PROTOKOL HARDENING KEAMANAN ROUTER
MANAJEMEN AKSES & SERVICE
Keamanan router merupakan pondasi utama dalam menjaga integritas seluruh jaringan. Secara default, MikroTik mengaktifkan berbagai layanan yang seringkali tidak diperlukan dan menjadi celah serangan brute force. Langkah pertama dalam hardening adalah menonaktifkan layanan seperti Telnet, FTP, WWW, dan API jika tidak digunakan secara aktif untuk otomatisasi.
Akses Winbox, sebagai pintu utama manajemen, wajib dilindungi dengan mengubah port default 8291 ke port kustom yang tidak umum untuk menghindari deteksi otomatis oleh bot scanner.
IMPLEMENTASI PORT KNOCKING
Metode Port Knocking memberikan lapisan keamanan tambahan di mana port manajemen hanya akan terbuka jika ada permintaan ke urutan port tertentu dalam waktu singkat. Ini memastikan bahwa port Winbox terlihat "tertutup" (stealth) bagi pemindaian publik.
add action=add-src-to-address-list address-list=secure-stage-1 chain=input dst-port=1111 protocol=tcp
add action=add-src-to-address-list address-list=secure-stage-2 chain=input dst-port=2222 protocol=tcp src-address-list=secure-stage-1
add action=accept chain=input dst-port=8291 protocol=tcp src-address-list=secure-stage-2
Dengan skema ini, penyerang harus menebak urutan port dan waktu yang tepat untuk bisa melihat port Winbox terbuka.
FIREWALL FILTERING & BRUTE FORCE PROTECTION
Membangun rules yang secara otomatis memasukkan IP penyerang ke dalam "blacklist" permanen setelah beberapa kali kegagalan login adalah strategi efektif. Hal ini secara drastis mengurangi beban CPU router karena paket data dari IP yang terdaftar di blacklist akan langsung dibuang (drop) pada lapisan awal firewall.
CHECKLIST KEAMANAN
- Nonaktifkan Neighbor Discovery di interface publik.
- Gunakan User Group dengan hak akses minimal.
- Terapkan enkripsi pada sesi Winbox.
- Backup konfigurasi secara berkala ke cloud terpisah.