√ Langkah Pertama Menjaga Keamanan Router
Setelah simpulan dengan setting fitur yang dibutuhkan, terkadang admin jaringan mengabaikan sisi kemanan router. Hal ini akan sangat riskan akan terjadinya serangan terhadap router, terlebih ketika router pribadi terkoneksi ke internet dan mempunyai ip public. Namun jangan salah, serangan terhadap router tidak selalu berasal dari jaringan internet, sanggup juga berasal dari jaringan lokal. Kita akan coba bahas langkah pertama yang perlu dilakukan untuk menjaga router dari orang yang tidak bertanggung jawab.
Services
Router Mikrotik menjalankan beberapa service untuk memudahkan cara user dalam mengakses router, atau memakai fitur lainnya. Service ini by-default akan dijalankan oleh router terus menerus. Kita sanggup cek service yang dijalankan oleh mikrotik di sajian IP --> Services
Ada beberapa service yang secara default dijalankan oleh router mikrotik. Berikut detail informasi service router MikroTik dan kegunaannya.
- API : Application Programmable Interface, sebuah service yang mengijinkan user menciptakan custom software atau aplikasi yang berkomunikasi dengan router, misal untuk mengambil informasi didalam router, atau bahkan melaksanakan konfigurasi terhadap router. Menggunakan port 8728.
- API-SSL : Memiliki fungsi yang sama sama menyerupai API, hanya saja untuk API SSL lebih secure alasannya yaitu dilengkapi dengan ssl certificate. API SSL ini berjalan dengan memakai port 8729.
- FTP : Mikrotik menyediakan standart service FTP yang memakai port 20 dan 21. FTP biasa dipakai untuk upload atau download data router, misal file backup. Authorisasi FTP memakai user & password account router.
- SSH : Merupakan salah satu cara remote router secara console dengan secure. Hampir sama menyerupai telnet, hanya saja bersifat lebih secure alasannya yaitu data yang ditrasmisikan oleh SSH dienskripsi. SSH MikroTik by default memakai port 22.
- Telnet : Memiliki fungsi yang hampir sama dengan ssh hanya saja mempunyai beberapa keterbatasan dan tingkat keamanan yang rendah. Biasa dipakai untuk remote router secara console. Service telnet MikroTik memakai port 23.
- Winbox : Service yang mengijinkan koneksi aplikasi winbox ke router. Tentu kita sudah tidak absurd dengan aplikasi winbox yang biasa dipakai untuk meremote router secara grafik. Koneksi winbox memakai port 8291.
- WWW : Selain remote console dan winbox, mikrotik juga menyediakan cara kanal router via web-base dengan memakai browser. Port yang dipakai yaitu standart port HTTP, yaitu port 80.
- WWW-SSL : Sama menyerupai service WWW yang mengijinkan kanal router memakai web-base, akan tetapi www-ssl ini lebih secure alasannya yaitu memakai certificae ssl untuk membangun koneksi antara router dengan client yang akan melaksanakan remote. By default memakai port 443.
Selanjutnya yaitu pertanyaan bagi direktur jaringan, apakah kemudian semua service tersebut akan dipakai ?. Terkadang admin jaringan tidak terlalu peduli, service tetap berjalan padahal tidak dibutuhkan, sehingga service ini sanggup dimanfaatkan oleh orang yang tidak bertanggung jawab setiap saat. Pernahkah Anda membuka terminal router MikroTik kemudian muncul pemberitahuan "failure for user root from xx.xx.x.xxx via ssh" ? Error tersebut menginformasikan bahwa ada user yang mencoba mengakses router dengan menebak username dan password router.
Disable Service
Untuk meminimalisasi user mencoba mengakses router memakai service tertentu, direktur jaringan sanggup mematikan service yang dirasa tidak digunakan. Misal kita hanya butuh memngakses router via winbox dan web-base, maka kita sanggup matikan service selain dua service tadi.
Available From
Administrator jaringan sanggup membatasi dari jaringan mana router sanggup diakses pada service tertentu dengan memilih parameter "Available From" pada setting service. dengan memilih "Available From", maka service hanya sanggup diakses dari jaringan yang sudah ditentukan. Ketika ada yang mencoba mengakses router dari jaringan diluar allowed-address, secara otomatis akan ditolak oleh router. Parameter "Available From" sanggup diisi dengan IP address ataupun network address.
Ubah Port
Selain memilih allowed address, direktur jaringan juga sanggup mengubah port yang dipakai oleh service tertentu. Seseorang yang berkecimpung di dunia jaringan sanggup menebak dengan gampang port default yang biasa dipakai oleh service - service tertentu.
Management User
Beberapa direktur kadang berpikir bahwa dengan memberi password saja sudah cukup. Kemudian men-share username dan password ke beberapa rekan teknisi, bahkan untuk teknisi yang hanya mempunyai kanal monitoring router juga diberikan hak kanal admin. Hal ini tentu akan sangat riskan ketika router yang dihandle merupakan router penting. Berikut beberapa tips management user yang bijak.
Group Policies
Teknisi yang hanya mempunyai tanggung jawab monitoring jaringan tidak membutuhkan hak kanal full terhadap router. Biasanya hak kanal full hanya dimiliki oleh orang yang paling tahu terhadap kondisi dan konfigurasi router. Admin jaringan sanggup menciptakan user sesuai dengan tanggung jawab kerja masing - masing dengan memilih group dan policies pada setting user. Jika memakai Winbox, masuk ke sajian System --> User --> Tab Group.
Ada beberapa opsi kebijakan yang akan diberikan untuk memilih priviledge user. berikut detail opsi policy dan hak yang dimiliki :
- local : kebijakan yang mengijinkan user login via local console (keyboard, monitor)
- telnet : kebijakan yang mengijinkan use login secara remote via telnet
- ssh : kebijakan yang mengijinkan user login secara remote via secure shell protocol
- ftp : Kebijakan yang mengijinkan hak penuh login via FTP, termasuk transfer file dar/menuju router. User dengan kebijakan ini mempunyai hak read, write, dan menghapus files.
- reboot : Kebijakan yang mengijinkan user me-restart router.
- read : Kebijakan yang mengijinkan untuk melihat Konfigurasi router. Semua command console yang tidak bersifat konfigurasi sanggup diakses.
- write : Kebijakan yang mengijinkan untuk melaksanakan konfigurasi router, kecuali user management. Policy ini tidak mengijinkan user untuk membaca konfigurasi router, user yang diberikan policy wirte ini juga disarankan juga diberikan policy read.
- policy : Kebijakan yang meemberikan hak untuk management user. Should be used together with write policy. Allows also to see global variables created by other users (requires also 'test' policy).
- test : Kebijakan yang menunjukkan hak untuk menjalankan ping, traceroute, bandwidth-test, wireless scan, sniffer, snooper dan test commands lainnya.
- web : Kebijakan yang menunjukkan hak untuk remote router via WebBox
- winbox : Kebijakan yang menunjukkan hak untuk remote router via WinBox
- password : Kebijakan yang menunjukkan hak untuk mengubah password
- sensitive : Kebijakan yang menunjukkan hak untuk melihat informasi sensitif router, misal secret radius, authentication-key, dll.
- api : Kebijakan yang menunjukkan hak untuk remote router via API.
- sniff : Kebijakan yang menunjukkan hak untuk memakai tool packet sniffer.
"Allowed Address" dipakai untuk memilih dari jaringan mana user tersebut boleh kanal ke router. Misalkan admin jaringan mempunyai kebijakan bahwa teknisi hanya boleh mengankses router melalui jaringan lokal, dihentikan melalui jaringan public. pada perkara menyerupai ini, kita sanggup memakai opsi "Allowed Address".
Allowed address sanggup dengan ip address atau network addresss. Jika kita isi dengan ip address, maka user hanya sanggup login ketika memakai ip address tertentu, jikalau kita isi network address, user sanggup dipakai pada segmen Ip address tertentu.
MikroTik Neighbor Discovery Protocol (MNDP) Merupakan layer 2 broadcast domain yang mengijinkan perangkat yang support MNDP atau CDP untuk saling "menemukan". Contoh paling sederhana ketika kita scan winbox untuk meremote router. Dengan melaksanakan scan, akan muncul informasi mac address, identity, dan ip address router. Sehingga pada ketika MNDP ini berjalan, user yang berada dalam jaringan router sanggup dengan gampang menemukan router, dan mengetahui beberapa informasi router. Pada router Mikrotik, router yang menjalankan MNDP sanggup dilihat di sajian IP --> Neighbors. Akan terlihat router yang sedang terkoneksi dan menjalankan MNDP.
Agar router tidak menampilkan informasi ketika ada user yang melaksanakan scan discovery protokol, direktur jaringan disarankan untuk men-disable discovery interface. Jika memakai Winbox, masuk ke sajian IP --> Neighboor --> Tab Discovery Interfaces.
Referensi:
www.mikrotik.co.id
0 Response to "√ Langkah Pertama Menjaga Keamanan Router"
Post a Comment