Home / / 5 Cara Mengamankan Router Mikrotik

5 Cara Mengamankan Router Mikrotik

,

 


Assalamualaikum, Wr.Wb
Gimana kabarnya semua bro sist, semoga selalu dalam keadaan sehat walafiat ya, Aamiin. Sebagai admin jaringan kita harus memperhatikan keamanan jaringan kita, jangan sampai kita lupa dan lengah dalam memproteksi perangkat jaringan dari orang-orang jahat yang ingin membobol jaringan kita dan mengambil keuntungan untuk dirinya sendiri.

Pada artikel kali ini kita akan membahas beberapa cara untuk mengamankan perangkat jaringan dalam hal ini router mikrotik.
Oke langsung disimak, berikut beberapa cara untuk mengamankan router mikrotik :

1. Ubah Username dan Password Mikrotik
Secara default mikrotik mempunyai akses username : admin, dan password: (blank). Jika kita tidak merubah username bawaan ini mungkin akan sangat mudah orang lain untuk masuk ke router mikrotik kita. Untuk itu kita punya opsi mengubah username admin tersebut ataupun membuat userame baru yang kita inginkan. Dalam membuat password usahakan agar mem-buat password yang sulit untuk untuk diketahui orang lain, jangan menggunakan password-password mudah seperti, admin, rahasia, 12345 dan sebagainya.

untuk setting user tersebut kalian bisa masuk ke menu system>user.


Sedikit tambahan, jika kita membuat user maka tertera group (hak akses) user tersebut, kita bisa atur sesuai dengan kebutuhan kita. Berikut penjelasan mengenai group user tersebut.

  • full    : 
    User dapat bisa membaca dan melakukan semua konfigurasi router
  • read : 
    User hanya bisa membaca, tidak bisa melakukan konfigurasi router
  • write : 
    User dapat membaca dan melakukan semua konfigurasi router namun tidak bisa mengubah atau menghapus user lain yang ada di router

2. Ubah Port Service yang Tidak Digunakan
Cara kedua kita bisa mengubah default port service dan menonaktifkan service yang tidak kita gunakan. Terlihat sepele namun sangat penting sebenarnya untuk keamanan router mikrotik kita, matikan beberapa service yang tidak kita gunakan, dan ubah port service yang kita gunakan untuk me-remote router.


Kita juga bisa membatasi ip address tertentu yang boleh mengakses ke router mikrotik menggunakan port service tersebut. contoh dibawah ini hanya range ip address 172.17.17.1 - 172.17.17.254 saja yang bisa mengakses router menggunakan winbox.


3. Non-aktifkan Neighbors Discovery
Mikrotik memiliki protocol yang dapat melakukan broadcast domain melalui layer 2 sehingga jika router berada di jaringan layer 2 (hub, switch dsb)  yang sama, maka router dapat saling mengetahui informasi router satu sama lain seperti Identity Router, MAC Address, IP Address, version router dsb. Agar router tidak bisa saling membaca informasi tersebut, kita bisa disable interface yang kita ingin di menu ip>neighbors.


4. Setting Firewall Filter Mikrotik
Selanjutnya kita bisa set firewall untuk akses service mikrotik kita dan mencegah terjadinya DNS Flooding. Jika kalian pernah menyadari traffic jaringan kalian tinggi padahal tidak ada pemakaian yang berlebih dari situ kalian bisa cek mungkin saja jaringan kalian sudah terkena Flooding. 

Untuk blok aksesnya kita buat rule seperti ini:



Kita buat juga untuk port udpnya..



Selain itu, kita juga bisa membuat firewall untuk drop scanner. Ketika ada orang yang melakukan port scanning ke router kita maka akan kita masukkan ip address mereka ke list "port scanner"

rule nya seperti ini:



/ip firewall filter add action=add-src-to-address-list address-list=port_scanners \ address-list-timeout=2w chain=input comment=\ "Add TCP Port Scanners to List" protocol=tcp psd=21,3s,3,1 add action=add-src-to-address-list address-list=port_scanners \ address-list-timeout=2w chain=input comment="TCP FIN Stealth scan" \ protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list=port_scanners \ address-list-timeout=2w chain=input comment="TCP SYN/FIN scan" protocol=\ tcp tcp-flags=fin,syn add action=add-src-to-address-list address-list=port_scanners \ address-list-timeout=2w chain=input comment="TCP SYN/RST scan" protocol=\ tcp tcp-flags=syn,rst add action=add-src-to-address-list address-list=port_scanners \ address-list-timeout=2w chain=input comment="TCP FIN/PSH/URG scan" \ protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack add action=add-src-to-address-list address-list=port_scanners \ address-list-timeout=2w chain=input comment="ALL/ALL TCP Scan" protocol=\ tcp tcp-flags=fin,syn,rst,psh,ack,urg add action=add-src-to-address-list address-list=port_scanners \ address-list-timeout=2w chain=input comment="TCP NULL scan" protocol=tcp \ tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg add action=drop chain=input comment="Drop All Port Scanners" \ src-address-list=port_scanners

Berikut hasilnya, ip address orang yang ingin melakukan port scanning ke router mikrotik kita, maka akan masuk ke dalam address list yang telah kita buat tadi.


5. Rutin Backup Konfigurasi Router
Langkah terkahir untuk mengamankan router mikrotik kita adalah, kita harus biasakan rutin membackup konfigurasi agar kedepannya jika terjadi hal-hal yang tidak diinginkan seperti kerusakan hardware kita sudah siap siaga karna memiliki file backup konfigurasi. Lakukan backup minimal 2 minggu sekali atau 1 bulan sekali dan dilakukan rutin tiap bulannya.



Ok sampe sini dulu artikel ini, kita akan lanjut ke artikel-artikel yang lain. Semoga bisa bermanfaat untuk kalian ya bro sist.

See you

No comments:

Subscribe to: Post Comments ( Atom )
Powered by Blogger.