Cara Mengamankan Router Mikrotik
Langkah
- langkah yang perlu dilakukan untuk mengamankan Router Mikrotik sebagai
berikut : 1.
Ganti Username dan Password Router Mikrotik Sudah
bukan rahasia lagi kalau Router Mikrotik mempunyai Username dan Password bawaan
pabrik yaitu Username : Admin, dan Password : (blank). Sebaiknya Username
Password default tersebut kita disable, dihapus atau kita ubah, agar tidak
digunakan orang lain. Untuk menghapus dan melakukan disable User Default
silakan buat terlebih dahulu User yang memiliki hak akses (group) Full. Untuk
melakukan management User bisa masuk ke menu System -> Users Selain
disable, kita juga bisa membuat user baru dengan hak akses Read. Dalam
memberikan hak akses Read yang perlu diperhatikan adalah jangan sampai lupa
nonaktifkan (un-cek) policies "reboot". Karena Secara default Group
Read masih bisa melakukan Reboot. 2.
Ubah atau Matikan Service yang Tidak Diperlukan Service
di Router Mikrotik secara default sudah terbuka, jadi kita harus mengantisipasi
beberapa service yang kita gunakan untuk melakukan remote ke router. Caranya
kita bisa menonaktifkan service tersebut, mengubah port defaultnya atau
membatasi hanya beberapa ip address saja yang boleh akses menggunakan port
tersebut. Pengaturan
ini dapat dilakukan pada menu IP Address > Services 3.
Non-Aktifkan Neighbors Discovery Mikrotik
memiliki protocol yang dapat melakukan broadcast domain melalui layer 2
sehingga membuat perangkat Mikrotik bisa saling menemukan jika berada di
jaringan layer 2 yang sama, namanya adalah Mikrotik Neighbor Discovery
Protocol(MNDP). Perangkat yang support MNDP dan CDP dapat menemukan atau
mengetahui informasi router lain seperti informasi identity Router,
MAC-Address,dan IP-Address. Contoh paling mudah saat kita akan melakukan winbox
di tab Neighbors akan terlihat beberapa informasi Router yang terkoneksi layer
2 dengan laptop kita. Agar
Router tidak memberikan informasi tersebut, sebagai admin jaringan sebaiknya
lakukan disable discovery interface. Terutama Interface yang terkoneksi
langsung dengan pihak umum misalnya interface wireless untuk jaringan hotspot,
interface ethernet untuk jaringan PC client warnet, dan sebagainya. Pengaturan
ini dapat dilakukan pada menu IP Address> Neighbors Tiga
langkah cara mengamankan Router Diatas secara detail sudah pernah dibahas pada
artikel Langkah Pertama Menjaga Keamanan Router
4.
Non-Aktifkan atau Ubah Fitur MAC Server Dengan
melakukan disable pada discovery interface bukan berarti Router tidak bisa di
remote menggunakan MAC-Address. Jika sebelumnya sudah menyimpan atau mengetahui
MAC-Address Router, masih bisa di remote menggunakan MAC-Address. Jika
menginginkan Router tidak bisa diremote menggunakan MAC-Address baik melalui
Winbox ataupun via telnet, matikan Fitur MAC-Server di Router. Tools ->
MAC-Server Atau
Anda hanya ingin MAC-Winbox dari interface yang
terkoneksi dengan PC Anda saja misal Ether2. Cara melakukannya buat
terlebih dahulu MAC-Winbox Interface ke Arah Ether2 selanjutnya disable
interface "all" 5.
Aktifkan Firewall Filter Untuk Akses Service
Router (DNS dan Web Proxy) Router
Mikrotik yang kita tempatkan sebagai Gateway Utama, sering mengaktifkan fitur
Allow-remote-request DNS dan web proxy. Kedua fitur tersebut bisa dimanfaatkan
oleh pihak luar terutama web proxy yang kadang membuat trafik international
kita sering penuh padahal tidak ada user lokal yang menggunakannya. Untuk
mengatasi hal tersebut kita harus mengaktifkan filter pada Firewall agar pihak
luar tidak bisa memanfaatkan DNS kita dan Web Proxy kita. Jangan
lupa buat juga action drop untuk trafik DNS yang menggunakan protocol udp. 6.
Non-Aktifkan Btest Server Router
Mikrotik juga memiliki fitur Btest Server, yang bisa digunakan untuk melakukan
test koneksi yang sudah terbentuk. Tetapi fitur ini jika tiba-tiba di
manfaatkan oleh pihak luar, Router kita di paksa untuk men-generate trafik atau
menerima trafik bandwith test bisa jadi bandwidth yang kita miliki habis atau
tiba-tiba CPU load kita menjadi 100%. Tentu sebagai admin jaringan tidak
menginginkan hal itu, lebih baik fitur ini dimatikan. Pengaturan
dapat dilakukan pada menu Tools Address> BTest Server Artikel
mengenai penggunaan Bandwidth test bisa di lihat di halaman berikut Bandwidth
Test Menggunakan Mikrotik
7.
Ubah pin atau Non-Aktifkan Fitur LCD Beberapa
Router Mikrotik sudah dilengkapi dengan LCD yang juga bisa digunakan untuk
menambahkan perintah-perintah sederhana langsung dari LCD tersebut. Jika router
yang memiliki LCD tersebut di tempatkan di tempat yang terjangkau orang banyak
sebaiknya lakukan pengubahan pin atau Non-Aktifkan Fitur LCD agar orang lain
tidak iseng mengotak atik router kita. Penjelasan mengenai LCD di Mikrotik bisa
di lihat di Artikel Pengaturan LCD Display Mikrotik
8.
Lakukan Backup secara berkala serta Enkripsi
dan Ambil File backupnya Agar
tidak perlu konfigurasi ulang sebaiknya kita lakukan Backup secara berkala.
Apalagi setelah selesai konfigurasi lakukan backup konfigurasi, dan jangan lupa
pindahkan file backup tersebut ke PC atau laptop Anda. Untuk menjaga keamanan
file backup bisa Anda lakukan Enkripsi saat akan melakukan backup konfigurasi.
Untuk detailnya bisa dilihat di Artikel Backup Konfigurasi Mikrotik
9.
Aktifkan Bootloader Protector Fitur
Bootloader Protector digunakan untuk melakukan proteksi terhadap gangguan fisik
yang bisa saja terjadi pada routerboard terutama proteksi terhadap tombol reset
yang ada di router Mikrotik. Contoh implementasinya sudah pernah kami bahas
artikel Protected Bootloader
10.
Amankan Fisik Router Mikrotik
adalah perangkat hardware elektronik sebagaimana perangkat elektronik lainnya
yang membutuhkan perawatan Fisik seperti : a.
Proteksi kabel power agar jangan terlalu sering
di cabut colok b.
Ruang pendingin untuk menjaga suhu perangkat
mikrotik c.
Perlindungan terhadap lonjangan listrik menggunakan
UPS, atau yang melewati POE sebaiknya gunakan Arester.
|