Tips Mengamankan Router MikroTik

Akhir-akhir ini LOGAM.ID sering melihat keluhan beberapa pengguna mikrotik yang terkena hack di beberapa forum mikrotik sehingga MikroTik-nya tidak dapat diakses. Tidak hanya pemula, namun terkadang yang sudah lama menggunakan MikroTik pun terkena dampaknya. Hal ini biasanya dikarenakan para pengguna MikroTik tidak melakukan tindakan pencegahan agar MikroTik-nya tidak mudah diakses oleh sembarang orang.

MikroTik yang terkena hack dan diminta tebusan

Serangan hacking ke MikroTik bisa terjadi dari dalam maupun luar jaringan. Jika dari dalam, tentunya orang yang dapat mengakses jaringan seperti pengguna hotspot. Jika dari luar jaringan, biasanya dikarenakan MikroTik tersebut memang bisa diakses dari luar jaringan karena MikroTik dipasang IP publik, maupun menggunakan layanan VPN Remote. Jenis serangan hacking pada MikroTik biasanya menggunakan metode brute force, yaitu melakukan percobaan login (menggunakan username & password) secara acak dan terus-menerus dengan menggunakan robot atau program.

Contoh serangan brute foce via port API MikroTik

Karena itu, penting sekali bagi pengguna MikroTik untuk melakukan tindakan pencegahan sejak awal, agar tidak terjadi hal-hal yang tidak diinginkan pada MikroTik-nya. Berikut LOGAM.ID berikan tips keamanan menjaga router MikroTik yang dirangkum dari Video 10 Cara Mengamankan Router MikroTik oleh Mikrotik Indonesia dengan sedikit modifikasi oleh LOGAM.ID.

1. Upgrade RouterOS ke Versi Terbaru

Saat pertama kali membeli mikrotik, ada baiknya anda langsung meng-update ROS ke versi terbaru. Tujuannya agar MikroTik mendapatkan fitur-fitur yang paling terbaru, perbaikan bugs, dan tentunya menutup celah-celah keamanan pada versi ROS sebelumnya. Jika MikroTik anda masih menggunakan ROS di bawah versi 6.43, pastikan anda segera update ke versi 6.43 ke atas. Karena ROS di bawah v.6.43 ke sangat rawan terkena hack karena ada celah keamanan yang sangat krusial yang dapat digunakan oleh hacker untuk menyerang MikroTik.

Cara paling mudah untuk melakukan update RouterOS, tinggal pilih Quick Set, kemudian klik tombol Check for Updates. Apabila ada versi terbaru ROS, maka akan notifikasinya. Kemudian untuk meng-update klik tombol Download & Install. MikroTik akan melakukan download ROS versi terbaru, lalu akan restart secara otomatis. Pastikan untuk menjaga keamanan sumber daya MikroTik saat proses upgrade, agar tidak terjadi kesalahan yang menyebabkan MikroTik tidak dapat diakses.

Proses Upgrade ROS Mikrotik

Setelah upgrade RouterOS, jika anda menggunakan RouterBOARD, update juga firmware-nya dengan cara pilih menu System   RouterBOARD. Kemudian klik tombol Upgrade. Apabila sudah melakukan uprade, akan muncul notifikasi bahwa firmware sudah di-upgrade dan diminta untuk melakukan reboot. Proses reboot harus dilakukan secara manual dengan cara klik System  Reboot. Pilih Yes.

Update firmware RouterBOARD

2. Ganti username & password default mikroTik

Ini adalah hal yang paling pertama harus dilakukan untuk menjaga keamanan MikroTik dan juga penyebab utama kenapa MikroTik mudah di-hack. Saat pertama kali didapatkan atau baru diinstall ulang (netinstall), MikroTik memiliki akses default dengan username: admin dan password: kosong (tidak menggunakan password). Sayangnya banyak sekali pengguna yang hanya mengubah password tanpa mengganti username bawaan (user admin). Hal inilah yang sering dimanfaatkan para orang yang tidak bertanggung jawab untuk menyerang MikroTik. Karena itu, saat pertama kali anda mengkonfigurasi MikroTik, segera buat user baru lalu hapus user admin bawaan MikroTik. Gunakan username yang unik, jangan menggunakan username dengan nama root atau administrator.

User default MikroTik

Berikut langkah-langkah membuat user baru dan menghapus user admin default mikrotik:

  • Membuat user baru: Setelah masuk winbox, masuk ke System   Users, klik tanda plus biru [ + ], lalu masukkan nama user dan password yang baru dengan group: Full. Jangan membuat user dengan nama root, administrator, atau nama-nama yang mudah ditebak. Kemudian isi password dengan password yang kuat tetapi tentunya mudah diingat. Karakter password yang kuat yaitu minimal 8 karakter dengan kombinasi huruf kapital, huruf kecil, angka, dan karakter khusus. Contoh password kuat dan mudah diingat: MikroTik#750GR3. Lalu klik OK.
  • Setelah membuat user baru, silahkan logout kemudian login kembali dengan user yang telah dibuat tadi.
  • Masuk kembali ke System   Users, dan hapus user admin (user default) dengan mengklik tanda minus merah [ – ], lalu klik OK.

3. Ganti Semua Port Default dan Matikan Port yang Tidak Digunakan

MikroTik memiliki beberapa service yang dapat digunakan untuk berbagai keperluan, seperti: API, FTP, SSH, Telnet, Winbox, dan WWW. Service-service ini sangat berguna untuk sebagian orang (pengguna tingkat lanjut) namun bagi pemula mungkin sebaiknya beberapa service yang memang tidak digunakan sebaiknya dimatikan. Service-service tersebut tentunya memiliki port-port default. Port-port default inilah yang biasanya digunakan untuk serangan-serangan hacking. Karena itu sangat penting sekali semua port default ini diganti agar mempersulit orang tidak bertanggung jawab mengakses MikroTik. Untuk melihat port-port service, pada winbox bisa dilihat di bagian IP  Services.

Service pada MikroTik dengan port default

Pada menu tersebut, terdapat daftar service-service MikroTik dan nomor port default-nya. Segera ganti nomor-nomor port tersebut dengan nomor port yang lain. Sebagai contoh, untuk mengakses winbox, port default-nya adalah 8291. Ubah port winbox tersebut dengan cara klik dua kali pada service winbox, lalu ganti dengan nomor port lain, misal: 1928. Jika sudah diganti, untuk mengakses winbox, anda harus memasukkan nomor port winbox setelah IP address. Sebagai contoh, MikroTik anda biasa diakses dengan alamat 192.168.10.1. Jika anda ubah port winbox ke 1928, untuk mengakses winbox alamatnya menjadi 192.168.10.1:1928. Berikut penjelasan singkat tentang service-service yang ada di MikroTik.

ServiceDeskripsiRekomendasi
APIPort ini digunakan untuk aplikasi yang menggunakan API MikroTik, seperti Mikhmon atau Mikbotam.Matikan port ini jika tidak menggunakan proram yang membutuhkan port API.
API-SSLPort ini digunakan untuk aplikasi yang menggunakan API MikroTik, seperti Mikhmon atau Mikbotam dengan tambahan keamanan SSL.Matikan port ini jika tidak menggunakan proram yang membutuhkan port API dengan SSL.
FTPPort ini digunakan untuk mengakses file-file yang ada di MikroTik dengan menggunakan layanan FTP.Matikan port ini jika tidak menggunakan layanan FTP untuk mengakses file-file MikroTik.
SSHPort ini digunakan untuk mengakses MikroTik melalui jalur port SSH.Matikan port ini jika tidak pernah menggunakan SSH untuk mengakses MikroTik.
TELNETPort ini digunakan untuk mengakses MikroTik melalui jalur port Telnet. Matikan port ini jika tidak pernah menggunakan Telnet untuk mengakses MikroTik.
WINBOXPort ini digunakan untuk mengakses MikroTik menggunakan aplikasi winbox atau aplikasi mikrotik di smartphone. Jangan matikan port ini jika anda utamanya mengakses mikrotik menggunakan winbox. Namun apabila anda jarang menggunakan winbox, dan biasa mengakses MikroTik anda dengan port yang lain, anda dapat mematikan port ini.
WWWPort ini digunakan untuk mengakses MikroTik menggunakan browser (http).Matikan port ini bila anda jarang atau tidak pernah mengakses mikrotik melaui browser.
WWW-SSLPort ini digunakan untuk mengakses MikroTik menggunakan browser dengan tambahan keamanan SSL (https). Matikan port ini bila anda jarang atau tidak pernah mengakses mikrotik melaui browser menggunakan protokol HTTPS.

4. Mematikan Fitur Neighboor Discovery

Neighborhood Discovery merupakan fitur di MikroTik yang berguna untuk memudahkan pengguna mencari MikroTik tanpa perlu mengetahui IP atau MAC address MikroTik. Namun fitur ini tentunya juga bisa disalahgunakan oleh orang yang tidak bertanggun jawab yang ada di dalam jaringan. Karena itu sebaiknya matikan saja fitur ini apalagi jika MikroTik anda digunakan untuk mengatur jaringan publik. Berikut cara mematikan fitur neighboor discovery pada RouterOS v.6.48:

  • Masuk ke menu IP  Neighbors
  • Klik tombol Discovery Settings, kemudian kosongkan ceklis interface, lalu pilih none
  • Klik OK
Mematikan fitur neighboor discovery

5. Mematikan MAC Server

Selain menggunakan IP address, MikroTik dapat diakses menggunakan winbox dengan cara mengetik MAC address dari MikroTik. Walupun pengguna tidak mengetahui IP address dari perangkat MikroTik tetapi mengetahui MAC address-nya, maka pengguna tetap bisa mengakses MikroTik tersebut dengan menggunakan MAC address-nya. MAC address MikroTik biasanya tertempel pada bagian belakang MikroTik sehingga, apabila MikroTik posisinya berada di ruang yang mudah diakses orang, maka MikroTik tersebut bisa saja diakses oleh orang yang tidak berkepentingan cukup dengan melihat MAC address yang tertempel pada MikroTik. Karena itu sebaiknya fitur ini dimatikan.

Akses winbox via MAC

Berikut cara mematikan fitur MAC Server:

  • Klik Tools  MAC Server
  • Klik MAC Telnet Server, pilih none, lalu OK
  • Klik MAC Wibox Server, pilih none, lalu OK
  • Klik MAC Ping Server, kosongkan box, lalu OK
Mematikan fitur MAC Server

Perlu diingat, jika fitur MAC Server dimatikan, MikroTik hanya bisa diakses menggunakan IP address saja.

6. Mematikan Bandwidth Test Server

Untuk mengukur seberapa besar bandwidth pada jaringan MikroTik, bisa menggunakan fitur Bandwidth Test Server. Namun fitur ini sebenarnya jarang digunakan, karena pengguna umumnya melakukan bandwidth test hanya untuk mengecek kecepatan internet saja dengan menggunakan aplikasi Speedtest. Fitur ini juga hanya dapat digunakan antar MikroTik saja, jadi sangat jarang sekali digunakan. Walau demikian, ada saja orang yang tidak bertanggung jawab yang bisa saja memanfaatkan fitur Bandwidth Test Server dengan tujuan menguras bandwidth jaringan sehinga jaringan bisa menjadi lambat. Karena itu sebaiknya fitur ini dimatikan dengan cara:

  • Klik Tools  BTest Server
  • Kosongkan kotak Enabled, lalu klik OK
Mematikan fitur bandwidth test server

7. Mematikan Web Proxy

MikroTik memiliki fitur web proxy yang dapat digunakan untuk caching, blokir situs tertentu, atau keperluan web proxy lainnya. Namun sayangnya terkadang web proxy ini bisa dimanfaatkan sebagai proxy traffic yang kemungkinan bisa dimanfaatkan oleh orang yang tidak bertanggung jawab untuk mengambil traffic. Cara mematikan web proxy:

  • Klik IP → Web Proxy
  • Kosongkan ceklis Enabled
Settingan Web Proxy

8. Mematikan LCD (untuk RouterBOARD yang memiliki LCD)

Beberapa RouterBOARD kelas atas memiliki LCD kecil yang dapat menampilkan sebagian informasi dari MikroTik. Bahkan bisa juga digunakan untuk melakukan proses tertentu seperti reboot MikroTik. Jika MikroTik disimpan di tempat yang mudah diakses orang misal di area publik, bisa jadi nanti ada orang yang tidak bertanggung jawab mencoba mengotak-atik MikroTik melalui LCD. Karena itu ada baiknya dimatikan saja LCD apabila jarang digunakan. Cara mematikan LCD dengan cara:

  • Klik LCD
  • kosongkan ceklis LCD & Touchscreen
  • Ganti PIN default (1234) dengan PIN lain agar lebih aman
Menu LCD (gambar via mikrotik.id)

9. Aktifkan Bootloader Protector

MikroTik memiliki tombol reset yang dapat digunakan untuk me-reset semua konfigurasi yang ada di MikroTik. Walalupun tombol reset tidak akan berfungsi dengan hanya menekan tombol reset saja, tetapi jika ada orang yang mengerti cara me-reset MikroTik dan ada niat yang tidak baik, bisa jadi orang tersebut melakukan reset pada MikroTik kita sehingga semua konfigurasi yang telah kita buat menjadi hilang. Tentunya ini akan merepotkan kita, apalagi jika sudah memiliki banyak settingan. Karena itu ada baiknya mengaktifkan bootloader protector sehingga ketika mikrotik dicoba di-reset, MikroTik tidak akan ter-reset.

Walaupun aman, tentunya ada konsekuensi jika mengaktifkan fitur ini. Apabila kita tidak bisa masuk ke MikroTik (seperti lupa username atau password), maka cara satu-satunya untuk mengakses kembali MikroTik adalah dengan melakukan netinstall (install ulang MikroTik). Untuk mengaktifkan proteksi bootlader caranya:

  • Klik System → RouterBOARD
  • Klik Settings
  • Ceklis Protected Routerboot
Bootloader Protector

Demikian cara-cara mengamankan MikroTik yang dirangkum dari Video 10 Cara Mengamankan Router MikroTik oleh Mikrotik Indonesia. Anda dapat melihat video aslinya di bawah ini. Untuk mengamankan MikroTik dari serangan secara brute force, anda wajib melakukan tips nomor 1 sampai 6 pada artikel ini. Semoga artikel ini bermafaat bagi para pengguna MikroTik.

1 thought on “Tips Mengamankan Router MikroTik”

Leave a Comment

Your email address will not be published. Required fields are marked *

Kirim pesan
1
💬 Butuh bantuan?
Hallo👋
Apa yang bisa kami bantu?