Selalu saja ada yang ingin masuk ke Mikrotik Router?

Sebuah sistem/perangkat dalam internet apalagi mempunyai IP Public mengundang “penasaran” pada sebagian orang. IP Public/Publik bisa dikatakan merupakan Alamat Internet Protocol/IP yang terdaftar secara Internasional dan bisa di “panggil” dari mana saja). Jika Kta berlangganan pada sebuah ISP (lease line) biasanya kita akan dikasih IP Publik. Kembali ke penasaran tadi berikut : Cuplikan sedikit dari Log di Mikrotik. Kadang kita memang belum tahu, ternyata ada port yang tidak kita perlukan ternyata terbuka.

(3760 messages not shown)
jul/04/2008 23:49:04 system,error,critical login failure for user Administrator from 61.95.224.50 via ftp
jul/05/2008 04:02:41 system,error,critical login failure for user nobody from 222.215.136.35 via ssh
jul/05/2008 04:02:50 system,error,critical login failure for user patrick from 222.215.136.35 via ssh

Bagaimana mereka mengetahui ada port yang terbuka?

Misalnya beberapa port yang umum diincar untuk di “jajal” FTP/21, SSH/22 Telnel/22 atau mungkin kalau di Mikrotik port 80 yang secara default digunakan untuk login via web.
Mengetahui kita :

  1. IP Scanner (bisa diketahui IP yang “hidup”) http://www.angryziber.com/ipscan/
  2. Port Scanner / Nmap (untuk mengetahui Port-port yang terbuka)
  3. Misal : nmap -v -A IP/Host Target, Download Nmap di : http://www.insecure.org/nmap
  4. Klu sudah dapat IP dan Port, bisa login Telnet/SSH misal dengan Putty http://www.chiark.greenend.org.uk/~sgtatham/putty/

Solusi

[ad#image] Jika yang mencoba cuma sekali/dua kali mungkin tidak terlalu bermasalah, asal mereka tidak menggunakan password yang benar. Tetapi jika sudah berulang-ulang dan sering ini cukup berbahaya dan mungkin juga akan menggangu trafik internet anda, apalagi bandwidth yang anda mliki cukup kecil. Bagaimana solusinya, ada beberapa yang bisa dilakukan antara lain :

1. Menutup Port-port secara penuh (IP -> Service) Disable
Misalnya menutup Port di Router : Telnet, ftp, ssh, www, www-ssl, api dan hanya Winbox yang terbuka.

/ip service
set telnet address=0.0.0.0/0 disabled=yes port=23
set ftp address=0.0.0.0/0 disabled=yes port=21
set www address=0.0.0.0/0 disabled=yes port=80
set ssh address=0.0.0.0/0 disabled=yes port=22
set www-ssl address=0.0.0.0/0 certificate=none disabled=yes port=443
set api address=0.0.0.0/0 disabled=yes port=8728
set winbox address=0.0.0.0/0 disabled=no port=8291

2. Membatasi Akses port untuk IP tertentu saja.
Misalnya : Telnet, ftp, ssh, www, www-ssl, api dan hanya Winbox hanya bisa diakses dari network lokal 192.168.0.0/24 (dari IP 192.168.0.1 – 192.168.0.254)

/ip service
set telnet address=192.168.0.0/24 disabled=no port=23
set ftp address=192.168.0.0/24 disabled=no port=21
set www address=192.168.0.0/24 disabled=no port=80
set ssh address=192.168.0.0/24 disabled=no port=22
set www-ssl address=192.168.0.0/24 certificate=none disabled=no port=443
set api address=192.168.0.0/24 disabled=no port=8728
set winbox address=192.168.0.0/24 disabled=no port=8291

3. Men-Drop IP yang “diduga” usil dan membahayakan (misal bisa dilihat dari Log yang ada di Router)
Misal : Mendrop IP 192.168.76.2 agar tidak bisa masuk melalui port 22 (SSH)

/ip firewall filter
add action=drop chain=input comment=”” disabled=no dst-port=22 protocol=tcp \
src-address=192.168.76.2

4. Mengganti service port
Misalnya Web admin Mikrotik saya ganti dari port 80 ke Port 3001

/ip service
set www address=0.0.0.0/0 disabled=no port=3001

Artinya : Set Service www (mikrotik) bisa diakses dari mana saja (0.0.0.0/0), Statusnya Aktif (disable=no) dan menggunakan port 3001.  Jadi kalau mau login ke Mikrotik via Web, termasuk melihat Grafik dll masuk ke http://IP_Router:3001 (misal http://192.168.0.1:3001).

Sebenarnya masih banyak fitur di Mikrotik yang lain.

5 comments

  1. Sudah berulang kali PC Mikrotik kena hack. modusnya mengganti login winbox (awalnya) selanjutnya melumpuhkan (2 mingguan).
    Padahal port sudah saya tutup. yg kebuka port www saya ganti 999 dan winbox doang.
    Mohon suhu mikrotikers mohon ilmunya biar ga mudah kena deface
    Saya sedang telusuri, serangan dari dalam atau dari luar. PC Mikrotik Dual core RAM 1GB DOM 1GB, 7 eth masing2 subnet.

    Cape juga yagh kalo gampang di deface …. install lagi, backup lagi ….. ampe ada yg nawarin/saranin pake Cisco, Fortinet. Lo aku sih tetep demen dg Mikrotik. biar di kate murah … buatan Rusia lah .. ini itulah. Bodo teing. Lo di lihat traffic serangan ke Rusia paling banyak dibanding lokasi lain (cyber security).

Leave a Reply

Your email address will not be published. Required fields are marked *