Cara mengamankan Mikrotik CHR tidak harus rumit. Memiliki MikroTik CHR dengan IP publik memang memudahkan, Anda bisa mengakses router dari mana saja tanpa harus berada di jaringan lokal. Namun kemudahan ini datang dengan risiko. Begitu sebuah perangkat memiliki IP publik, perangkat tersebut langsung terekspos ke internet. Siapa pun bisa mencoba mengaksesnya, dan tidak semua orang yang mencoba memiliki niat baik.
Tanpa pengamanan yang memadai, MikroTik Anda bisa menjadi sasaran empuk: mulai dari percobaan login paksa atau brute force, pemindaian port, serangan DDoS, hingga eksploitasi celah yang lebih serius. Kabar baiknya, Anda tidak perlu menjadi ahli keamanan jaringan untuk melindungi perangkat. Beberapa langkah dasar yang diterapkan dengan benar sudah cukup untuk menghalau sebagian besar ancaman.
Artikel ini membahas lima langkah pengamanan dasar yang wajib diterapkan segera setelah MikroTik CHR Anda mendapatkan IP publik. Masing-masing langkah memakan waktu tidak lebih dari lima menit, namun dampaknya signifikan terhadap keamanan perangkat Anda.
1. Beri Nama yang Jelas pada Perangkat
Identity adalah penamaan pada perangkat MikroTik. Secara default, nama identity masih berupa bawaan sistem seperti “MikroTik” saja. Kedengarannya sepele, tapi bayangkan Anda memiliki lima perangkat CHR yang semuanya bernama “MikroTik”. Saat sedang terburu-buru menangani gangguan, sangat mudah terjadi kesalahan, salah masuk ke router yang salah, salah menerapkan konfigurasi.
Ikuti langkah ini:
- Buka Winbox dan hubungkan ke MikroTik CHR menggunakan IP publik.
- Login dengan kredensial yang diberikan oleh customer service.
- Masuk ke menu System, pilih Identity.
- Ganti nama menjadi sesuatu yang deskriptif misalnya “CHR-Production-01”, “Router-Cabang-Jakarta”, atau “Pro1”.
- Klik OK.
Nama perangkat akan langsung berubah di judul jendela Winbox. Mulai sekarang, Anda tidak akan tertukar lagi saat mengelola beberapa perangkat sekaligus.
/system user set name=CUSTOM_NAMA

2. Amankan IP Service, Matikan yang Tidak Perlu, Sembunyikan yang Dipakai
IP Service adalah layanan yang memungkinkan berbagai cara untuk mengakses RouterOS, mulai dari Winbox, SSH, API, hingga WebFig. Secara default, MikroTik mengaktifkan hampir semua service ini. Setiap service yang menyala adalah pintu masuk. Semakin banyak pintu, semakin besar peluang orang luar menemukan celah.
Prinsipnya sederhana: jika sebuah service tidak Anda gunakan, matikan. Jika Anda gunakan, sembunyikan di balik port yang tidak standar.
- Buka menu IP, lalu pilih Services.
- Anda akan melihat daftar seperti api, api-ssl, ftp, ssh, telnet, winbox, dan www.
- Nonaktifkan service yang tidak diperlukan dengan mengklik ikon silang. Contoh: jika Anda hanya butuh Winbox, matikan ssh, telnet, ftp, www, dan api-ssl.
- Untuk service yang tetap aktif seperti Winbox, klik dua kali pada service tersebut dan ubah nomor port-nya. Port default Winbox adalah 8291 ganti menjadi angka lain yang hanya Anda tahu, misalnya 4383.
- Klik OK.
Setelah port Winbox diubah, cara login pun berubah. Ini bagian penting dari cara mengamankan MikroTik CHR mempersempit pintu masuk. Anda harus menambahkan nomor port di belakang IP: 192.168.1.1:4383. Tanpa port yang tepat, koneksi akan ditolak mentah-mentah. Ini bukan keamanan lapis baja, tapi cukup untuk menghalau port scanning yang hanya mencari port-port default.
/ip service disable PORT_YANG_DIMATIKAN
Contoh konfigurasi :
/ip service disable api,api-ssl,ssh,telnet,ftp
Script custom port winbox atau yang lainnya :
/ip service set winbox port=CUSTOM_PORT
Untuk port lain bisa ganti saja nilai “winbox” di script.


Baca juga : Cara Setup Mikhmon Online dari PerwiraMedia (Lengkap!)
3. Matikan IP Neighbors, Jangan Biarkan Perangkat Anda Terlihat
Fitur IP Neighbors memungkinkan perangkat MikroTik saling menemukan satu sama lain dalam satu jaringan. Ini berguna di lingkungan lokal, Anda bisa melihat daftar perangkat MikroTik yang terhubung tanpa perlu tahu IP-nya terlebih dahulu. Tapi di perangkat dengan IP publik, fitur ini justru menjadi celah informasi. Siapa pun yang berada dalam segmen jaringan yang sama bisa melihat identitas dan alamat MAC perangkat Anda hanya dengan membuka menu Neighbors.
Cara menonaktifkannya sangat mudah:
- Buka menu IP, pilih Neighbors.
- Klik tab Discovery Interfaces.
- Anda akan melihat daftar interface yang aktif melakukan discovery. Klik discovery settings di sebelah kanan. Ubah interface menjadi none kemudian klik apply dan ok.
Dengan Neighbors dimatikan, perangkat Anda tidak lagi mengumumkan keberadaannya ke jaringan. Langkah kecil, tapi efektif mengurangi permukaan serangan.
/ip neighbor discovery-settings set discover-interface-list=none

4. Lindungi dari Serangan DNS Flooding
Langkah selanjutnya dalam cara mengamankan MikroTik CHR adalah melindungi dari serangan DNS flooding yang membanjiri perangkat dengan ribuan permintaan DNS palsu dalam waktu singkat. Serangan ini tidak hanya menghabiskan bandwidth, tapi juga bisa membuat router kehabisan resource dan akhirnya crash. Port yang menjadi sasaran adalah UDP 53, port standar untuk layanan DNS.
Untuk memblokirnya, kita akan membuat aturan di firewall yang membatasi jumlah koneksi DNS per alamat IP:
- Buka menu IP, pilih Firewall, lalu buka tab Filter Rules.
- Klik tombol tambah (+).
- Atur parameter berikut:
- Chain: input
- Protocol: 17 (udp)
- Dst. Port: 53
- Action: drop
- Klik OK.
- Pindahkan aturan ini ke urutan paling atas agar dieksekusi lebih dulu sebelum aturan lain.
Dengan aturan ini, jika satu alamat IP mengirim permintaan DNS dalam waktu bersamaan, koneksinya akan langsung diputus. Serangan DNS flooding skala kecil hingga menengah bisa diredam sepenuhnya.
/ip firewall filter add chain=input protocol=udp dst-port=53 action=drop comment="DNS Flooding Protection"

5. Buat User Sendiri, Hapus User Bawaan
User bawaan dari PerwiraCloud memang memudahkan saat pertama kali setup, Anda tinggal pakai tanpa perlu membuat apa pun. Tapi setelah perangkat berjalan, kredensial yang sama mungkin masih tersimpan di tempat lain, diketahui lebih dari satu orang, atau bahkan tercatat di sistem tiket. Praktek keamanan yang baik dimulai dengan memastikan hanya Anda yang tahu cara masuk ke perangkat Anda.
- Masuk ke menu System, pilih Users.
- Klik tombol tambah (+) untuk membuat user baru.
- Isi Name dengan username pilihan Anda bukan “admin”, bukan “user”. Gunakan nama yang unik.
- Pada Group, pilih full untuk akses penuh.
- Isi Password. Gunakan kombinasi huruf besar, huruf kecil, angka, dan karakter khusus. Minimal 12 karakter.
- Klik OK.
Penting: jangan langsung menghapus user lama. Uji dulu user baru Anda. Logout dari Winbox, lalu login kembali menggunakan username dan password yang baru dibuat. Pastikan berhasil masuk dan semua menu bisa diakses. Baru setelah itu, kembali ke menu Users dan hapus user bawaan satu per satu. Sisakan hanya user milik Anda sendiri.
/system user add name=NAMA_USER pass=PASSWORD_YANG_KUAT group=full

Penutup
Itulah cara mengamankan MikroTik CHR dengan lima langkah dasar. Lima langkah di atas bukanlah solusi keamanan yang lengkap, masih banyak lapisan tambahan yang bisa dan sebaiknya diterapkan, seperti firewall rules yang lebih granular, logging, dan monitoring trafik secara berkala. Namun kelimanya adalah fondasi. Dengan identity yang jelas, service yang dibatasi, Neighbors yang dimatikan, proteksi DNS flooding, dan kredensial yang hanya Anda pegang sendiri, MikroTik CHR Anda sudah berada dalam kondisi yang jauh lebih aman dibandingkan saat pertama kali dinyalakan.
Butuh bantuan lebih lanjut atau ada pertanyaan seputar keamanan MikroTik? Tim PerwiraMedia siap membantu melalui WhatsApp di 0851-7345-2805.