Saat konfigurasi semua setingan jaringan sudah selesai ada baiknya kita menjaga keamanan router dengan menerapkan beberapa setingan seperti service, port, dll.
Jika tidak menaga keamanan router akan menjadi riskan terjadinya serangan terhadap router terlebih router langsung terkoneksi ke jaringan internet menggunakan ip public.
Serangan router bisa juga terjadi dari dalam melalui jaringan local di bawah router, nah dalam artikel kali ini akan di bahas bagaimana mengamankan router yang sudah kita konfigurasi.
Jika tidak menaga keamanan router akan menjadi riskan terjadinya serangan terhadap router terlebih router langsung terkoneksi ke jaringan internet menggunakan ip public.
Serangan router bisa juga terjadi dari dalam melalui jaringan local di bawah router, nah dalam artikel kali ini akan di bahas bagaimana mengamankan router yang sudah kita konfigurasi.
Mengatur service yang di perbolehkan
Mikrotik secara default menjalankan beberapa service untuk memudahkan cara user dalam mengakses router, service ini secara default akan di jalankan oleh router kita bisa cek di menu IP ----> services
Ada beberapa service yang secara default seperti terlihat berikut ini:
- API : Application Programmable Interface, service yang mengijinkan user membuat custom software atau aplikasi yang berkomunikasi dengan router, misal untuk mengambil informasi didalam router, atau bahkan melakukan konfigurasi terhadap router. Menggunakan port 8728.
- API-SSL : Memiliki fungsi yang sama sama seperti API, hanya saja untuk API SSL lebih secure karena dilengkapi dengan ssl certificate. API SSL ini berjalan dengan menggunakan port 8729.
- FTP : Mikrotik menyediakan standart service FTP yang menggunakan port 20 dan 21, di gunakan untuk upload dan download data.
- SSH : Di gunakan untuk remote router secara console dan sangat aman karena telah di lakukan enkripsi yang menggunakan port 22.
- Telnet : Hampir sama dengan ssh namun belum aman karena data yang dikirim tidak terenkripsi yang berjalan menggunakan port 23.
- Winbox : Service yang menjalankan aplikasi winbox untuk meremote router menggunakan port 8291.
- WWW : Selain remote console dan winbox, ada cara lain menggunakan web base dengan menggunakan browser. Port yang digunakan adalah port 80 standart HTTP.
- WWW-SSL : Sama seperti service WWW yang mengijinkan akses router menggunakan web-base, namun lebih aman karena menggunakan certificate SSL menggunakan port 443.
Disable Service
Karena semua servijce pada dasarnya jarang di gunakan oleh edmin jaringan, maka hendaknya kita disable service yang tidak terpakai dan yang di pakai misalnya winbox, dan http berbasis web.
Available From
Administrator jaringan bisa membatasi dari jaringan mana router bisa diakses pada service tertentu dengan menentukan parameter "Available From" pada setting service di sesuaikan dengan alamat ip adress maupun network address.
Merubah Port
Kita bisa juga merubah port service, dari konfigurasi default karena pada dasarnya semua service berjalan pada port yang telah di tentukan. Misalnya port ssh untuk remote router standar menggunakan port 22 bisa kita ubah ke port 2121 atau port lainnya.
Group Policies
Kita harus konfigurasi group policies misalnya seorang teknisi hanya memiliki tanggung jawab monitoring yang tidak membutuhkan hak akses full terhadap route. Hak akses ini hanya di miliki oleh seorang admin jaringan yang tahu terhadap kondisi router.
Seorang admin bisa membuat group dan plicies pada setting user. Jika menggunakan winbox masuk pada menu System --> User --> Tab Group.
Beberapa opsi yang di pilih bisa anda lihat keterangan di bawah ini:
- local : Mengijinkan user login via local console (keyboard, monitor)
- telnet : Mengijinkan user login secara remote via telnet
- ssh : Mengijinkan user login secara remote via secure shell protocol
- ftp : Mengijinkan hak penuh login via FTP, termasuk transfer file dari dan menuju router. User dengan kebijakan ini memiliki hak read, write, dan menghapus files.
- reboot : Mengijinkan user me-restart router.
- read : Mengijinkan untuk melihat Konfigurasi router.
- write : Mengijinkan untuk melakukan konfigurasi router, kecuali user management. Policy ini tidak mengijinkan user untuk membaca konfigurasi router, user yang diberikan policy write ini juga disarankan juga diberikan policy read.
- policy : membemberikan hak untuk management user.
- test : Memberikan hak untuk menjalankan ping, traceroute, bandwidth-test, wireless scan, sniffer, snooper dan test commands lainnya.
- web : Memberikan hak untuk remote router via WebBox
- winbox : Memberikan hak untuk remote router via WinBox
- password : Memberikan hak untuk mengubah password
- sensitive : Memberikan hak untuk melihat informasi sensitif router, misal secret radius, authentication-key, dll.
- api : Memberikan hak untuk remote router via API.
- sniff : Memberikan hak untuk menggunakan tool packet sniffer.
Allowed Address
Allowed Address digunakan untuk menentukan user yang di perbolehkan remote router melalui jaringan yang di kehendaki.Misalkan admin jaringan memiliki kebijakan bahwa teknisi hanya boleh mengakses router hanya melalui jaringan lokal, tidak boleh melalui jaringan public.
Allowed address bisa dengan IP address atau Network Addresss. Jika kita isi dengan ip address, maka user hanya bisa login ketika menggunakan ip address tertentu, jika kita isi network address, user bisa digunakan pada segmen IP address tertentu.
MikroTik Neighbor Discovery Protocol (MNDP)
Merupakan layer 2 broadcast domain yang mengijinkan perangkat yang support MNDP atau CDP untuk saling menemukan. contoh sat kita remote router melalui winbox di siut akan terlihat alamat mac address dari semua router yang terhubung ke jaringan. Untuk melihat service MNDP kita bisa dilihat di menu IP --> Neighbors. Akan terlihat router yang sedang terkoneksi dan menjalankan MNDP.
Untuk mematikan fitur ini bisa kita lihat di menu IP --> Neighboor --> Tab Discovery Interfaces. Kita bisa disable interface yang terhubung misalnya ether2 atau wlan1 maka router tidak akan di temukan saat di lakukan scan terhadap jaringan yang melewati interface tersebut
Sumber mikrotik indonesia
Tags
mikrotik