Konfigurasi Dasar Mengamankan Router MikroTik

Bagi pengguna MikroTik RouterOS, termasuk Seri RouterBoard, CCR, x86, atau VPS MikroTik CHR, memiliki pemahaman tentang langkah-langkah dasar untuk mengamankan Router MikroTik Anda sangatlah penting.

Konfigurasi Dasar Mengamankan Router MikroTik

Firewall berfungsi sebagai perangkat untuk menginspeksi dan menentukan paket data yang diizinkan untuk masuk atau keluar dari suatu jaringan. Dengan kapabilitas ini, firewall memiliki peran penting dalam menjaga keamanan jaringan dari potensi serangan yang mungkin berasal dari luar jaringan (outside network). Firewall menerapkan penyaringan paket (packet filtering) dan dengan demikian memberikan fungsi keamanan yang digunakan untuk mengatur aliran data menuju, dari, dan melalui router. Sebagai contoh, firewall dapat berfungsi untuk melindungi jaringan lokal (LAN) dari potensi serangan yang berasal dari Internet. Selain menjaga keamanan jaringan, firewall juga digunakan untuk melindungi komputer pengguna atau host (host firewall).

Pengamanan Dasar Mikrotik RouterOS

1. Merubah User Default Mikrotik

Langkah pertama yang esensial dalam menjaga keamanan Router MikroTik adalah mengganti pengguna default MikroTik, yaitu admin. Kami tidak merekomendasikan kepada siapa pun untuk terus menggunakan pengguna admin ini, karena hal ini merupakan sasaran yang paling rentan bagi upaya peretasan pada Router MikroTik Anda.

Langkah awal adalah, pada menu di sebelah kiri Mikrotik RouterOS Anda, silahkan klik System > Users. Setelah Window User List terbuka, klik Icon + untuk membuat user baru pada Router Anda.

Isikan nama pengguna yang ingin Anda gunakan di kolom Nama, dan pilih FULL di bagian Grup Pengguna jika Anda ingin membuat pengguna dengan hak administrator. Selanjutnya, masukkan kata sandi yang kuat di kolom Kata Sandi di bawahnya. Terakhir, klik tombol OK.

System Users

Catatan: Jangan lupa untuk Hapus User default admin agar tidak bisa digunakan.

2. Disable Service / Layanan Yang Tidak di gunakan

Selanjutnya, mari kita melanjutkan dengan menonaktifkan layanan atau servis yang tidak digunakan pada perangkat MikroTik kita. Di menu sebelah kiri, klik IP > Services

Pilih layanan-layanan yang tidak digunakan, lalu klik ikon X untuk menonaktifkan layanan tersebut. Ketika layanan berada dalam status dinonaktifkan, warnanya akan berubah menjadi abu-abu.  Dalam situasi ini, kami akan menonaktifkan semua layanan kecuali Winbox. Ini karena kami hanya menggunakan Winbox sebagai cara untuk mengakses perangkat MikroTik tersebut.

Mikrotik Services

Setelah langkah tersebut, ubahlah Port Winbox dari 8291 menjadi port kustom sesuai preferensi Anda. Dalam contoh ini, kami memilih untuk menggantinya dengan Port 1994. Tetaplah mengingat untuk tidak menggunakan port dari 0 hingga 1024, karena rentang port ini sudah dipesan oleh layanan yang telah ditetapkan secara standar. Anda bisa memilih port di atas 1024, seperti contohnya 18291, dan sebaiknya hindari penggunaan port melebihi 65535 sebagaimana dijelaskan di https://en.wikipedia.org/wiki/Port_(computer_networking).

3. Buat Firewall Rules untuk Mengamankan Router dan Jaringan Anda

Misalkan jaringan pribadi kita adalah 192.168.0.0/24 dan antarmuka publik (WAN) adalah ether1. Kami akan mengonfigurasi firewall untuk memperbolehkan koneksi ke router hanya dari jaringan lokal kami dan menolak yang lainnya. Selain itu, kita akan memperbolehkan protokol ICMP pada semua antarmuka sehingga ping dari siapa pun di internet dapat mencapai router Anda.

/ip firewall filter
add chain=input connection-state=invalid action=drop comment="Drop Invalid connections"
add chain=input connection-state=established action=accept comment="Allow Established connections"
add chain=input protocol=icmp action=accept comment="Allow ICMP"
add chain=input src-address=192.168.0.0/24 action=accept in-interface=!ether1
add chain=input action=drop comment="Drop everything else"

/ip firewall filter
add chain=forward protocol=tcp connection-state=invalid action=drop comment="drop invalid connections"
add chain=forward connection-state=established action=accept comment="allow already established connections"
add chain=forward connection-state=related action=accept comment="allow related connections"

add chain=forward src-address=0.0.0.0/8 action=drop
add chain=forward dst-address=0.0.0.0/8 action=drop
add chain=forward src-address=127.0.0.0/8 action=drop
add chain=forward dst-address=127.0.0.0/8 action=drop
add chain=forward src-address=224.0.0.0/3 action=drop
add chain=forward dst-address=224.0.0.0/3 action=drop

add chain=forward protocol=tcp action=jump jump-target=tcp
add chain=forward protocol=udp action=jump jump-target=udp
add chain=forward protocol=icmp action=jump jump-target=icmp

add chain=tcp protocol=tcp dst-port=69 action=drop comment="deny TFTP" 
add chain=tcp protocol=tcp dst-port=111 action=drop comment="deny RPC portmapper"  
add chain=tcp protocol=tcp dst-port=135 action=drop comment="deny RPC portmapper"  
add chain=tcp protocol=tcp dst-port=137-139 action=drop comment="deny NBT"  
add chain=tcp protocol=tcp dst-port=445 action=drop comment="deny cifs"  
add chain=tcp protocol=tcp dst-port=2049 action=drop comment="deny NFS"  
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny NetBus"  
add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus"  
add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice"  
add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="deny DHCP"

add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP"
add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC portmapper"
add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC portmapper"
add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT"
add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS"
add chain=udp protocol=udp dst-port=3133 action=drop comment="deny BackOriffice"

add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="echo reply"
add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="net unreachable"
add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="host unreachable"
add chain=icmp protocol=icmp icmp-options=3:4 action=accept comment="host unreachable fragmentation required"
add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="allow echo request"
add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="allow time exceed"  
add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="allow parameter bad"  
add chain=icmp action=drop comment="deny all other types"

Pastikan untuk menyesuaikan aturan-aturan ini dengan kebutuhan dan konfigurasi jaringan Anda. Selain itu, pastikan juga memiliki pengetahuan yang memadai tentang pengaturan Firewall dan MikroTik sebelum menerapkan perubahan pada konfigurasi Anda.

Referensi

  1. https://citraweb.com/artikel/263/
  2. https://help.mikrotik.com/docs/display/ROS/Securing+your+router
  3. https://wi-learning.ac.id/index.php/blog-with-left-sidebar/119-5-cara-wajib-untuk-mengamankan-router-mikrotik
  4. https://sistem-komputer-s1.stekom.ac.id/informasi/baca/Mengamankan-Router-MikroTik-dengan-Port-Knocking/5a4d1fe0248df9a78fad8f42c9cb6869270cfc56