1. Pastikan mengganti semua password default seperti Router, Access Point dan Modem internet
2. Proteksi modem, script ini memastikan hanya kita yang bisa akses ke modem, bisa juga buat pengecualian untuk IP tertentu.
/ip firewall filter add action=drop chain=forward comment="PROTEKSI MODEM" disabled=yes dst-address-list=MODEM dst-port=21-23,80,443 protocol=tcp
3.Proteksi router dari Exploit, dulu saya pernah di tertawakan di grup untuk proteksi ini dan pada kenyataannya para pakar mikrotik di luar sana berterima kasih dan menghubungi saya untuk meminta izin untuk mengunakannya :)
/ip firewall filter add action=reject chain=input comment="PROTEKSI ROUTER" in-interface=WAN content=user.dat reject-with=icmp-network-unreachable add action=drop chain=input in-interface=WAN content="user.dat"
4.Antisipasi serangan DDoS, yaitu dengan cara membatasi jumlah koneksi dalam rules firewall. Ketika ada serangan DDoS, sistem mendeteksi jumlah permintaan koneksi melebihi batas yang ditentukan.
/ip firewall filter add chain=forward connection-state=new action=jump jump-target=block-ddos add chain=forward connection-state=new src-address-list=ddoser dst-address-list=ddosed action=drop add chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s action=return add chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m add chain=block-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m
5. Mengganti Port Default Service yang digunakan mikrotik seperti telnet, ssh, ftp, winbox, www dan api. atau jika memang tidak digunakan bisa dimatikan/disable
/ip firewall filter add action=drop chain=input dst-port=21,22,23,8291,80,8728,8279 in-interface-list=WAN protocol=tcp add action=drop chain=input dst-rt=21,22,23,8291,80,8728,8279 in-interface-list=WAN protocol=udp
notes: jika menggunakan custom port sialhkan tambahkan sendiri
6. Menghindari serangan Open Recursive DNS
Pernah merasa akses internet tiba2 terasa lambat? bisa jadi ada yang nakal yang menggunakan IP public Router kita sebagai DNS Server, biasanya ini ditandai dengan tingginya kecepatan upload ke arah internet, untuk menghindarinya kita cukup menggunakan script dibawah ini.
/ip firewall filter add chain=input dst-port=53 in-interface=WAN protocol=tcp action=drop add chain=input dst-port=53 in-interface=WAN protocol=udp action=drop
7. Mencegah agar Open proxy Mikrotik tidak disalahgunakan pihak luar.
/ip firewall filter add action=drop chain=input dst-port=3128,8080 in-interface-list=WAN protocol=tcp add action=drop chain=input dst-rt=3128,8080 in-interface-list=WAN protocol=udp
8. Anti Netcut, Netcut melakukan broadcast ARP dan menyerang pada Layer2, tapi setidaknya dengan script dibawah ini kita mampu mendeteksi siapa yang nakal yang ingin meng-cut jaringan kita.
/ip firewall address-list add list=netcut address=www.arcai.com /ip firewall mangle add action=add-src-to-address-list address-list=NetcutUser address-list-timeout=1h5m chain=prerouting dst-address-list=netcut dst-port=80 protocol=tcp /ip firewall filter add action=drop chain=forward comment=NetCut src-address-list=NetcutUser /system scheduler add interval=10m name="AutoBlockNetcut"
9. Protected Bootloader, ada fitur terpisah untuk mengunci router dari tombol reset dan juga reset pin-hole, dengan cara ini paling tidak hanya kita yang punya wewenang untuk mereset router-nya. https://wiki.mikrotik.com/wiki/Manual:RouterBOARD_settings
10. Port Knocking, Port Knocking adalah metode yang dilakukan untuk membuka akses ke port tertentu yang telah diblock oleh Firewall pada perangkat jaringan dengan cara mengirimkan paket atau koneksi tertentu. Koneksi bisa berupa protocol TCP, UDP maupuan ICMP, selengkapnya bisa baca di http://www.mikrotik.co.id/artikel_lihat.php?id=105
BERI KOMENTAR
Maaf untuk sementara waktu komentar di blog ini di nonaftifkan.