Assalamualaikum Wr. Wb.
Kali ini saya ingin sharing tentang bagaimana langkah awal menjaga keamanan mikrotik routerboard.
A. Pendahuluan
Keamanan jaringan (Bahasa Inggris: Network Security) dalam jaringan komputer sangat penting dilakukan untuk memonitor akses jaringan dan mencegah penyalahgunaan sumber daya jaringan yang tidak sah. Tugas keamanan jaringan dikontrol oleh administrator jaringan.
Segi-segi keamanan didefinisikan dari kelima point ini.
a. Confidentiality Mensyaratkan bahwa informasi (data) hanya bisa diakses oleh pihak yang memiliki wewenang.
b. Integrity Mensyaratkan bahwa informasi hanya dapat diubah oleh pihak yang memiliki wewenang.
c. Availability Mensyaratkan bahwa informasi tersedia untuk pihak yang memiliki wewenang ketika dibutuhkan.
d. Authentication Mensyaratkan bahwa pengirim suatu informasi dapat diidentifikasi dengan benar dan ada jaminan bahwa identitas yang didapat tidak palsu.
e. Nonrepudiation Mensyaratkan bahwa baik pengirim maupun penerima informasi tidak dapat menyangkal pengiriman dan penerimaan pesan.
B. Latar Belakang
Maksud dan Tujuan
Alat dan Bahan
- MikroTik routerboard
- Laptop untuk setting MikroTik
- Kabel UTP yang sudah tercrimping dengan baik dan sudah di test
Jangka Waktu Pelaksanaan
- Tahap Pelaksanaan
setelah winboxnya terbuka, buka menu IP > Services, maka akan muncul tampilan IP Service List,
Ada beberapa service yang secara default dijalankan oleh router mikrotik. Berikut
detail informasi service router MikroTik dan kegunaannya.
-
API : Application Programmable Interface, sebuah service yang mengijinkan user membuat custom software atau aplikasi yang berkomunikasi dengan router, misal untuk mengambil informasi didalam router, atau bahkan melakukan konfigurasi terhadap router. Menggunakan port 8728.
-
API-SSL : Memiliki fungsi yang sama sama seperti API, hanya saja untuk API SSL lebih secure karena dilengkapi dengan ssl certificate. API SSL ini berjalan dengan menggunakan port 8729.
-
FTP : Mikrotik menyediakan standart service FTP yang menggunakan port 20 dan 21. FTP biasa digunakan untuk upload atau download data router, misal file backup. Authorisasi FTP menggunakan user & password account router.
- SSH : Merupakan salah satu cara remote router secara console dengan secure. Hampir sama seperti telnet, hanya saja bersifat lebih secure karena data yang ditrasmisikan oleh SSH dienskripsi. SSH MikroTik by default menggunakan port 22.
-
Telnet : Memiliki fungsi yang hampir sama dengan ssh hanya saja memiliki beberapa keterbatasan dan tingkat keamanan yang rendah. Biasa digunakan untuk remote router secara console. Service telnet MikroTik menggunakan port 23.
-
Winbox : Service yang mengijinkan koneksi aplikasi winbox ke router. Tentu kita sudah tidak asing dengan aplikasi winbox yang biasa digunakan untuk meremote router secara grafik. Koneksi winbox menggunakan port 8291.
-
WWW : Selain remote console dan winbox, mikrotik juga menyediakan cara akses router via web-base dengan menggunakan browser. Port yang digunakan adalah standart port HTTP, yaitu port 80.
-
WWW-SSL : Sama seperti service WWW yang mengijinkan akses router menggunakan web-base, akan tetapi www-ssl ini lebih secure karena menggunakan certificae ssl untuk membangun koneksi antara router dengan client yang akan melakukan remote. By default menggunakan port 443.
Selanjutnya adalah pertanyaan bagi administrator jaringan, apakah kemudian semua
service tersebut akan digunakan ?. Terkadang admin jaringan tidak terlalu peduli,
service tetap berjalan padahal tidak dibutuhkan, sehingga service ini bisa dimanfaatkan
oleh orang yang tidak bertanggung jawab setiap saat. Pernahkah Anda membuka terminal
router MikroTik kemudian muncul pemberitahuan "failure for user root from xx.xx.x.xxx via ssh" ? Error
tersebut menginformasikan bahwa ada user yang mencoba mengakses router dengan
menebak username dan password router.
Disable Service
Untuk meminimalisasi user mencoba mengakses router menggunakan service tertentu,
administrator jaringan bisa mematikan service yang dirasa tidak digunakan. Misal
kita hanya butuh memngakses router via winbox dan web-base, maka kita bisa matikan
service selain dua service tadi.
Available From
Administrator jaringan bisa membatasi dari jaringan mana router bisa diakses
pada service tertentu dengan menentukan parameter "Available From" pada setting
service. dengan menentukan "Available From", maka service hanya bisa diakses dari
jaringan yang sudah ditentukan. Ketika ada yang mencoba mengakses router dari
jaringan diluar allowed-address, secara otomatis akan ditolak oleh router. Parameter
"Available From" bisa diisi dengan IP address ataupun network address.
Ubah Port
Selain menentukan allowed address, administrator jaringan juga bisa mengubah
port yang digunakan oleh service tertentu. Seseorang yang berkecimpung di dunia
jaringan bisa menebak dengan mudah port default yang biasa digunakan oleh service
- service tertentu
MikroTik Neighbor Discovery Protocol (MNDP)
Merupakan layer 2 broadcast domain yang mengijinkan perangkat yang support MNDP atau CDP untuk saling "menemukan". Contohnya adalah saat kita membuka winbox di laptop, dan laptop kita sudah terhubung dengan sebuah perangkat routerboard, maka bila kita mengklik refresh atau scan, akan muncul informasi mac address, identity, dan ip address dari routerboard kit, sehingga pada saat MNDP ini berjalan, user yang berada dalam jaringan router bisa dengan mudah menemukan router, dan mengetahui beberapa informasi router. Untuk melihat MNDP bisa dilihat dengan masuk ke menu IP > Neighbors, agar router tidak menampilakn informasi ketika ada user yang melakukan scan discovery protocol, kita disarankan untuk mendisable discovery interface, dengan cara klik tab Discovery Interfaces pada menu IP > Neighbors,
kesimpulan
langkah diatas adalah langkah awal dan masih banyak lagi langkah-langkah selanjutnyaReferensi
Sekian yang dapat saya sampaikan, kurangnya mohon maaf,
Wassalamualaikum Wr. Wb.
Tidak ada komentar:
Posting Komentar