Solusi mengamankan mikrotik
copas dari sini
by ghantexs16 on Sun Apr 18, 2010 10:56 pm
Sebuah
sistem/perangkat dalam internet apalagi mempunyai IP Public mengundang
“penasaran” pada sebagian orang. IP Public/Publik bisa dikatakan
merupakan Alamat Internet Protocol/IP yang terdaftar secara
Internasional dan bisa di “panggil” dari mana saja). Jika Kta
berlangganan pada sebuah ISP (lease line) biasanya kita akan dikasih IP
Publik. Kembali ke penasaran tadi berikut : Cuplikan sedikit dari Log di
Mikrotik. Kadang kita memang belum tahu, ternyata ada port yang tidak
kita perlukan ternyata terbuka.
Bagaimana mereka mengetahui ada port yang terbuka?
Misalnya beberapa port yang umum diincar untuk di “jajal” FTP/21, SSH/22 Telnel/22 atau mungkin kalau di Mikrotik port 80 yang secara default digunakan untuk login via web.
Mengetahui kita :
1. IP Scanner (bisa diketahui IP yang “hidup”) http://www.angryziber.com/ipscan/
2. Port Scanner / Nmap (untuk mengetahui Port-port yang terbuka)
3. Misal : nmap -v -A IP/Host Target, Download Nmap di : http://www.insecure.org/nmap
4. Klu sudah dapat IP dan Port, bisa login Telnet/SSH misal dengan Putty http://www.chiark.greenend.org.uk/~sgtatham/putty/
Solusi
Jika yang mencoba cuma sekali/dua kali mungkin tidak terlalu bermasalah, asal mereka tidak menggunakan password yang benar. Tetapi jika sudah berulang-ulang dan sering ini cukup berbahaya dan mungkin juga akan menggangu trafik internet anda, apalagi bandwidth yang anda mliki cukup kecil. Bagaimana solusinya, ada beberapa yang bisa dilakukan antara lain :
1. Menutup Port-port secara penuh (IP -> Service) Disable
Misalnya menutup Port di Router : Telnet, ftp, ssh, www, www-ssl, api dan hanya Winbox yang terbuka.
/ip service
set telnet address=0.0.0.0/0 disabled=yes port=23
set ftp address=0.0.0.0/0 disabled=yes port=21
set www address=0.0.0.0/0 disabled=yes port=80
set ssh address=0.0.0.0/0 disabled=yes port=22
set www-ssl address=0.0.0.0/0 certificate=none disabled=yes port=443
set api address=0.0.0.0/0 disabled=yes port=8728
set winbox address=0.0.0.0/0 disabled=no port=8291
2. Membatasi Akses port untuk IP tertentu saja.
Misalnya : Telnet, ftp, ssh, www, www-ssl, api dan hanya Winbox hanya bisa diakses dari network lokal 192.168.0.0/24 (dari IP 192.168.0.1 – 192.168.0.254)
/ip service
set telnet address=192.168.0.0/24 disabled=no port=23
set ftp address=192.168.0.0/24 disabled=no port=21
set www address=192.168.0.0/24 disabled=no port=80
set ssh address=192.168.0.0/24 disabled=no port=22
set www-ssl address=192.168.0.0/24 certificate=none disabled=no port=443
set api address=192.168.0.0/24 disabled=no port=8728
set winbox address=192.168.0.0/24 disabled=no port=8291
3. Men-Drop IP yang “diduga” usil dan membahayakan (misal bisa dilihat dari Log yang ada di Router)
Misal : Mendrop IP 192.168.76.2 agar tidak bisa masuk melalui port 22 (SSH)
/ip firewall filter
add action=drop chain=input comment=”" disabled=no dst-port=22 protocol=tcp \
src-address=192.168.76.2
4. Mengganti service port
Misalnya Web admin Mikrotik saya ganti dari port 80 ke Port 3001
/ip service
set www address=0.0.0.0/0 disabled=no port=3001
Artinya : Set Service www (mikrotik) bisa diakses dari mana saja (0.0.0.0/0), Statusnya Aktif (disable=no) dan menggunakan port 3001. Jadi kalau mau login ke Mikrotik via Web, termasuk melihat Grafik dll masuk ke http://IP_Router:3001 (misal http://192.168.0.1:3001).
Sebenarnya masih banyak fitur di Mikrotik yang lain.
Bagaimana mereka mengetahui ada port yang terbuka?
Misalnya beberapa port yang umum diincar untuk di “jajal” FTP/21, SSH/22 Telnel/22 atau mungkin kalau di Mikrotik port 80 yang secara default digunakan untuk login via web.
Mengetahui kita :
1. IP Scanner (bisa diketahui IP yang “hidup”) http://www.angryziber.com/ipscan/
2. Port Scanner / Nmap (untuk mengetahui Port-port yang terbuka)
3. Misal : nmap -v -A IP/Host Target, Download Nmap di : http://www.insecure.org/nmap
4. Klu sudah dapat IP dan Port, bisa login Telnet/SSH misal dengan Putty http://www.chiark.greenend.org.uk/~sgtatham/putty/
Solusi
Jika yang mencoba cuma sekali/dua kali mungkin tidak terlalu bermasalah, asal mereka tidak menggunakan password yang benar. Tetapi jika sudah berulang-ulang dan sering ini cukup berbahaya dan mungkin juga akan menggangu trafik internet anda, apalagi bandwidth yang anda mliki cukup kecil. Bagaimana solusinya, ada beberapa yang bisa dilakukan antara lain :
1. Menutup Port-port secara penuh (IP -> Service) Disable
Misalnya menutup Port di Router : Telnet, ftp, ssh, www, www-ssl, api dan hanya Winbox yang terbuka.
/ip service
set telnet address=0.0.0.0/0 disabled=yes port=23
set ftp address=0.0.0.0/0 disabled=yes port=21
set www address=0.0.0.0/0 disabled=yes port=80
set ssh address=0.0.0.0/0 disabled=yes port=22
set www-ssl address=0.0.0.0/0 certificate=none disabled=yes port=443
set api address=0.0.0.0/0 disabled=yes port=8728
set winbox address=0.0.0.0/0 disabled=no port=8291
2. Membatasi Akses port untuk IP tertentu saja.
Misalnya : Telnet, ftp, ssh, www, www-ssl, api dan hanya Winbox hanya bisa diakses dari network lokal 192.168.0.0/24 (dari IP 192.168.0.1 – 192.168.0.254)
/ip service
set telnet address=192.168.0.0/24 disabled=no port=23
set ftp address=192.168.0.0/24 disabled=no port=21
set www address=192.168.0.0/24 disabled=no port=80
set ssh address=192.168.0.0/24 disabled=no port=22
set www-ssl address=192.168.0.0/24 certificate=none disabled=no port=443
set api address=192.168.0.0/24 disabled=no port=8728
set winbox address=192.168.0.0/24 disabled=no port=8291
3. Men-Drop IP yang “diduga” usil dan membahayakan (misal bisa dilihat dari Log yang ada di Router)
Misal : Mendrop IP 192.168.76.2 agar tidak bisa masuk melalui port 22 (SSH)
/ip firewall filter
add action=drop chain=input comment=”" disabled=no dst-port=22 protocol=tcp \
src-address=192.168.76.2
4. Mengganti service port
Misalnya Web admin Mikrotik saya ganti dari port 80 ke Port 3001
/ip service
set www address=0.0.0.0/0 disabled=no port=3001
Artinya : Set Service www (mikrotik) bisa diakses dari mana saja (0.0.0.0/0), Statusnya Aktif (disable=no) dan menggunakan port 3001. Jadi kalau mau login ke Mikrotik via Web, termasuk melihat Grafik dll masuk ke http://IP_Router:3001 (misal http://192.168.0.1:3001).
Sebenarnya masih banyak fitur di Mikrotik yang lain.
