Cara Proteksi Pada Jaringan Router Mikrotik

Bagaimana cara Proteksi pada jaringan Router Mikrotik?

1. Pastikan mengganti semua password default seperti Router, Access Point dan Modem internet

2. Proteksi modem, script ini memastikan hanya kita yang bisa akses ke modem, bisa juga buat pengecualian untuk IP tertentu.

/ip firewall filter
add action=drop chain=forward comment="PROTEKSI MODEM" disabled=yes  dst-address-list=MODEM dst-port=21-23,80,443 protocol=tcp

3.Proteksi router dari Exploit, dulu saya pernah di tertawakan di grup untuk proteksi ini dan pada kenyataannya para pakar mikrotik di luar sana berterima kasih dan menghubungi saya untuk meminta izin untuk mengunakannya :)

/ip firewall filter
add action=reject chain=input comment="PROTEKSI ROUTER" in-interface=WAN content=user.dat reject-with=icmp-network-unreachable
add action=drop chain=input in-interface=WAN content="user.dat"

4.Antisipasi serangan DDoS, yaitu dengan cara membatasi jumlah koneksi dalam rules firewall. Ketika ada serangan DDoS, sistem mendeteksi jumlah permintaan koneksi melebihi batas yang ditentukan.

/ip firewall filter
add chain=forward connection-state=new action=jump jump-target=block-ddos
add chain=forward connection-state=new src-address-list=ddoser dst-address-list=ddosed action=drop
add chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s action=return
add chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m
add chain=block-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m

5. Mengganti Port Default Service yang digunakan mikrotik seperti telnet, ssh, ftp, winbox, www dan api. atau jika memang tidak digunakan bisa dimatikan/disable

/ip firewall filter
add action=drop chain=input dst-port=21,22,23,8291,80,8728,8279  in-interface-list=WAN protocol=tcp
add action=drop chain=input dst-rt=21,22,23,8291,80,8728,8279 in-interface-list=WAN protocol=udp

notes: jika menggunakan custom port sialhkan tambahkan sendiri

6. Menghindari serangan Open Recursive DNS

Pernah merasa akses internet tiba2 terasa lambat? bisa jadi ada yang nakal yang menggunakan IP public Router kita sebagai DNS Server, biasanya ini ditandai dengan tingginya kecepatan upload ke arah internet, untuk menghindarinya kita cukup menggunakan script dibawah ini.

/ip firewall filter
add chain=input dst-port=53 in-interface=WAN protocol=tcp action=drop
add chain=input dst-port=53 in-interface=WAN protocol=udp action=drop

7. Mencegah agar Open proxy Mikrotik tidak disalahgunakan pihak luar.

/ip firewall filter
add action=drop chain=input dst-port=3128,8080  in-interface-list=WAN protocol=tcp
add action=drop chain=input dst-rt=3128,8080 in-interface-list=WAN protocol=udp

8. Anti Netcut, Netcut melakukan broadcast ARP dan menyerang pada Layer2, tapi setidaknya dengan script dibawah ini kita mampu mendeteksi siapa yang nakal yang ingin meng-cut jaringan kita.

/ip firewall address-list add list=netcut address=www.arcai.com
/ip firewall mangle add action=add-src-to-address-list address-list=NetcutUser address-list-timeout=1h5m chain=prerouting dst-address-list=netcut dst-port=80 protocol=tcp
/ip firewall filter add action=drop chain=forward comment=NetCut src-address-list=NetcutUser
/system scheduler add interval=10m name="AutoBlockNetcut"

9. Protected Bootloader, ada fitur terpisah untuk mengunci router dari tombol reset dan juga reset pin-hole, dengan cara ini paling tidak hanya kita yang punya wewenang untuk mereset router-nya. https://wiki.mikrotik.com/wiki/Manual:RouterBOARD_settings

10. Port Knocking, Port Knocking adalah metode yang dilakukan untuk membuka akses ke port tertentu yang telah diblock oleh Firewall pada perangkat jaringan dengan cara mengirimkan paket atau koneksi tertentu. Koneksi bisa berupa protocol TCP, UDP maupuan ICMP, selengkapnya bisa baca di http://www.mikrotik.co.id/artikel_lihat.php?id=105