Search
Latest topics
Top posters
agoenk (2099) | ||||
viyan_cs (1036) | ||||
b-joe (749) | ||||
ieyaz_Chuit (725) | ||||
Zell Aristocrats (667) | ||||
jun43d1 (638) | ||||
Hetro_fabio (314) | ||||
twinkblack (265) | ||||
suzee_tkj2 (237) | ||||
harmoko (184) |
Solusi mengamankan mikrotik
2 posters
Solusi mengamankan mikrotik
Sebuah sistem/perangkat dalam internet apalagi mempunyai IP Public mengundang “penasaran” pada sebagian orang. IP Public/Publik bisa dikatakan merupakan Alamat Internet Protocol/IP yang terdaftar secara Internasional dan bisa di “panggil” dari mana saja). Jika Kta berlangganan pada sebuah ISP (lease line) biasanya kita akan dikasih IP Publik. Kembali ke penasaran tadi berikut : Cuplikan sedikit dari Log di Mikrotik. Kadang kita memang belum tahu, ternyata ada port yang tidak kita perlukan ternyata terbuka.
Bagaimana mereka mengetahui ada port yang terbuka?
Misalnya beberapa port yang umum diincar untuk di “jajal” FTP/21, SSH/22 Telnel/22 atau mungkin kalau di Mikrotik port 80 yang secara default digunakan untuk login via web.
Mengetahui kita :
1. IP Scanner (bisa diketahui IP yang “hidup”) http://www.angryziber.com/ipscan/
2. Port Scanner / Nmap (untuk mengetahui Port-port yang terbuka)
3. Misal : nmap -v -A IP/Host Target, Download Nmap di : http://www.insecure.org/nmap
4. Klu sudah dapat IP dan Port, bisa login Telnet/SSH misal dengan Putty http://www.chiark.greenend.org.uk/~sgtatham/putty/
Solusi
Jika yang mencoba cuma sekali/dua kali mungkin tidak terlalu bermasalah, asal mereka tidak menggunakan password yang benar. Tetapi jika sudah berulang-ulang dan sering ini cukup berbahaya dan mungkin juga akan menggangu trafik internet anda, apalagi bandwidth yang anda mliki cukup kecil. Bagaimana solusinya, ada beberapa yang bisa dilakukan antara lain :
1. Menutup Port-port secara penuh (IP -> Service) Disable
Misalnya menutup Port di Router : Telnet, ftp, ssh, www, www-ssl, api dan hanya Winbox yang terbuka.
/ip service
set telnet address=0.0.0.0/0 disabled=yes port=23
set ftp address=0.0.0.0/0 disabled=yes port=21
set www address=0.0.0.0/0 disabled=yes port=80
set ssh address=0.0.0.0/0 disabled=yes port=22
set www-ssl address=0.0.0.0/0 certificate=none disabled=yes port=443
set api address=0.0.0.0/0 disabled=yes port=8728
set winbox address=0.0.0.0/0 disabled=no port=8291
2. Membatasi Akses port untuk IP tertentu saja.
Misalnya : Telnet, ftp, ssh, www, www-ssl, api dan hanya Winbox hanya bisa diakses dari network lokal 192.168.0.0/24 (dari IP 192.168.0.1 – 192.168.0.254)
/ip service
set telnet address=192.168.0.0/24 disabled=no port=23
set ftp address=192.168.0.0/24 disabled=no port=21
set www address=192.168.0.0/24 disabled=no port=80
set ssh address=192.168.0.0/24 disabled=no port=22
set www-ssl address=192.168.0.0/24 certificate=none disabled=no port=443
set api address=192.168.0.0/24 disabled=no port=8728
set winbox address=192.168.0.0/24 disabled=no port=8291
3. Men-Drop IP yang “diduga” usil dan membahayakan (misal bisa dilihat dari Log yang ada di Router)
Misal : Mendrop IP 192.168.76.2 agar tidak bisa masuk melalui port 22 (SSH)
/ip firewall filter
add action=drop chain=input comment=”" disabled=no dst-port=22 protocol=tcp \
src-address=192.168.76.2
4. Mengganti service port
Misalnya Web admin Mikrotik saya ganti dari port 80 ke Port 3001
/ip service
set www address=0.0.0.0/0 disabled=no port=3001
Artinya : Set Service www (mikrotik) bisa diakses dari mana saja (0.0.0.0/0), Statusnya Aktif (disable=no) dan menggunakan port 3001. Jadi kalau mau login ke Mikrotik via Web, termasuk melihat Grafik dll masuk ke http://IP_Router:3001 (misal http://192.168.0.1:3001).
Sebenarnya masih banyak fitur di Mikrotik yang lain.
Bagaimana mereka mengetahui ada port yang terbuka?
Misalnya beberapa port yang umum diincar untuk di “jajal” FTP/21, SSH/22 Telnel/22 atau mungkin kalau di Mikrotik port 80 yang secara default digunakan untuk login via web.
Mengetahui kita :
1. IP Scanner (bisa diketahui IP yang “hidup”) http://www.angryziber.com/ipscan/
2. Port Scanner / Nmap (untuk mengetahui Port-port yang terbuka)
3. Misal : nmap -v -A IP/Host Target, Download Nmap di : http://www.insecure.org/nmap
4. Klu sudah dapat IP dan Port, bisa login Telnet/SSH misal dengan Putty http://www.chiark.greenend.org.uk/~sgtatham/putty/
Solusi
Jika yang mencoba cuma sekali/dua kali mungkin tidak terlalu bermasalah, asal mereka tidak menggunakan password yang benar. Tetapi jika sudah berulang-ulang dan sering ini cukup berbahaya dan mungkin juga akan menggangu trafik internet anda, apalagi bandwidth yang anda mliki cukup kecil. Bagaimana solusinya, ada beberapa yang bisa dilakukan antara lain :
1. Menutup Port-port secara penuh (IP -> Service) Disable
Misalnya menutup Port di Router : Telnet, ftp, ssh, www, www-ssl, api dan hanya Winbox yang terbuka.
/ip service
set telnet address=0.0.0.0/0 disabled=yes port=23
set ftp address=0.0.0.0/0 disabled=yes port=21
set www address=0.0.0.0/0 disabled=yes port=80
set ssh address=0.0.0.0/0 disabled=yes port=22
set www-ssl address=0.0.0.0/0 certificate=none disabled=yes port=443
set api address=0.0.0.0/0 disabled=yes port=8728
set winbox address=0.0.0.0/0 disabled=no port=8291
2. Membatasi Akses port untuk IP tertentu saja.
Misalnya : Telnet, ftp, ssh, www, www-ssl, api dan hanya Winbox hanya bisa diakses dari network lokal 192.168.0.0/24 (dari IP 192.168.0.1 – 192.168.0.254)
/ip service
set telnet address=192.168.0.0/24 disabled=no port=23
set ftp address=192.168.0.0/24 disabled=no port=21
set www address=192.168.0.0/24 disabled=no port=80
set ssh address=192.168.0.0/24 disabled=no port=22
set www-ssl address=192.168.0.0/24 certificate=none disabled=no port=443
set api address=192.168.0.0/24 disabled=no port=8728
set winbox address=192.168.0.0/24 disabled=no port=8291
3. Men-Drop IP yang “diduga” usil dan membahayakan (misal bisa dilihat dari Log yang ada di Router)
Misal : Mendrop IP 192.168.76.2 agar tidak bisa masuk melalui port 22 (SSH)
/ip firewall filter
add action=drop chain=input comment=”" disabled=no dst-port=22 protocol=tcp \
src-address=192.168.76.2
4. Mengganti service port
Misalnya Web admin Mikrotik saya ganti dari port 80 ke Port 3001
/ip service
set www address=0.0.0.0/0 disabled=no port=3001
Artinya : Set Service www (mikrotik) bisa diakses dari mana saja (0.0.0.0/0), Statusnya Aktif (disable=no) dan menggunakan port 3001. Jadi kalau mau login ke Mikrotik via Web, termasuk melihat Grafik dll masuk ke http://IP_Router:3001 (misal http://192.168.0.1:3001).
Sebenarnya masih banyak fitur di Mikrotik yang lain.
ghantexs16- tkjmaniac
- Posts : 136
Join date : 2009-03-11
Re: Solusi mengamankan mikrotik
halah mz juned aya aya wae, padahal sih mastere jaringan
buahahahahahaaaaay.....
buahahahahahaaaaay.....
ghantexs16- tkjmaniac
- Posts : 136
Join date : 2009-03-11
Re: Solusi mengamankan mikrotik
ghantexs16 wrote:halah mz juned aya aya wae, padahal sih mastere jaringan
buahahahahahaaaaay.....
senenge kah nyindir.....
mal ajari Q mikrotik owh mal.....
please................
Permissions in this forum:
You cannot reply to topics in this forum
|
|
Tue Feb 14, 2017 11:22 am by agoenk
» Verifikasi UPK 2017
Tue Feb 14, 2017 11:01 am by agoenk
» Simulasi UBK tahap kedua
Tue Feb 14, 2017 10:44 am by agoenk
» Mengganti favicon di wordpress
Sat Feb 11, 2017 11:22 am by agoenk
» Undangan Pertemuan Rutin MGMP TKJ Gugus Bisman SMKN 1 Slawi bulan Desember 2016 sekaligus Pelatihan Mikrotik
Sat Nov 26, 2016 9:59 am by agoenk
» SPMI ( Sistem Penjaminan Mutu Internal ) untuk sekolah Model
Wed Oct 26, 2016 1:58 pm by agoenk
» Pertemuan Rutin MGMP TKJ Gugus Bisman SMK Negeri 1 Slawi Bulan Oktober 2016
Fri Oct 14, 2016 10:17 pm by agoenk
» INFO PPDB SMKN 1 SLAWI TAHUN PELAJARAN 2016 / 2017
Mon Jun 13, 2016 6:35 am by Admin
» Kegiatan 3P Jurusan TKJ SMKN 1 Slawi
Tue Apr 26, 2016 10:16 am by agoenk