Membuat Proteksi Pada Router Mirkotik

Setelah banyak melakukan konfigurasi pada router mikrotik, ada baiknya untuk memproteksi agar router dapat berjalan dengan aman tanpa ada banyak serangan yang mencoba untuk merusak dari sebuah konfigurasi yang telah anda buat. Kali ini akan berbagi tips terkait mikrotik security, ada banyak hal yang perlu kita sadari bahwa dengan fitur default mikrotik jika sudah di tahap production memiliki banyak kelemahan, sehingga mudah dibobol masuk oleh orang yang tidak bertanggung jawab.

Pertama, IP-Services. Penggunaan  IP Services ini banyak dilakukan untuk remote router mikrotik, alangkah baiknya untuk privillage nya juga diatur sesuai kebutuhan, misalnya disini saya buat untuk Access API mikrotik hanya dari IP Public yang saya punya dan selain dari ip public yang saya daftarkan tidak dapat terhubung ke API mikrotik saya. ssh dan telnet saya rubah default port nya dan bisa diakses darimanapun, winbox hanya saya aktifkan dari IP LAN saja dan selain itu saya disable karena tidak begitu intents digunakan.

IP Services
IP – Services

Kedua, IP-Neighbors. Disable semua discovery interface yang tidak diperlukan. Disini saya cuma mengaktifkan dari interface Bridge2-4 karena untuk kepentingan remote winbox via neighbor discovery.

Neighbors list
IP – Neighbors

Ketiga, Tool-BTest Server. Secara default BTest Server pada mikrotik ini aktif (enable), sekali lagi jika ini tidak diperlukan lebih baik di non-aktifkan (disable).

BTest Server
Tool – BTest Server

Keempat, System-Users. Pada users ini anda dapat masuk ke router untuk melakukan konfigurasi pada router tersebut, sebaiknya dibedakan untuk masing-masing user berdasarkan group nya. Misal group A hanya bisa Read sedangkan group B bisa Write and Read.

System Users
System – Users

Kelima, NAT Protection. Untuk menyembunyikan IP Address Local access keluar router (internet) sebaiknya aktifkan NAT dengan action masquerade. Jadi hanya akan terbaca oleh host tujuan bahwa yang request adalah dari IP Wan si Router.

[khusni@B x x x x] > ip firewall nat add chain=srcnat out-interface=ether1-ID2 action=masquerade 

Keenam, IP-Firewall-Filter Rules. Dalam mikrotik firewall filter memiliki 3 jenis pilihan chain yaitu input, output dan forward. Chain Input didedikasikan untuk trafik dengan tujuan ke ip router mikrotik itu sendiri, Chain Output diterapkan untuk trafik yang keluar dari router mikrotik dan Chain Forward digunakan untuk proses paket data yang melewati router baik koneksi dari local ke public maupun dari public ke local tanpa ada proses di dalam router (hanya lewat). Sedangkan untuk action dari filter rules dalam mikrotik ada 10 macam action, diantaranya :
accept – paket diterima router dan paket tidak akan diteruskan ke rule firewall berikutnya
add-dst-to-address-list – menambahkan ip address tujuan ke list address router sesuai klasifikasinya
add-src-to-address-list – menambahkan source ip address ke list address router sesuai klasifikasinya
drop – paket akan di stop oleh router
jump – paket akan di filter lagi ke filter selanjutnya
log – ketika paket datang, akan ada informasi di log terkait kedatangan paketnya
passthrough – mengabaikan paket yang masuk di filter ini
reject – paket akan di stop oleh router dan router akan mengirim ICMP reject
return – akan kembali ke filter rule yang dituju pada filter rule yang telah dibuat diatasnya
tarpit – captures and holds TCP connections (replies with SYN/ACK to the inbound TCP SYN packet)

Ekseskusi firewall filter ini akan di lakukan dari rule paling atas ke bawah, jadi harus cerpat bagaimana penempatan rule yang terbaik dan efisien untuk firewall anda.

Contoh : Admin akan membatasi client di jaringan LAN untuk mengirim paket ICMP ke router.

[khusni@B x x x x] > ip firewall filter add chain=input action=reject reject-with=icmp-host-prohibited protocol=icmp 
in-interface=Hotspot

Hasilnya seperti berikut :

C:\Users\khusni_nadzif>ping 192.168.100.1

Pinging 192.168.100.1 with 32 bytes of data:
Reply from 192.168.100.1: Destination host unreachable.
Reply from 192.168.100.1: Destination host unreachable.
Reply from 192.168.100.1: Destination host unreachable.
Reply from 192.168.100.1: Destination host unreachable.

Ping statistics for 192.168.100.1:
 Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Sebenarnya masih banyak lagi tapi tangan sudah pegel buat nyatet, mungkin disambung lagi kemudian. Keep Sharing!!! 🙂

Sumber :
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
http://GregSowell.com

 

Advertisements

Author: admin@khsnndzf

Good People

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s