Pada artikel ini saya akan membahas langkah preventif untuk mengamankan jaringan mikrotik melalui beberapa konfigurasi. Hal ini sangat penting untuk dipahami terutama pada router mikrotik terhubung langsung di jaringan internet yang menggunakan IP publik, karena akan lebih riskan terhadap terhadap ancaman ataupun serangan dari luar. Namun, tidak menutup kemungkinan bahwa serangan juga terjadi melalui jaringan local.
Sebelum masuk ke topik pembahasan dalam mengamankan jaringan mikrotik, terlebih dahulu saya akan menjelaskan pengertian, jenis, serta fungsi masing-masing tiap port.
Pengertian Port
Port merupakan sekumpulan angka mulai 1 – 65536 yang telah ditetapkan secara default pada sebuah service jaringan. Port ini diatur oleh sebuah organisasi dunia yang bernama IANA The Internet Assigned Numbers Authority.
Untuk saat ini, Port terdapat 3 klasifikasi yaitu :
- Well-Known Port
- Registered Port
- Dynamically Assigned Port
Sedangkan Port-port yang ada pada perangkat mikrotik merupakan kombinasi dari 3 jenis port tersebut.
Daftar services port pada mikrotik
Secara default, terdapat 48 port yang terdapat pada mikrotik diantaranya :
- 20 /tcp FTP data connection
- 21 /tcp FTP control connection
- 22 /tcp Secure Shell (SSH) remote Login protocol
- 23 /tcp Telnet protocol
- 53 /tcp
- 53 /udp DNS
- 67 /udp Bootstrap protocol or DHCP Server
- 68 /udp Bootstrap protocol or DHCP Client
- 80 /tcp World Wide Web HTTP
- 123 /udp Network Time Protocol ( NTP)
- 161 /udp Simple Network Management Protocol (SNMP)
- 179 /tcp Border Gateway Protocol ( BGP)
- 443 /tcp Secure Socket Layer (SSL) encrypted HTTP
- 500 /udp Internet Key Exchange (IKE) protocol
- 520 /udp
- 521 /udp RIP routing protocol
- 546 /udp DHCPv6 Client message
- 547 /udp DHCPv6 Server message
- 646 /tcp LDP transport session
- 646 /udp LDP hello protocol
- 1080 /tcp SOCKS proxy protocol
- 1698 /udp 1699 /udp RSVP TE Tunnels
- 1701 /udp Layer 2 Tunnel Protocol ( L2TP)
- 1723 /tcp Point-To-Point Tunneling Protocol ( PPTP)
- 1900 /udp
- 2828 /tcp Universal Plug and Play ( uPnP)
- 1966 /udp MME originator message traffic
- 1966 /tcp MME gateway protocol
- 2000 /tcp Bandwidth test server
- 5246,5247 /udp CAPsMAN
- 5678 /udp Mikrotik Neighbor Discovery Protocol
- 6343 /tcp Default OpenFlow port
- 8080 /tcp HTTP Web Proxy
- 8291 /tcp Winbox
- 8728 /tcp API
- 8729 /tcp API-SSL
- 20561 /udp MAC winbox
- /1 ICMP
- /2 Multicast | IGMP
- /4 IPIP encapsulation
- /41 IPv6 (encapsulation)
- /46 RSVP TE tunnels
- /47 General Routing Encapsulation (GRE) – used for PPTP and EoIP tunnels
- /50 Encapsulating Security Payload for IPv4 (ESP)
- /51 Authentication Header for IPv4 (AH)
- /89 OSPF routing protocol
- /103 Multicast | PIM
- /112 VRRP
Services Port Mikrotik
Sedangkan pada menu yang di jalankan oleh mikrotik, ada 8 port yang bisa anda lihat di IP > Services.
Diantara ke 8 port default mikrotik tersebut, biasanya yang sering dipakai hanya 4 port saja yaitu SSH, Telnet, Winbox dan WWW.
Berikut ini merupakan fungsi masing-masing tiap port yang terdapat dimikrotik :
- API (Application Programmable Interface) : Service port yang digunakan 8728, berfungsi untuk mengizinkan seorang pengguna agar dapat menjalankan sebuah aplikasi yang dapat berkomunikasi dengan router yang disebut juga dengan (custom software)
- API-SSL : Service port yang digunakan 8729. Fungsinya hampir sama seperti API, tapi tingkat keamanannya lebih tinggi karena menggunakan SSL Certificate.
- FTP (File Transfer Protocol) : Port yang digunakan 21. Service ini berguna untuk keperluan Upload dan Download data pada router. Misalnya saat melakukan file backup mikrotik.
- SSH : Port yang di gunakan 22. Service yang di gunakan untuk meremote sebuah server / router secara console atau command line.
- Telnet : Port yang di gunakan 23. Fungsinya hampir sama seperti SSH, biasa digunakan untuk mengakses mikrotik pada sistem windows melalui program CMD. Namun telnet ini mempunyai tingkat keamanan yang lebih rendah..
- Winbox : Port yang di gunakan 8291. Service yang biasa diguanakan untuk melakukan konfigurasi mikrotik menggunakan MAC Address atau protokol IP.
- WWW (World Wide Web) : Port HTTP yang di gunakan 80. Pada service ini biasanya digunakan untuk mengakses mikrotik menggunakan web browser
- WWW-SSL : Port yang di gunakan 443. Fungsinya sama seperti (www), tapi menggunakan ssl certificate sehingga mempunyai keamanan yang lebih tinggi.
Cara Mengamankan Jaringan MikroTik
Setelah mengetahui pengertian, jenis, serta fungsi masing-masing tipa port, maka selanjutnya kita akan membahas cara mengamankan jaringan mikrotik dari ancaman, serangan apapun dari luar, ataupun penyusup yang ingin melakukan login pada router mikrotik anda. Ada beberapa cara yang dapat dilakukan dalam mengamankan jaringan mikrotik, diantaranya :
- Ubah Password Admin
- Update RouterOS mikrotik
- Mengamankan MikroTik Dengan Service Port
- Mengamankan MikroTik Dengan Service Users
- Non-Aktifkan MNDP
- Mengamankan MikroTik Melalui Firewall
Ubah Password Admin
Langkah pertama yang dapat anda lakukan dalam mengamankan jaringan mikrotik adalah dengan merubah Password admin. Adapun caranya sebagai berikut :
- Pergi ke menu System > Password
- Masukkan password lama pada bagian ”Old Password”
- Buat password baru dibagian ”New Password”
- Pada bagian ”Confirm Password” isi dengan password baru anda
- Terakhir klik ”Password”
Update RouterOS mikrotik
Dengan melakukan update RouterOS mikrotik bertujuan untuk mendapatkan fitur terbaru, performa jadi lebih baik dan tentunya dapat mengamankan jaringan mikrotik. Hal ini karena jika RouterOS mikrotik telah diupgrade akan memperbaiki kelemahan, bug serta keamanan dari perangkat MikroTik.
Adapun cara melakukan update routerOS mikrotik telah saya buatkan artikel terpisah yang dapat anda baca melalui link dibawah ini :
Upgrade dan Downgrade RouterOS Mikrotik
Mengamankan Jaringan MikroTik Dengan Service Port
Cara mengamankan jaringan mikrotik pada tahap ini kita akan memanfaatkan fitur service yang terdapat di menu IP > Services. Ada 3 cara yang dapat anda lakukan yaitu :
- Menonaktifkan Port
- Menentukan Access Control List
- Mengubah Port Default
Mari kita bahas satu persatu …
Menonaktifkan Port
Langkah pertama yang dapat anda lakukan untuk mengamankan jaringan mikrotik adalah dengan menonaktifkan service port yang tidak di gunakan sehingga orang tidak akan bisa mencoba mengakses router tersebut. Adapun langkah-langkahnya adalah sebagai berikut :
- Buka menu IP > Services.
- Klik port yang akan di nonaktifkan. (misalnya WWW-SSL)
- Setelah itu klik tanda X
- Untuk mengaktifkanya kembali tinggal klik tanda check list biru.
Menentukan Access Control List
Selain menonaktifkan port, kita juga dapat mengatur siapa saja yang dapat mengakses router berdasarkan IP komputer. Langkah ini dapat lakukan melalui Avaliable Form.
Caranya melakukan Avaliable Form untuk mengamankan jaringan mikrotik adalah sebagai berikut :
- Buka menu IP > Services.
- Klik dua kali pada port yang di inginkan. Contoh : SSH
- Pada kolom Avaliable Form, isi dengan IP user yang di izinkan untuk mengakses router via SSH
- Terakhir, klik OK.
Mengubah Port Default
Selain menonaktifkan port, kita juga dapat mengubah default port yang di gunakan dalam Dalam mengamankan jaringan mikrotik. Cara ini lebih dianjurkan jika terdapat port tersebut masih di gunakan. Adapun langkah-langkahnya adalah sebagai berikut :
- Buka menu IP > Services.
- Klik dua kali pada port yang akan di ubah,
- Ketikkan port berupa angka yang akan di gunakan sebagai penggantinya,
- Terakhir klik OK.
Mengamankan Jaringan MikroTik Dengan Service Users
Selain dengan service port, kita juga dapat mengamankan jaringan mikrotik dengan memanfaatkan fitur users yang terdapat di menu System > User. ada 2 cara yang dapat anda lakukan yaitu :
- Allowed address
- Group Policy
Langkah-langkahnya akan saya jabarkan sebagai berikut :
Allowed address
Sebuah service yang digunakan dalam menentukan user untuk mengizinkan melakukan remote router melalui jaringan yang diinginkan. Misalnya, seorang teknisi hanya dapat mengakses router melalui jaringan local saja dan tidak diizinkan melalui jaringan publik
Dalam mengamankan jaringan mikrotik, maka kita juga perlu melakukan mengkonfigurasi Allowed address ini. Adapun cara melakukan mengkonfigurasi allow addres pada mikrotik yaitu sebagai berikut :
- Buka menu System > User > Tab User.
- Lalu klik tanda ”+”
- Pada bagian Allowed address, isi dengan IP address atau Network Addresss.
- Masukkan password jika diperlukan
Apabila kita isi dengan ip address, maka user hanya bisa login ketika menggunakan ip address tertentu, namun jika kita isi network address, user bisa digunakan pada segmen IP address tertentu.
Group Policy
Group Policy adalah sebuah service yang digunakan untuk mengatur keamanan dan beberapa kebijakan lainnya. Dalam mengamankan jaringan mikrotik, maka kita juga perlu melakukan mengkonfigurasi group Policy ini.
Misalnya seorang teknisi hanya memiliki hak akses untuk melakukan monitoring, namun tidak memiliki hak akses secara full untuk route karena hak akses ini hanya dimiliki oleh seorang admin jaringan.
Untuk melakukan mengkonfigurasi group Policy pada mikrotik yaitu masuk ke menu System > User > Tab Group.
Ada beberapa opsi yang dapat anda pilih berdasarkan keterangan di bawah ini:
- Local : Mengijinkan user login via local console (keyboard, monitor)
- Telnet : Mengijinkan user login secara remote via telnet
- SSH : Mengijinkan user login secara remote via secure shell protocol
- FTP : Mengijinkan hak penuh login via FTP, termasuk transfer file dari dan menuju router. User dengan kebijakan inimemiliki hak read, write, dan menghapus files.
- Reboot : Mengijinkan user me-restart router.
- Read : Mengijinkan untuk melihat Konfigurasi router.
- Write : Mengijinkan untuk melakukan konfigurasi router, kecuali user management. Policy ini tidak mengijinkan user untuk membaca konfigurasi router, user yang diberikan policy write ini juga disarankan juga diberikan policy read.
- Policy : membemberikan hak untuk management user.
- Test : Memberikan hak untuk menjalankan ping, traceroute, bandwidth-test, wireless scan, sniffer, snooper dan test commands lainnya.
- Web : Memberikan hak untuk remote router via WebBox
- Winbox : Memberikan hak untuk remote router via WinBox
- Password : Memberikan hak untuk mengubah password
- Sensitive : Memberikan hak untuk melihat informasi sensitif router, misal secret radius, authentication-key, dll.
- API : Memberikan hak untuk remote router via API.
- Sniff : Memberikan hak untuk menggunakan tool packet sniffer
Non-Aktifkan MNDP
MikroTik Neighbor Discovery Protocol atau yang disingkat dengan MNDP merupakan layer 2 broadcast domain yang mengizinkan perangkat yang support MNDP atau CDP agar saling bertemu. Fitur ini berguna untuk melakukan scan dan menunjukkan bahwa terdapat router MikroTik pada jaringan yang sedang terhubung.
Misalnya, saat anda ingin melakukan remote router mikrotik melalui winbox, maka akan terlihat mac address dari semua router yang terhubung ke jaringan. Service MNDP dapat dilihat di menu IP > Neighbors.
Namun fitur ini juga dapat disalah gunakan sehingga kita perlu Non-Aktifkan fitur MNDP ini untuk mengamankan jaringan mikrotik anda. Adapun untuk mematikan fitur Neighbors Discovery ini yaitu sebagai berikut :
- Masuk ke menu IP > Neighbors
- lalu ke Tab “Discovery setting”
- Pada bagian interace pilih “none” dan hilangkan tanda seru
- Terakhir klik Apply dan OK.
Dengan ini maka router tidak akan di temukan saat di lakukan scan terhadap jaringan yang melewati interface tersebut.
Mengamankan Jaringan Mikrotik Melalui Firewall
Langkah terakhir dalam mengamankan jaringan mikrotik adalah melalui firewall. Kita dapat melakukan block pada port yang rawan dan mengecualikan IP local agar tetap dapat mengakses router mikrotik. Adapun caranya adalah sebagai berikut :
- Masuk ke menu IP > Firewall > Tab Filter Rules,
- Klik simbol “+” untuk menambahkan sebuah rule
- Pada tab ”General” isi dengan chain “input”
- Lalu isi ”protocol” dan ”dst port” dengan port yang diinginkan.
- Setelah itu pindah ke tab ”action” lalu pilih ”drop”
Jika perlu tambahkan juga IP pengecualian, sehingga IP tersebut diizinkan untuk mengakses port yang telah diblok.
Penutup
Begitulah beberapa konfigurasi dalam mengamankan jaringan mikrotik dari ancaman, serangan apapun dari luar, ataupun penyusup yang ingin melakukan login pada router mikrotik anda.
Walaupun masih banyak cara yang belum saya bahas, namun dengan beberapa konfigurasi diatas sudah cukup membantu dalam memberikan keamanan pada jaringan mikrotik anda.
Sekian untuk artikel kali ini, semoga mudah dipahami dan bermanfaat bagi kita semua. Jangan lupa share artikel ini dan follow akun kami di media lainnya agar tidak ketinggalan informasi dan tutorial yang tentunya akan sangat bermanfaat. Terima kasih