Solusi Mengamankan Mikrotik


Robi Rusman | 2017-12-21, 16:50:18 WIB | 842 Views

Perangkat dalam internet memiliki IP public mengundang penasaran pada sebagian orang. IP public merupakan alamat inter protocol/IP yang terdaftar secara Internasional dan bisa di akses dari mana saja.

Banyak tool yang digunakan para hacker untuk mengetahui port yang terbuka, misalnya beberapa port yang umum diincar adalah FTP/21, SSH/22, atau mungkin kalau di mikrotik port 80 yang secara default digunakan untuk login via web. Tool yang mereka gunakan biasanya IP scanner, Port scanner, dsb.

Nah, disini saya akan mencoba memberikan script untuk firewall mikrotik agar mikrotik aman dari kejahilan abang-abang yang ingin tes ilmunya sehingga trafik di jaringan kita tidak down. Jika yang mencoba cuma sekali atau dua kali mungkin tidak terlalu bermasalah, tetapi jika berulang-ulang kali ini sangat berbahaya dan akan mengganggu trafik internet kita. Ada beberapa cara yang bisa kita lakukan dalam mengatasi hal tersebut, tapi ini tidak 100% ampuh karena setiap sistem pasti memiliki kelemahan, dan kalau tidak kita ikuti update tekhnologi terbaru pasti ujung-ujungnya juga jebol.

  1. Menutup port secara penuh (IP > service) Disable. Misalnya menutup port di router: telnet, ftp, ssh, www, www-ssl, dan hanya port untuk winbox yang terbuka.

    /ip service

    set telnet address=0.0.0.0/0 disabled=yes port=23

    set ftp address=0.0.0.0/0 disabled=yes port=21

    set www address=0.0.0.0/0 disabled=yes port=80

    set ssh address=0.0.0.0/0 disabled=yes port=22

    set www-ssl address=0.0.0.0/0 disabled=yes port=443

    set api address=0.0.0.0/0 disabled=yes port=8728

    set winbox address=0.0.0.0/0 disabled=no port=8291


  2. Membatasi Akses port untuk OP tertentu saja. Misalnya: Telnet, ftp, ssh, www, www-ssl, api dan hanya winbox hanya bisa diakses dari network lokal. Misalkan IP network lokal anda 192.168.0.0/24.

    /ip service

    set telnet address=192.168.0.0/24 disabled=no port=23

    set ftp address=192.168.0.0/24 disabled=no port=21

    set www address=192.168.0.0/24 disabled=no port=80

    set ssh address=192.168.0.0/24 disabled=no port=22

    set www-ss address=192.168.0.0/24 disabled=no port=443

    set api address=192.168.0.0/24 disabled=no port=8728

    set winbox addres=192.168.0.0/24 disabled=no port=8291


  3. Mendrop IP yang diduga usil dan membahayakan. Misalnya kita mendrop/block IP 192.168.76.100 agar tidak bisa masuk melalui port 22 (SSH).

    /ip firewall filter

    add action=drop chain=input comment="" disable=no dst-port=22 protocol=tcp src-address=192.168.76.100


  4. Mengganti service port, Misalnya Web admin mikrotik diganti dari port 80 ke port 3001.

    /ip service

    set www address=0.0.0.0/0 disabled=no port=3001

    Artinya: set www (mikrotik) bisa diakses dari mana saja (0.0.0.0/0), statusnya aktif (disable=no) dan menggunakan port 3001. Jadi kalau mau login ke Mikrotik via Web, termasuk melihat grafik masuk ke http://IP_ROUTER:3001 (contoh: http://192.168.0.1:3001).

Sebenarnya masih banyak fitur-fitur mikrotik yang lainnya untuk mengamankan jaringan kita dari ancaman para hacker yang ingin iseng. Catatan: Silahkan copas script diatas. Jangan lupa di pahami dulu dan di check mungkin ada script yang tertinggal satu huruf yang membuat script tidak berjalan. Maklum ngetiknya dalam keadaan ngantuk.. hehehe.. "Happy sharing and learning !!"



  Post Terkait


Mengatasi Windows 7 Gagal Update dengan Error 80248015

Mengatasi Windows 7 Gagal Update dengan Error 80248015

Ada sedikit kekacauan yang dilakukan Microsoft...

Leave comment







kami pasti memberikan pelayanan yang terbaik