Selasa, 31 Maret 2026

6. Keamanan Server & Hardening RouterOS

1. Menutup Celah Akses: Service Management

Secara default, MikroTik membiarkan banyak pintu (port) terbuka. Pintu-pintu yang tidak digunakan harus segera dikunci.

  • Pembersihan Servis: Buka menu /ip service. Matikan (disable) servis yang tidak diperlukan seperti:

    • telnet & ftp: Sangat tidak aman karena mengirim data tanpa enkripsi.

    • www: Jika Anda tidak menggunakan Webfig, matikan saja.

    • api: Matikan kecuali Anda menggunakan aplikasi billing eksternal.

  • Mengubah Port Standar: Jangan biarkan pintu Winbox di angka 8291. Hacker biasanya menggunakan scanner otomatis untuk mencari port ini. Ubah ke angka yang tidak umum, misalnya 22910.

  • Restriksi IP (Available From): Pada servis Winbox, isikan kolom Available From dengan IP lokal Anda atau IP VPN saja. Jadi, orang dari internet luar tidak akan bisa melihat layar login Winbox Anda meskipun mereka tahu port-nya.

2. Pengamanan User & Password (Identity Management)

Jangan pernah menggunakan user admin dengan password kosong atau "admin123".

  • Hapus User Admin: Buat user baru dengan nama yang unik (misal: Teknisi_Utama_2026), berikan akses full, lalu hapus user admin bawaan pabrik.

  • Kebijakan Password Kuat: Gunakan minimal 12 karakter yang terdiri dari kombinasi huruf besar, kecil, angka, dan simbol. MikroTik v7 memiliki enkripsi password yang lebih baik, jadi manfaatkanlah.

3. Firewall Filter: Strategi Bertahan (Input & Forward)

Firewall adalah jantung dari keamanan. Di blog Anda, jelaskan perbedaan antara Chain Input dan Chain Forward.

A. Melindungi Router (Chain Input)

Buatlah aturan untuk mematikan akses ke router dari arah luar (WAN):

  • Izinkan akses ICMP (Ping) hanya untuk monitoring.

  • Izinkan akses ke port Winbox hanya dari IP tepercaya.

  • Drop All: Tambahkan aturan di urutan paling bawah untuk membuang (drop) semua paket sisa yang masuk ke router dari interface luar.

B. Proteksi Brute Force (Automatic Blacklist)

Ajarkan pembaca cara membuat sistem "Penjara Otomatis" menggunakan Address List.

  • Jika ada IP yang mencoba login ke Winbox dan salah password sebanyak 3 kali dalam 1 menit, masukkan IP tersebut ke dalam daftar Blacklist_Hacker selama 7 hari.

  • Gunakan firewall untuk secara otomatis memblokir semua trafik dari IP yang ada di daftar Blacklist_Hacker tersebut.

4. Keamanan dari Dalam (Client Isolation)

Bahaya tidak hanya datang dari luar, tapi bisa juga dari pelanggan yang terkena virus.

  • Client Isolation: Pada Access Point atau OLT, pastikan fitur isolasi aktif agar pelanggan A tidak bisa melakukan "scanning" atau menyerang perangkat pelanggan B.

  • IP Scan Protection: Gunakan fitur IP Neighbors dan matikan di sisi interface yang mengarah ke pelanggan (Discovery Settings). Anda tidak ingin pelanggan bisa melihat tipe router yang Anda gunakan melalui fitur Neighbor.

5. Menghadapi Serangan DDoS & Port Scanning

Serangan DDoS (pembajakan bandwidth) bisa membuat router Anda restart terus-menerus karena CPU mencapai 100%.

  • TCP SynCookie: Aktifkan fitur ini di /ip settings untuk mencegah serangan SYN Flood.

  • Detect PSD: Gunakan fitur Port Scan Detection di Firewall Mangle untuk mendeteksi jika ada IP yang mencoba memindai pintu-pintu di router Anda, lalu blokir IP tersebut secara otomatis.

6. Update Rutin: RouterOS v7 Long-term

Di tahun 2026, kerentanan baru selalu ditemukan. Selalu ingatkan pembaca untuk:

  • Mengecek pembaruan di menu System -> Packages.

  • Gunakan versi Stable atau Long-term.

  • Setelah update RouterOS, jangan lupa update juga Routerboard Firmware di menu System -> Routerboard -> Upgrade.

7. Monitoring & Log (Forensik)

Jika terjadi pembobolan, Anda harus tahu lewat mana pencuri itu masuk.

  • Remote Logging: Kirim data log router Anda ke server eksternal atau ke bot Telegram. Jika router Anda di-reset paksa oleh penyusup, Anda tetap punya bukti riwayat aktivitas terakhir mereka (IP asal, waktu serangan).

By at

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)