijadikan sebagai "management infraces"

Non-Aktifkan Neighbors Discovery

Protocol mikrotik yang dapat membuat perangkat mikrotik saling menemukan di jaringan layer yang sama. Seperti anda menggunakan "Neighbors" di winbox Anda yang memperlihatkan informasi router seperti identity Router, MAC-Address, IP-Address dan versi ROS. Ada baiknya anda menon-aktifkan "Neighbors Discovery" di interface yang terhubung dengan public user (WAN, client hotspot, client warnet)

Non-Aktifkan Neighbors Discovery MikroTik


Non-aktifkan fitur RoMON

Untuk fitur RoMON anda juga bisa menonaktifkan fitur tersebut jika Anda tidak menggunakan "device management" untuk mengurangi celah serangan.

/tool romon set enabled=no

Update versi RouterOS


Dengan meng-update versi RouterOS mikrotik anda, dapat memperbaiki bugs-bugs dan celah keamanan di versi sebelumnya.



Demikian dah cara awal mem-proteksi router MikroTik Anda, tingkat lanjut Anda bisa konfigurasi firewall untuk pengamanan & proteksi jaringan mikrotik Anda dengan "Intrusion Detection + Prevention System" untuk MikroTik RouterOS di artikel saya berikutnya.