Selalu saja ada yang ingin masuk ke Mikrotik Router?

Sebuah sistem/perangkat dalam internet apalagi mempunyai IP Public mengundang “penasaran” pada sebagian orang. IP Public/Publik bisa dikatakan merupakan Alamat Internet Protocol/IP yang terdaftar secara Internasional dan bisa di “panggil” dari mana saja). Jika Kta berlangganan pada sebuah ISP (lease line) biasanya kita akan dikasih IP Publik. Kembali ke penasaran tadi berikut : Cuplikan sedikit dari Log di Mikrotik. Kadang kita memang belum tahu, ternyata ada port yang tidak kita perlukan ternyata terbuka.

(3760 messages not shown)
jul/04/2008 23:49:04 system,error,critical login failure for user Administrator from 61.95.224.50 via ftp
jul/05/2008 04:02:41 system,error,critical login failure for user nobody from 222.215.136.35 via ssh
jul/05/2008 04:02:50 system,error,critical login failure for user patrick from 222.215.136.35 via ssh

Bagaimana mereka mengetahui ada port yang terbuka?

Misalnya beberapa port yang umum diincar untuk di “jajal” FTP/21, SSH/22 Telnel/22 atau mungkin kalau di Mikrotik port 80 yang secara default digunakan untuk login via web.
Mengetahui kita :

  1. IP Scanner (bisa diketahui IP yang “hidup”) http://www.angryziber.com/ipscan/
  2. Port Scanner / Nmap (untuk mengetahui Port-port yang terbuka)
  3. Misal : nmap -v -A IP/Host Target, Download Nmap di : http://www.insecure.org/nmap
  4. Klu sudah dapat IP dan Port, bisa login Telnet/SSH misal dengan Putty http://www.chiark.greenend.org.uk/~sgtatham/putty/

Solusi

[ad#image] Jika yang mencoba cuma sekali/dua kali mungkin tidak terlalu bermasalah, asal mereka tidak menggunakan password yang benar. Tetapi jika sudah berulang-ulang dan sering ini cukup berbahaya dan mungkin juga akan menggangu trafik internet anda, apalagi bandwidth yang anda mliki cukup kecil. Bagaimana solusinya, ada beberapa yang bisa dilakukan antara lain :

1. Menutup Port-port secara penuh (IP -> Service) Disable
Misalnya menutup Port di Router : Telnet, ftp, ssh, www, www-ssl, api dan hanya Winbox yang terbuka.

/ip service
set telnet address=0.0.0.0/0 disabled=yes port=23
set ftp address=0.0.0.0/0 disabled=yes port=21
set www address=0.0.0.0/0 disabled=yes port=80
set ssh address=0.0.0.0/0 disabled=yes port=22
set www-ssl address=0.0.0.0/0 certificate=none disabled=yes port=443
set api address=0.0.0.0/0 disabled=yes port=8728
set winbox address=0.0.0.0/0 disabled=no port=8291

2. Membatasi Akses port untuk IP tertentu saja.
Misalnya : Telnet, ftp, ssh, www, www-ssl, api dan hanya Winbox hanya bisa diakses dari network lokal 192.168.0.0/24 (dari IP 192.168.0.1 – 192.168.0.254)

/ip service
set telnet address=192.168.0.0/24 disabled=no port=23
set ftp address=192.168.0.0/24 disabled=no port=21
set www address=192.168.0.0/24 disabled=no port=80
set ssh address=192.168.0.0/24 disabled=no port=22
set www-ssl address=192.168.0.0/24 certificate=none disabled=no port=443
set api address=192.168.0.0/24 disabled=no port=8728
set winbox address=192.168.0.0/24 disabled=no port=8291

3. Men-Drop IP yang “diduga” usil dan membahayakan (misal bisa dilihat dari Log yang ada di Router)
Misal : Mendrop IP 192.168.76.2 agar tidak bisa masuk melalui port 22 (SSH)

/ip firewall filter
add action=drop chain=input comment=”” disabled=no dst-port=22 protocol=tcp
src-address=192.168.76.2

4. Mengganti service port
Misalnya Web admin Mikrotik saya ganti dari port 80 ke Port 3001

/ip service
set www address=0.0.0.0/0 disabled=no port=3001

Artinya : Set Service www (mikrotik) bisa diakses dari mana saja (0.0.0.0/0), Statusnya Aktif (disable=no) dan menggunakan port 3001.  Jadi kalau mau login ke Mikrotik via Web, termasuk melihat Grafik dll masuk ke http://IP_Router:3001 (misal http://192.168.0.1:3001).

Sebenarnya masih banyak fitur di Mikrotik yang lain.

editor1: