Thama Syamdhani OB di PerwiraMedia

Cara Mengamankan MikroTik CHR dengan IP Publik

3 min read

cara mengamankan mikrotik chr

Cara mengamankan Mikrotik CHR tidak harus rumit. Memiliki MikroTik CHR dengan IP publik memang memudahkan, Anda bisa mengakses router dari mana saja tanpa harus berada di jaringan lokal. Namun kemudahan ini datang dengan risiko. Begitu sebuah perangkat memiliki IP publik, perangkat tersebut langsung terekspos ke internet. Siapa pun bisa mencoba mengaksesnya, dan tidak semua orang yang mencoba memiliki niat baik.

Tanpa pengamanan yang memadai, MikroTik Anda bisa menjadi sasaran empuk: mulai dari percobaan login paksa atau brute force, pemindaian port, serangan DDoS, hingga eksploitasi celah yang lebih serius. Kabar baiknya, Anda tidak perlu menjadi ahli keamanan jaringan untuk melindungi perangkat. Beberapa langkah dasar yang diterapkan dengan benar sudah cukup untuk menghalau sebagian besar ancaman.

Artikel ini membahas lima langkah pengamanan dasar yang wajib diterapkan segera setelah MikroTik CHR Anda mendapatkan IP publik. Masing-masing langkah memakan waktu tidak lebih dari lima menit, namun dampaknya signifikan terhadap keamanan perangkat Anda.

1. Beri Nama yang Jelas pada Perangkat

Identity adalah penamaan pada perangkat MikroTik. Secara default, nama identity masih berupa bawaan sistem seperti “MikroTik” saja. Kedengarannya sepele, tapi bayangkan Anda memiliki lima perangkat CHR yang semuanya bernama “MikroTik”. Saat sedang terburu-buru menangani gangguan, sangat mudah terjadi kesalahan, salah masuk ke router yang salah, salah menerapkan konfigurasi.

Ikuti langkah ini:

  1. Buka Winbox dan hubungkan ke MikroTik CHR menggunakan IP publik.
  2. Login dengan kredensial yang diberikan oleh customer service.
  3. Masuk ke menu System, pilih Identity.
  4. Ganti nama menjadi sesuatu yang deskriptif misalnya “CHR-Production-01”, “Router-Cabang-Jakarta”, atau “Pro1”.
  5. Klik OK.

Nama perangkat akan langsung berubah di judul jendela Winbox. Mulai sekarang, Anda tidak akan tertukar lagi saat mengelola beberapa perangkat sekaligus.

/system user set name=CUSTOM_NAMA
Mengubah Identity CHR Mikrotik
Mengubah Identity CHR Mikrotik

2. Amankan IP Service, Matikan yang Tidak Perlu, Sembunyikan yang Dipakai

IP Service adalah layanan yang memungkinkan berbagai cara untuk mengakses RouterOS, mulai dari Winbox, SSH, API, hingga WebFig. Secara default, MikroTik mengaktifkan hampir semua service ini. Setiap service yang menyala adalah pintu masuk. Semakin banyak pintu, semakin besar peluang orang luar menemukan celah.

Prinsipnya sederhana: jika sebuah service tidak Anda gunakan, matikan. Jika Anda gunakan, sembunyikan di balik port yang tidak standar.

  1. Buka menu IP, lalu pilih Services.
  2. Anda akan melihat daftar seperti api, api-ssl, ftp, ssh, telnet, winbox, dan www.
  3. Nonaktifkan service yang tidak diperlukan dengan mengklik ikon silang. Contoh: jika Anda hanya butuh Winbox, matikan ssh, telnet, ftp, www, dan api-ssl.
  4. Untuk service yang tetap aktif seperti Winbox, klik dua kali pada service tersebut dan ubah nomor port-nya. Port default Winbox adalah 8291 ganti menjadi angka lain yang hanya Anda tahu, misalnya 4383.
  5. Klik OK.

Setelah port Winbox diubah, cara login pun berubah. Ini bagian penting dari cara mengamankan MikroTik CHR mempersempit pintu masuk. Anda harus menambahkan nomor port di belakang IP: 192.168.1.1:4383. Tanpa port yang tepat, koneksi akan ditolak mentah-mentah. Ini bukan keamanan lapis baja, tapi cukup untuk menghalau port scanning yang hanya mencari port-port default.

/ip service disable PORT_YANG_DIMATIKAN

Contoh konfigurasi :

/ip service disable api,api-ssl,ssh,telnet,ftp

Script custom port winbox atau yang lainnya :

/ip service set winbox port=CUSTOM_PORT

Untuk port lain bisa ganti saja nilai “winbox” di script.

Mengubah Port Service CHR
Mengubah Port Service CHR
Cara Akses CHR dengan Custom Port
Cara Akses CHR dengan Custom Port

Baca juga : Cara Setup Mikhmon Online dari PerwiraMedia (Lengkap!)

3. Matikan IP Neighbors, Jangan Biarkan Perangkat Anda Terlihat

Fitur IP Neighbors memungkinkan perangkat MikroTik saling menemukan satu sama lain dalam satu jaringan. Ini berguna di lingkungan lokal, Anda bisa melihat daftar perangkat MikroTik yang terhubung tanpa perlu tahu IP-nya terlebih dahulu. Tapi di perangkat dengan IP publik, fitur ini justru menjadi celah informasi. Siapa pun yang berada dalam segmen jaringan yang sama bisa melihat identitas dan alamat MAC perangkat Anda hanya dengan membuka menu Neighbors.

Cara menonaktifkannya sangat mudah:

  1. Buka menu IP, pilih Neighbors.
  2. Klik tab Discovery Interfaces.
  3. Anda akan melihat daftar interface yang aktif melakukan discovery. Klik discovery settings di sebelah kanan. Ubah interface menjadi none kemudian klik apply dan ok.

Dengan Neighbors dimatikan, perangkat Anda tidak lagi mengumumkan keberadaannya ke jaringan. Langkah kecil, tapi efektif mengurangi permukaan serangan.

/ip neighbor discovery-settings set discover-interface-list=none
Mematikan Fitur Neighbors Mikrotik
Mematikan Fitur Neighbors Mikrotik

4. Lindungi dari Serangan DNS Flooding

Langkah selanjutnya dalam cara mengamankan MikroTik CHR adalah melindungi dari serangan DNS flooding yang membanjiri perangkat dengan ribuan permintaan DNS palsu dalam waktu singkat. Serangan ini tidak hanya menghabiskan bandwidth, tapi juga bisa membuat router kehabisan resource dan akhirnya crash. Port yang menjadi sasaran adalah UDP 53, port standar untuk layanan DNS.

Untuk memblokirnya, kita akan membuat aturan di firewall yang membatasi jumlah koneksi DNS per alamat IP:

  1. Buka menu IP, pilih Firewall, lalu buka tab Filter Rules.
  2. Klik tombol tambah (+).
  3. Atur parameter berikut:
    • Chain: input
    • Protocol: 17 (udp)
    • Dst. Port: 53
    • Action: drop
  4. Klik OK.
  5. Pindahkan aturan ini ke urutan paling atas agar dieksekusi lebih dulu sebelum aturan lain.

Dengan aturan ini, jika satu alamat IP mengirim permintaan DNS dalam waktu bersamaan, koneksinya akan langsung diputus. Serangan DNS flooding skala kecil hingga menengah bisa diredam sepenuhnya.

/ip firewall filter add chain=input protocol=udp dst-port=53 action=drop comment="DNS Flooding Protection"
Firewall Filter Rule DNS Flooding
Firewall Filter Rule DNS Flooding

5. Buat User Sendiri, Hapus User Bawaan

User bawaan dari PerwiraCloud memang memudahkan saat pertama kali setup, Anda tinggal pakai tanpa perlu membuat apa pun. Tapi setelah perangkat berjalan, kredensial yang sama mungkin masih tersimpan di tempat lain, diketahui lebih dari satu orang, atau bahkan tercatat di sistem tiket. Praktek keamanan yang baik dimulai dengan memastikan hanya Anda yang tahu cara masuk ke perangkat Anda.

  1. Masuk ke menu System, pilih Users.
  2. Klik tombol tambah (+) untuk membuat user baru.
  3. Isi Name dengan username pilihan Anda bukan “admin”, bukan “user”. Gunakan nama yang unik.
  4. Pada Group, pilih full untuk akses penuh.
  5. Isi Password. Gunakan kombinasi huruf besar, huruf kecil, angka, dan karakter khusus. Minimal 12 karakter.
  6. Klik OK.

Penting: jangan langsung menghapus user lama. Uji dulu user baru Anda. Logout dari Winbox, lalu login kembali menggunakan username dan password yang baru dibuat. Pastikan berhasil masuk dan semua menu bisa diakses. Baru setelah itu, kembali ke menu Users dan hapus user bawaan satu per satu. Sisakan hanya user milik Anda sendiri.

/system user add name=NAMA_USER pass=PASSWORD_YANG_KUAT group=full
List User Mikrotik CHR
List User Mikrotik CHR

Penutup

Itulah cara mengamankan MikroTik CHR dengan lima langkah dasar. Lima langkah di atas bukanlah solusi keamanan yang lengkap, masih banyak lapisan tambahan yang bisa dan sebaiknya diterapkan, seperti firewall rules yang lebih granular, logging, dan monitoring trafik secara berkala. Namun kelimanya adalah fondasi. Dengan identity yang jelas, service yang dibatasi, Neighbors yang dimatikan, proteksi DNS flooding, dan kredensial yang hanya Anda pegang sendiri, MikroTik CHR Anda sudah berada dalam kondisi yang jauh lebih aman dibandingkan saat pertama kali dinyalakan.

Butuh bantuan lebih lanjut atau ada pertanyaan seputar keamanan MikroTik? Tim PerwiraMedia siap membantu melalui WhatsApp di 0851-7345-2805.

Thama Syamdhani OB di PerwiraMedia

Leave a Reply

Your email address will not be published. Required fields are marked *