Menjaga keamanan router adalah penting untuk mencegah terjadinya serangan terhadap router, apalagi jika router terhubung langsung ke internet karena potensi serangan menjadi lebih besar. Artikel ini akan mejelaskan konfigurasi dasar menjaga keamanan router Mikrotik.
Menonaktifkan Service yang tidak Dipakai
Service adalah layanan yang dijalankan sercara terus menerus. Buka menu “IP | services” untuk melihat daftar service yang tersedia di router Mikrotik.
Berikut adalah penjelasan tiap-tiap service yang dijalankan oleh Mikrotik.
- API (Application Programming Interface). Service yang memungkinkan aplikasi buatan user untuk berkomunikasi dengan router, misal untuk mengambil informasi dari dalam router, atau melakukan konfigurasi terhadap user.
- API-SSL (Secure Socket Layer). Mempunyai fungsi yang sama dengan service API, hanya saja API-SSL lebih aman karena sudah dilengkapi dengan sertifikat SSL.
- FTP (File Transfer Protocol). Service yang memungkinkan user untuk upload data ke router atau download data dari router.
- Telnet. Service yang memungkinan user untuk login ke router dari jarak jauh dengan menggunakan console (bukan GUI). Mempunyai tingkat keamanan yang lebih rendah dari SSH (Secure Shell).
- SSH (Secure Shell). Mempunyai fungsi yang sama dengan service Telnet, tapi mempunyai tinggak keamanan yang lebih tinggi.
- Winbox. Service yang memungkin user untuk login ke router dengan aplikasi Winbox. Aplikasi Winbox digunakan untuk mengonfigurasi router.
- WWW. Service yang memungkinkan user untuk mengonfigurasi router dengan aplikasi web. Selain Winbox, Mikrotik juga menyediakan aplikasi web untuk mengonfigurasi router.
- WWW-SSL. Mempunyai fungsi yang sama dengan service WWW, tapi lebih aman karena menggunakan protokol SSL.
Membatasi Jaringan Untuk Service
Sebuah service dapat dikonfigurasi untuk dapat diakses hanya dari jaringan tertentu atau Alamat IP tertentu dengan mengisi paramenter “Available From”.
Contoh:
Buka menu “IP | Services” untuk menampilkan daftar services yang ada di router Mikrotik.
Service WWW dapat diakses dari mana saja.
Berikut adalah contoh bahwa service WWW hanya dapat diakses dari network 12.12.12.0/24. Jika diakses dari network lain, maka akan muncul pesan “This site can’t be reached”.
Berikut adalah contoh bahwa service WWW hanya dapat diakses dari Alamat IP 12.12.12.99. Jika diakses dari Alamat IP lain, maka akan muncul pesan “This site can’t be reached”.
Merubah Nomor Port
Menerobos keamanan Mikrotik bisa melalui port. Setiap service di Mikrotik mempunyai standar port, dan penggunaan standar port akan menjadi celah keamanan karena standar port sudah diketahui banyak orang, sehingga merubah port akan lebih mengamankan Mikrotik.
Contoh:
Buka menu “IP | Services” untuk menampilkan daftar services yang ada di router Mikrotik.
Merubah port service WWW dari 80 ke 90.
Ketika menggunakan service WWW, maka port 90 harus disertakan dalam URL.
Menonaktifkan User “Admin”
User default Mikrotik adalah “Admin”, sehingga jika menggunakannya maka hanya akan tinggal selangkah lagi (yaitu menebak password-nya) untuk dapat menerobos keamanan Mikrotik, sehingga sebaiknya dinonaktifkan dan kemudian membuat user baru yang mempunya otoritas full.
Buka menu “System | Users” untuk menampilkan daftar user yang terdaftar di router Mikrotik.
Membatasi Hak Akses dengan Group Policies
Policy adalah hak akses yang tersedia di router yang sudah disediakan oleh Mikrotik. User tidak dapat menghapus hak akses yang sudah ada atau membuat hak akses baru.
Untuk mengetahui hak akses yang tersedia, buka menu “System | Users”, kemudian aktifkan tab “Groups”.
Berikut adalah penjelasan hak akses di router Mikrotik
- local. Kebijakan yang mengijinkan user login via console lokal (keyboard, monitor)
- ssh. Kebijakan yang mengijinkan user login secara remote dengan menggunakan protocol Secure Shell.
- reboot. Kebijakan yang mengijinkan user me-restart router.
- write. Kebijakan yang mengijinkan user untuk mengonfigurasi router, kecuali User Management. Kebijakan ini tidak mengijinkan user untuk melihat konfigurasi router, sehingga user yang diberi kebijakan write disarankan juga diberi kebijakanan read.
- test. Kebijakan yang mengijinkan user untuk Ping, Traceroute, bandwidth test dan perintah test lainnya.
- password. Kebijakan yang mengijinkan user untuk merubah password.
- sniff. Kebikanan yang mengijikan user untuk menggunakan tool Packet Sniffer.
- api. Kebijakan yang mengijinkan user untuk terhubung ke router dengan API.
- telnet. Kebikanan yang mengijinkan user untuk terhubung ke router secara remote dengan menggunakan Telnet.
- ftp. Kebijakan yang mengijinkan user untuk transfer file dari/ke router.
- read. Kebijakan yang mengijinkan user untuk hanya melihat konfigurasi user.
- policy. Kebijakan ini mengijinkan user untuk mengelola user.
- winbox. Kebijakan yang mengijinkan user untuk login dengan Winbox.
- web. Kebijakan yang mengijinkan user untuk login ke router via Web
- sensitive. Kebijakan yang mengijinkan user untuk melihat informasi sensitive router, contoh: secret, radius.
Group Policies adalah kumpulan dari satu atau lebih Policy. Mikrotik membuat empat default Group Policies, yaitu full, read, dan write. Pada contoh diatas, semua Policy di group “full” adalah aktif kecuali policy “dude”. User juga dapat membuat Group Policies sendiri.
Untuk membatasi hak akses user dalam mengonfigurasi router, user harus diberi Group Policy yang sesuai. Contoh: User “admin” diberi Group Policy “full” supaya mempunyai control penuh terhadap router.
Berikut adalah contoh kasus dimana diperlukan sebuah user yang hanya bisa melihat konfigurasi router, artinya user tersebut tidak bisa merubah konfigurasi apapun.
Pertama, buat Group “guest” dengan hanya mengaktifkan policy “read”. Policy “winbox” diaktifkan yang artinya bahwa user hanya bisa login ke router via Winbox.
Kedua, buat user “guest”, dan masukkan ke Group Policy “guest”.
PENTING: Mikrotik membuat default Group bernama “read”, tapi hak akses group ini sebenarnya bisa melakukan lebih dari melihat konfigurasi Mikrotik, contoh: Policy “reboot” adalah aktif, artinya user bisa me-reboot router.
Membatasi Jaringan untuk User
Pembatasan jaringan adalah bagian dari konfigurasi User. Disana ada setting “Allowed Address” yang menentukan jaringan mana yang diperbolehkan untuk mengakses router oleh user.
“Allowed Address” bisa berupa alamat jaringan atau alamat IP dan bisa lebih dari satu.
Contoh Serangan terhadap Router
Berikut adalah contoh serangan terhadap router dengan memanfaatkan user default “admin” dan service API. Untuk mencegahnya, nonaktifkan user default “admin” dan service API.
Demikian penjelasan Konfigurasi Dasar Menjaga Keamanan Router Mikrotik, semoga bermanfaat.
Baca juga
- Cara Monitoring Bandwidth di Mikrotik dengan Aplikasi Traffic Monitor
- Membatasi Akses Ke Wireless Mikrotik Hanya Untuk Client DHCP
- Memblokir Akses Ke Wireless Mikrotik Dengan IP Static