Posted on

Konfigurasi Dasar Mengamankan Router Mikrotik Anda

Mikrotik Cloud Core Router

Bagi para pengguna Mikrotik RouterOS baik itu Seri RouterBoard, CCR, x86 ataupun VPS Mikrotik CHR, sangat penting bagi Anda untuk mengetahui cara pengamanan dasar bagi Router Mikrotik Anda.

Pada kesempatan ini, kami ingin membagi kepada para Pelanggan setia Herza.ID, cara atau langkah dasar yang harus kita lakukan untuk Mengamankan Router Mikrotik Anda.

Silahkan baca juga Artikel kami tentang Cara Melindungi Router Mikrotik Anda dari Ransomware

Pengamanan Dasar Mikrotik RouterOS

1. Merubah User Default Mikrotik

Hal dasar yang harus kita lakukan dalam mengamankan Router Mikrotik adalah dengan mengubah User default Mikrotik yaitu admin. Kita tidak pernah menyarankan kepada siapapun untuk tetap menggunakan user admin tersebut, karena ini adalah hal paling mudah untuk meretas Router Mikrotik Anda.

Mengamankan Router Mikrotik Anda

Langkah awal adalah, pada menu di sebelah kiri Mikrotik RouterOS Anda, silahkan klik SYSTEM > USERS.

Setelah Window User List terbuka, klik Icon + untuk membuat user baru pada Router Anda.

Tahapan dalam mengamankan Router Mikrotik Anda

Masukkan Username yang ingin Anda gunakan pada kolom Name, dan pilih FULL pada Group User jika Anda ingin membuat user Administrator. Kemudian masukkan password yang susah ditebak pada kolom Password dibawah. Kemudian klik OK.

Catatan: Jangan lupa untuk DISABLE User default admin agar tidak bisa digunakan.

2. Disable Service / Layanan Yang Tidak di gunakan

Sekarang kita lanjutkan dengan mendisable Layanan atau Service yang kita tidak gunakan pada Mikrotik kita. Pade menu sebelah kiri klik IP > SERVICES.

Disable Service Mikrotik Yang tidak digunakan

Pilih Layanan-Layanan yang tidak Anda gunakan, kemudian klik icon X untuk mendisable layanan tersebut. Ketika layanan dalam disable status, maka warna nya akan berubah menjadi abu-abu.

Dalam hal ini, kami akan mendisable seluruh layanan kecuali Winbox. Karena kami hanya menggunakan Winbox untuk mengakses Mikrotik tersebut.

Rubah Port Winbox Mikrotik Anda

Setekah itu, silahkan ganti Port Winbox dari 8291 menjadi port custom yang Anda ingin gunakan. Dalam hal ini, kami menggantinya dengan Port 9876. Ingat jangan gunakan port 0 sd 1024 karena port tersebut sudah digunakan oleh layanan yang sudah di definisikan secara baku, pakailah port di atas 1024 misalnya menjadi 18291 jangan gunakan port diatas 65535 https://en.wikipedia.org/wiki/Port_(computer_networking)

3. Buat Firewall Rules untuk Mengamankan Router dan Jaringan Anda

Sekarang saatnya membuat beberapa Firewall Rules & RAW untuk mengamankan Router dan Jaringan Anda dari beberapa aksi yang berbahaya dari Internet seperti Port Scanning, Brute Force serta melakukan Blokir Port yang biasa digunakan sebagai Trojan atau Malware.

/ip firewall filter
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="PORT SCANNER" protocol=tcp \
    psd=21,3s,3,1
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" \
    protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp \
    tcp-flags=fin,syn
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp \
    tcp-flags=syn,rst
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" \
    protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp \
    tcp-flags=fin,syn,rst,psh,ack,urg
add action=accept chain=output comment="FTP BLAACKLIST" content=\
    "530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
    address-list-timeout=3h chain=output content="530 Login incorrect" \
    protocol=tcp
add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=input comment="SSH BLACKLIST" \
    connection-state=new dst-port=22 protocol=tcp src-address-list=\
    ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp
add action=add-src-to-address-list address-list=proxy-socks-exploit \
    address-list-timeout=5m chain=forward comment="PROXY SOCKS EXPLOIT" \
    dst-port=8000,3128,1080,4145 in-interface=ether1 log-prefix=\
    "PROXY SOCKS EXPLOIT : " protocol=tcp
/ip firewall raw
add action=drop chain=prerouting comment="DROP ACTIVE DIRECTORY" dst-port=\
    445 log-prefix="drop 445 : " protocol=tcp
add action=drop chain=prerouting comment="DROP TCPMUX" dst-port=1 \
    log-prefix="drop 445 : " protocol=tcp
add action=drop chain=prerouting comment="SSH BLACKLIST" in-interface=\
    ether1 src-address-list=ssh_blacklist
add action=drop chain=prerouting comment="DROP WINBOX" dst-port=8291 \
    in-interface=ether1 log-prefix="DROP WINBOX EXPLOIT : " \
    protocol=tcp src-address-list=winbox-exploit
add action=drop chain=prerouting comment="DROP PORT SCANNER" \
    in-interface=ether1 log-prefix="DROP PORT SCANER : " \
    src-address-list="port scanners"
add action=drop chain=prerouting comment="DROP PROXY SOCKS" \
    in-interface=ether1 log-prefix="DROP PROXY SOCKS : " \
    src-address-list=proxy-socks-exploit
add action=drop chain=prerouting comment="DROP NETBIOS" dst-port=137-139 \
    log-prefix="drop 445 : " protocol=tcp
add action=drop chain=prerouting comment="DROP NETBIOS" dst-port=137-139 \
    log-prefix="drop 445 : " protocol=udp

Pada Firewall Rules dan RAW yang telah konfigurasikan diatas, perlu Anda ketahui fungsi masing masing Rules dan Raw tersebut.

  • Firewall Rules nomor 0 – 5 adalah mengcapture IP yang melakukan Port Scanning ke Mikrotik Anda kemudian dimasukkan ke dalam Address-List yang bernama Port_Scanning yang mana Filter Raw kami gunakan untuk memblokir Akses dari IP pada Address-List tersebut dilevel Pre-Routing.
  • Firewall Rules nomor 6 & 7 adalah mengcaptured IP yang mencoba melakukan brute force ke FTP Server Anda secara berulang-ulang dengan username atau password yang salah, mengirimkan IP ke Address-List bernama ftp_blacklist. Kemudian Filter Raw akan memblokir Akses dari IP yang terdaftar pada Address-List tersebut pada level Pre-Routing.
  • Sedangkan pada Firewall Rules nomor 8-11, berfungsi untuk memblokir Brute Force pada sisi Port SSH dengan tahapan-tahapan yang kita telah buat. Ketika masuk pada stage3, dan visitor tersebut tetap melakukan Brute Force, maka IP visitor tersebut akan diforward ke Address-List bernama ssh_blacklist. Dan Filter Raw akan melakukan blokir atas source IP tersebut pada Level Pre-Routing.
  • Pada Firewall Raw sendiri, ada beberapa Rules yang kita peruntukkan untuk memblokir akses ke beberapa Port yang sering digunakan para hacker untuk melakukan penetrasi ke jaringan kita. Diantara lain adalah:
    • Rules 0: Port TCP 445 untuk akses Active Directory
    • Rules 1: Port TCP 1 untuk akses TCPMux
    • Rules 6: Port TCP 137-139 untuk akses Netbios
    • Rules 7: Port UDP 137-139 untuk akses Netbios
    • Rules 8: Port TCP 27374 untuk akses Trojan Sub7
    • Rules 9: Port UDP 27374 untuk akses Trojan Sub7
    • Rules 10: Port UDP 4444 untuk akses dari beberapa Trojan berbahaya. Selengkapnya silahkan baca https://www.speedguide.net/port.php?port=4444.

Baca Artikel kami tentang Cara Penggunaan CLI Dasar pada Mikrotik RouterOS.

Penutup

Seluruh Firewall Rules dan Raw diatas adalah bukan bentuk baku yang harus Anda ikuti. Anda harus mengikuti sesuai dengan kebutuhan dan Topologi jaringan Anda. Kemungkinan ada beberapa Rules yang butuh adjustment ataupun revisi untuk disesuaikan dengan kebutuhan jaringan Anda.

Posted on

Panduan Dasar Mikrotik CLI (Command Line Interface)

Login ke Terminal CLI Mikrotik

Jika Anda adalah pengguna VPS Mikrotik dari Herza.ID, maka Panduan Dasar Mikrotik CLI ini akan sangat berguna untuk melakukan maintenance melalui VNC jika Anda tidak dapat mengakses Winbox melalui Internet.

Kita dapat menggunakan beberapa cara untuk mengakses Mikrotik CHR, yaitu melalui Web Console, Winbox GUI, SSH dan beberapa layanan lainnya yang harus diakses dengan koneksi Internet. Tetapi, bagaimana jika terjadi kesalahan dalam konfigurasi Mikrotrik CHR Anda, dan mengakibatkan, VPS Mikrotik Anda tidak dapat diakses melalui Internet. Maka satu satunya cara adalah dengan mengakses VPS Mikrotik Anda melalui VNC pada Panel VPS Anda.

Baca juga Artikel kami tentang Cara Menginstall Mikrotik CHR di VPS.

Mengkonfigurasi Mikrotik CHR menggunakan perintah CLI tentunya lebih menantang daripada akses melalui GUI seperti Winbox dan Browser. Karena minimum kita harus menguasai logika susunan perintah Mikrotik itu sendiri. Dan mengkonfigurasi Mikrotik menggunakan CLI mempunyai beberapa kelebihan, diantaranya untuk mengakses Mikrotik bisa dengan menggunakan telnet, ssh, kabel serial, menu terminal pada winbox atau pada tutorial kali ini, kita akan mengakses Mikrotik menggunakan VNC melalui Panel VPS.

Akses Mikrotik CHR melalui VNC

1. Login ke Clientarea dan klik pada menu Layanan > Layanan Saya. Pada Halaman tersebut, silahkan Klik Layanan VPS Mikrotik Anda. Maka akan muncul menu seperti dibawah ini.

Akses Menu VNC pada Panel VPS Anda

2. Klik menu VNC pada Panel VPS Anda, kemudian dilanjutkan dengan mengklik Launch HTML 5 VNC Client seperti pada gambawah dibawah ini.

Akses VNC pada VPS Mikrotik Anda

3. Setelah itu, maka Virtual Console akan terbuka melalui Port VNC (Virtual Network Computing).

Tampilan Default pada VNC

4. Silahkan Login dengan memasukkan Username dan Password Anda. Maka Anda akan login ke Terminal CLI Mikrotik CHR Anda.

Login ke Terminal CLI Mikrotik

5. Hal yang pertama kita lakukan, jika terjadi kesalahan konfigurasi pada Mikrotik CHR Anda, kita akan melakukan Reset ke Default setting dengan memasukkan perintah berikut.

/system reset-configuration
Reset Mikrotik CHR

Konfirmasi akan diminta untuk melakukan Reset, dan tekan y kemudian Enter. Maka sekarang Mikrotik akan mereset ke konfigurasi default.

6. Masukkan username default Mikrotik yaitu admin dan password dikosongkan saja kemudian tekan Enter.

7. Setelah login ke Terminal CLI Mikrotik CHR, yang pertama kita lakukan adalah mengeset nama Mikrotik CHR Anda dan Timezone.

/system identify set name=Herza
/system clock
set time-zone-autodetect=no
set time-zoe-name=Asia/Jakarta
/system clock print
Konfigurasi Awal Mikrotik CLI

8. Setelah itu, kita akan menginput IP VPS Mikrotik Anda agar dapat terhubung ke Internet. IP ini bisa Anda dapatkan dengan menghubungi Technical Support. 

/ip address
add address=192.168.1.10/24 interface=ether1
/ip route add gateway=192.168.1.1
/ip route print
Setelah IP terinput, maka kita bisa melihat konfigurasi IP seperti diatas

9. Jika Anda pengguna VPS Tunneling dan melakukan Instalasi Mikrotik CHR sendiri, maka kemungkinan besar Anda tidak dapat mengakses Winbox Anda secara langsung. Dikarenakan Port Winbox default 8291 telah kami Blokir Akses nya dari luar untuk menghindari Brute Force bagi User yang lupa mengganti Port Default Winbox mereka.

Untuk awal, masukkan perintah berikut untuk memeriksa Port Service yang terbuka di Mikrotik CHR Anda.

/ip service print

Pada tampilan diatas, kita bisa melihat bahwa Port Winbox masih menggunakan Port standar yaitu 8291. Nah, mari kita lanjutkan perintah berikut untuk mengganti Port Winbox Anda.

/ip service edit winbox port

Maka, Anda akan melihat tampilan seperti diatas. Silahkan rubah port tersebut sesuai dengan port yang ingin Anda gunakan. Ingat jangan gunakan port 0 sd 1024 karena port tersebut sudah digunakan oleh layanan yang sudah di definisikan secara baku, pakailah port di atas 1024 misalnya menjadi 18291 jangan gunakan port diatas 65535 https://en.wikipedia.org/wiki/Port_(computer_networking)

Setelah itu, tekan tombol CTRL O pada keyboard Anda untuk menyimpan dan keluar dari file editor. Maka, sekarang Port Winbox Anda telah berubah.

10. Sekarang VPS Mikrotik Anda dapat diakses melalui Winbox

Demikianlah beberapa setingan dasar Mikrotik yang menggunakan Perintah Dasar CLI – command line interface Mikrotik yang telah kita buat, semoga ada manfaatnya. Jangan lupa membaca Konfigurasi Dasar untuk Mengamankan Router Mikrotik Anda.

Posted on

Cara Install Mikrotik (CHR) di VPS

Install Mikrotik di VPS

Mikrotik merupakan perangkat jaringan yang banyak digunakan di Indonesia. Alasannya karena konfigurasi yang jauh lebih mudah daripada perangkat jaringan lainnya seperti Cisco ataupun Juniper. Lini Produk Mikrotik sangat besar, mulai dari Produk Home Based sampai ke kalangan Enterprise atau skala besar. Semua ini karena dukungan RouterOS dari Mikrotik.

MikroTik RouterOS adalah sistem operasi berbasis kernel Linux yang mengubah komputer menjadi router jaringan. Ia memiliki fitur-fitur berikut:

  • 1. Firewall
  • 2. VPN
  • 3. Bandwidth shaping.
  • 4. Kualitas Layanan (QoS)
  • 5. Kemampuan untuk bertindak sebagai Akses Point Wireless
  • 6. Bridging
  • 7. Hotspot berbasis portal

Jangan lupa untuk membaca Artikel kami lainnya untuk Konfigurasi Dasar Mengamankan Router Mikrotik Anda

VPS CHR Mikrotik di Herza.ID

VPS Tunneling dari Herza.ID adalah salah satu opsi terbaik Anda jika ingin menggunakan Mikrotik CHR baik itu secara fungsional atau hanya sekedar belajar. Disamping itu Herza.ID menawaran VPS Mikotik CHR yang telah terinstall CHR dan Lisensi P1. Jika Anda memiliki lisensi Mikrotik CHR Anda, maka Anda bisa menggunakan VPS Tunneling / VPN.

VPS Mikrotik CHR & VPS Tunneling fungsinya sama, bisa digunakan sebagai Tunneling / VPN Server. Tetapi perbedaannya, VPS Tunneling hanya terinstall OS Linux. Dan dengan Anda mengambil VPS Tunneling kemudian menginstall Mikrotik CHR sendiri, maka kami tidak akan memberikan support Troubleshooting ketika terjadi masalah pada Mikrotik CHR Anda.

Disamping itu, Jaringan Infrastruktur Herza.ID didukung dengan Uplink Port 10 Gbps ke IIX, OIXP, CDIX, BatamIX, JKT-IX dan DCI-IX yang sangat berguna untuk digunakan dengan Mikrotik CHR Anda. Jangan lupa membaca Artkel kami tentang Apa itu IIX dan OIXP.

Nah, dengan informasi diatas, kita sekarang bisa memahami bahwa Mikrotik RouterOS bisa di Install diserver seperti VPS. Dan kali ini, kita akan membahas panduan untuk Anda agar Anda dapat menginstall Mikrotik Cloud Hosted Router (CHR) di VPS. Mohon di ingat bahwa Anda akan membutuhkan Lisensi untuk menjalankan Mikrotik CHR ini dengan sempurna. Tapi jangan khawatir, Mikrotik telah menyertakan sebuah lisensi pada CHR dengan kategori Licence Free. Namun, untuk kecepatan trafik masih dibatasi pada 1Mbit per interface.

Tahap Persiapan

Sebelum melakukan instalasi, pastikan anda memiliki VPS (Virtual Private Server). Apa itu VPS? Silahkan cek penjelasan menganai Apa itu VPS Hosting. Bagi anda yang belum punya, bisa didapatkan di VPS Indonesia Murah. Untuk menginstall Mikrotik CHR, anda dapat menggunakan CentOS 7 ataupun Ubuntu 16 atau 18. Nah, sekarang mari kita mulai

Tahapan Cara Instal Mikrotik CHR di VPS

Login ke VPS

Untuk memulai, silahkan login ke VPS Anda sebagai root. Anda bisa melakukan remote VPS via SSH melalui Terminal Linux atau Software PuTTy. Silahkan login dan masukkan password. Oiya, pastikan anda login sebagai “root”. Ketik “whoami” untuk mengecek apakah anda sudah login sebagai root atau belum.

Prosedur 1 Install Mikrotik CHR di VPS

Install Mikrotik CHR di VPS

Langkah selanjutnya yaitu melakukan instalasi Mikrotik CHR di VPS Anda. Silahkan copy paste perintah berikut di terminal/ putty.

wget https://download.mikrotik.com/routeros/6.47.10/chr-6.47.10.img.zip -O chr.img.zip && \
gunzip -c chr.img.zip > chr.img && \
mount -o loop,offset=512 chr.img /mnt && \
ADDRESS=ip addr show eth0 | grep global | cut -d' ' -f 6 | head -n 1 && \
GATEWAY=ip route list | grep default | cut -d' ' -f 3 && \
echo "/ip address add address=$ADDRESS interface=[/interface ethernet find where name=ether1]
/ip route add gateway=$GATEWAY
" > /mnt/rw/autorun.scr && \
umount /mnt && \
echo u > /proc/sysrq-trigger && \
dd if=chr.img bs=1024 of=/dev/vda

Prosedur 2 Install Mikrotik CHR di VPS

Apabila sudah selesai, maka akan muncul seperti gambar di bawah ini.

Prosedur 3 Install Mikrotik dan mounting

Restart VPS

Lalu, silahkan restart VPS dengan cara klik tombol restart.

Prosedur 4 Install Mikrotik CHR di VPS

Tunggu sebentar hingga muncul tulisan “The VPS has restarted successfully”.

Login ke Mikrotik CHR di WinBox

Ada beberapa software yang memungkinkan anda untuk melakukan konfigurasi dengan Mikrotik. Salah satu software tersebut bernama Winbox. Anda bisa mendownloadnya secara gratis di https://www.mikrotik.co.id/download.php. Download lalu install Winbox di komputer anda. Apabila sudah, silahkan buka Winbox lalu masukkan IP Address VPS, login: admin dan password dikosongkan. Lalu klik Connect.

Prosedur 5 Login ke Mikrotik melalui Winbox

Sebelum Anda bisa login ke Winbox, sebaiknya Anda merubah Port default Winbox Anda melalui VNC. Silahkan baca Artikel Mengakses VPS Menggunakan VNC dan juga Artikel Panduan Dasar Mikrotik CLI (Command Line Interface).

Tunggu sebentar hingga Anda terhubung ke VPS Anda sehingga tampilan berubah seperti dibawah ini.

Prosedur 6 Install Mikrotik CHR di VPS

Selesai

Sudah selesai, kita telah berhasil menginstal Mikrotik Cloud Hosted Router (CHR) di VPS. Selanjutnya, jangan lupa untuk membaca Tutorial kami yang lain mengenai Cara Buat VPN All Traffic di VPS Mikrotik. Yang perlu diperhatikan adalah karena Mikrotik CHR adalah versi gratis, maka antarmuka eth0 hanya mendukung bandwidth 1 Mbps saja.