Belajar Mikrotik: Mengamankan Router dari serangan Bruteforce

Belajar Mikrotik: Mengamankan Router dari serangan Bruteforce

Mengamankan Router dari serangan Bruteforce


Menjaga kemanan Router adalah salah satu kewajiban yang harus dilakukan oleh admin jaringan. Router bisa kita ibaratkan seperti sebuah rumah, Router adalah area privasi yang tidak bisa di akses oleh sembarang orang. 
Sebelum melakukan konfigurasi Router ke Internet, sebaiknya memberi keamanan terlebih dahulu kepada Router. Kami sudah pernah membahas mengenai langkah pertama untuk menjaga Router, mulai dari mengganti username dan password default dari Router, menutup Service yang tidak terpakai, dan mendisable Neighboor discovery. Detail langkah 10 Cara Mengamankan Router Mikrotik dapat Anda lihat pada Artikel kami yang berjudul Langkah Pertama Menjaga Keamanan Router.
Para Artikel kali ini, kami akan memberikan sedikit trik untuk mencegah Brute Force Login pada Mikrotik. Brute Force Login adalah metode penyerangan terhadap sebuah sistem dengan mencoba semua kemungkinan Password.
Ketika Router terdapat IP Publik biasanya kita akan mendapati tampilan seperti berikut:
 
Dari sisi user tentunya log informasi tersebut akan sangat mengganggu karena log akan mencatat semua aktifitas yang terjadi pada router, termasuk client yang mencoba login ke Router. Kemudian dari sisi Router tentunya juga akan membebani resource dari Router ketika terdapat banyak client yang hendak mengakses Router (Bruteforce).
Langkah yang bisa kita lakukan untuk mengamankan Router dari serangan Bruteforce adalah menutup service yang tidak terpakai atau bisa juga menandai alamat IP penyerang kemudian di drop. Artikel mengenai menutup service-service yang tidak terpakai sudah pernah kami bahas pada artikel berikut ini: Langkah Pertama Menjaga Keamanan Router. Untuk menandai alamat IP penyerang kemudian di drop, maka kita bisa memanfaatkan fitur firewall pada Router.
Mengamankan FTP dari serangan Bruteforce
Kasus pertama, kita akan mencoba mengamankan Router dari serangan Bruteforce FTP. Anda dapat ikuti langkah dibawah ini: 
/ip firewall filter 
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop
comment="drop ftp brute forcers"

add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m

add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect"
address-list=ftp_blacklist address-list-timeout=3h 
Dengan konfigurasi diatas, maka ketika ada user yang mencoba login FTP ke router lebih dari 10 kali gagal, maka IP Address dari user tersebut akan di drop selama 3 jam. Konfigurasi dapat Anda sesuikan sesuai dengan kebutuhan.
SSH Konfigurasi 
Kasus kedua, kita akan mencoba mengamankan Router dari serangan Bruteforce SSH. Anda dapat ikuti langkah di bawah ini: 
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop
comment="drop ssh brute forcers" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist
address-list-timeout=10d comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3
address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list
address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no 

Dengan konfigurasi diatas, maka ketika ada client yang mencoba meremote Router melalui SSH dan mengalami gagal login selama lebih dari 3 kali, maka alamat IP penyerang akan di drop selama 10 Hari. Konfigurasi dapat Anda sesuaikan sesuai dengan kebutuhan.

Source: https://wiki.mikrotik.com/wiki/Bruteforce_login_prevention
Sumber: https://citraweb.com
Belajar Mikrotik: Menanggulangi DNS Cache Poisoning pada RouterOS versi terbaru

Belajar Mikrotik: Menanggulangi DNS Cache Poisoning pada RouterOS versi terbaru

Menanggulangi DNS Cache Poisoning pada RouterOS versi terbaru


Domain Name System atau biasa disebut DNS merupakan salah satu fitur yang ada pada setiap perangkat jaringan. Berfungsi pada sistem untuk mempermudah manusia dan komputer dalam berkomunikasi. Pada dasarnya manusia lebih mudah menggunakan nama, sedangkan perangkat jaringan menggunakan angka atau IP untuk saling komunikasi. 

Baru-baru ini muncul informasi bahwa pada RouterOS versi 6.45.6 kebawah terdapat celah pada fitur DNS. Yaitu DNS Cache Poisoning melalui aplikasi winbox. Bahkan dalam keadaan DNS pada router mikrotik tidak diaktifkan. Celah DNS Attack ini melalui port default winbox (TCP 8291) jika port winbox dibuka di jaringan public. 

Selain itu, "penyerang" juga bisa memanipulasi upgrade check-for-updates pada system. Yaitu dengan merubah tujuan upgrade menuju server mikrotik.com ke server lain. Router bisa mendapatkan package custom buatan "penyerang" yang bisa digunakan memodifikasi struktur OS pada router atau masuk kedalam router mikrotik. 
  

Untuk menghindari dari DNS Attack ini, anda bisa lakukan hal-hal berikut ini :
1. Ubah port winbox pada menu IP>services. Gunakan port yang jarang digunakan, dan pastikan jangan sampai lupa.

2. Proteksi DNS dari jaringan internet. Yaitu dengan menambahkan rule firewall filter untuk memproteksi dari jaringan public.
Contoh pembuatan rule firewall filter seperti berikut :
 

3. DNS attack ini sudah diperbaiki pada versi terbaru RouterOS. Berikut rekomendasi versi yang disarankan :

    a. 6.45.7 [stable]

    b. 6.44.6 [long-term]

    c. 6.46beta59 [testing]


4. Hindari upgrade router secara otomatis pada menu System>Package>Check-For-Updates.

5. Disarankan anda menggunakan manual upgrade. Yaitu dengan download file RouterOS di website mikrotik.com/download. Lalu upgrade manual router menggunakan metode drag-drop atau upload FTP.

6. Atau bisa juga anda install ulang router anda agar RouterOS yang anda gunakan benar-benar baru. Install ulang bisa menggunakan aplikasi Netinstall dengan versi RouterOS yang sudah direkomendasikan.
Video tutorial mengenai netinstall, bisa dilihat di video berikut ini https://youtu.be/iMTzLBwGKLE


Tetap jaga router anda dan pasang firewall sesuai kebutuhan. Pada jaringan public ada banyak orang yang mencoba untuk masuk ke dalam router dengan berbagai cara. 
Pastikan router anda aman, dan jaringan local anda terjaga dengan baik. 

Sumber: https://citraweb.com
Belajar Mikrotik: QSFP+ pada CRS326-24S+2Q+RM

Belajar Mikrotik: QSFP+ pada CRS326-24S+2Q+RM

QSFP+ pada CRS326-24S+2Q+RM


Selain produk Router, MikroTik saat ini mulai banyak mengeluarkan produk switch manageable. Perangkat switch manageable yang pertama dikeluarkan adalah RB250/260 series dengan menggunakan Switch OS (SwOS). Kemudian muncul produk Cloud Router Switch (CRS) series yang dibekali dengan Router OS, sehingga dengan CRS ini kita dapat menghandle trafik Layer3 (Routing). 
Produk varian terbaru dari series CRS saat ini adalah CRS326-24S+2Q+RM. Perangkat CRS326-24S+2Q+RM memiliki 2 port QSFP+ (40Gbps). CRS326-24S+2Q+RM adalah produk pertama Mikrotik yang dibekali dengan 2 port QSFP+ (40Gbps). Secara keseluruhan perangkat CRS326-24S+2Q+RM memiliki 24 port SFP+ (10Gbps) dan juga 2 port QSFP+(40Gbps). Perangkat ini didesain untuk kebutuhan koneksi fiber optik yang cepat dan stabil.
Selain dibekali dengan 24 port SFP+ dan 2 port QSFP+, perangkat CRS326-24S+2Q+RM juga dibekali dengan dual power supply yang bisa digunakan untuk kebutuhan redundancy power, sehingga kemungkinan perangkat mati dikarenakan permasalahan listrik tidak akan terjadi. Perangkat CRS326-24S+2Q+RM juga sama dengan varian CRS series 300 yang lainnya, dimana perangkat ini sudah mengimplementasikan dual-boot. Sehingga kita bisa memilih menggunakan mode router (Router OS) atau menggunakan mode swith (Switch OS).
Konfigurasi 
Perangkat ini sedikit  berbeda dari perangkat yang lainnya, satu interface QSFP+ jika kita check pada interface router maka akan terdeteksi sebagai 4 interface. Pada gambar dibawah terdapat 8 interface karena perangkat CRS326-24S+2Q+RM  memiliki 2 port QSFP+.
  
Untuk menggunakan fitur QSFP pada perangkat CRS326-24S+2Q+RM dan menggunakan QSFP+ Breakout maka kita bisa melakukan sedikit konfigurasi yaitu menonaktifkan "auto-negotiation" dan memilih speed 10G untuk setiap interface, sebagai contoh interface QSFP+2 di hubungkan menggunakan QSFP+Breakout maka kita bisa menonaktifkan "auto-negotiation" dan memilih speed 10G untuk interface qsfpplus2-1, qsfpplus2-2, qsfpplus2-3, qsfpplus2-4.
 
GB kabel breakout
  
Namun jika kita menghubungkan port QSFP+ pada CRS326-24S+2Q+RM dengan perangkat lain yang sudah mendukung QSFP+ dan menggunakan kabel QSFP+DAC/AOC maka kita bisa menggunakan konfigurasi default, yaitu "auto-negotiation" ON.
 
Gb kabel QSFP+DAC
  
Tahap Pengujian
Kami sudah lakukan pengujian terhadap interface QSFP+ pada perangkat CRS326-24S+2Q+RM. percobaan pengujian kami coba lakukan menggunakan traffict generator. Dan berikut hasil yang didapat:
  

Sumber: https://citraweb.com

Belajar Mikrotik: Custom Tampilan Menu Webfig

Belajar Mikrotik: Custom Tampilan Menu Webfig

Custom Tampilan Menu Webfig


Banyak alternatif cara yang bisa kita lakukan untuk melakukan remote akses perangkat MikroTik, baik berupa GUI (Graphic User Interface) atau CLI (Command Line Interface). Salah satu cara yang juga sering digunakan adalah remote akses melalui aplikasi Webfig. Aplikasi ini berbasis HTML yang untuk aksesnya kita menggunakan web browser.
Untuk webfig sendiri merupakan kategori GUI dan untuk tampilan menunya serupa dengan aplikasi winbox.


Nah, menariknya untuk webfig ini kita bisa melakukan custom terhadap tampilan menunya. Dengan kondisi ini nanti kita bisa menerapkan untuk pengaturan sesuai dengan policy user account dari systemnya. Sebagai contoh misalnya untuk user tertentu ketika login ke system dan  melakukan remote melalui webfig akan ditampilkan beberapa menu dari webfig saja.

Konfigurasi

Langkah-langkah konfigurasi untuk kebutuhan diatas ada beberapa tahap. Dan yang pertama adalah melakukan custom menu yang akan ditampilkan dengan menggunakan user account dengan group full. Kita pilih menu 'Design Skin'. 


Setelah dipilih menu-menu yang akan ditampilkan, kita 'Save' hasilnya. Sebagai contoh kita beri nama 'Teknisi'. 


Kemudian kita masuk ke menu /system users melalui winbox dan membuat user account baru. Sebelumnya kita akan buat group baru untuk mengarahkan Design Skin dari webfig ke profile group tersebut. 


Baru setelah kita membuat group baru, maka kita arahkan pada user account. Contoh disini menggunakan User 'Teknisi'. 


Dan hasilnya ketika kita login menggunakan user Teknisi maka tampilan dari webfig akan sesuai dengan yang kita setting sebelumnya.

 

Sumber: https://citraweb.com
Belajar Mikrotik: Perubahan Konfigurasi Neighboor Discovery

Belajar Mikrotik: Perubahan Konfigurasi Neighboor Discovery

Perubahan Konfigurasi Neighboor Discovery


Mikrotik Neighboor Discovery Protocol(MNDP) memungkinkan untuk saling melihat/menemukan perangkat lain yang juga mengaktifkan MNDP, CDP(Cisco Discovery Protocol) atau LLDP(Link Layer Discovery Protocol) di jaringan Layer 2 broadcast domain yang sama. Sebenarnya fitur ini sudah pernah di bahas pada Artikel Langkah Pertama Menjaga Keamanan Router dan sudah pernah kami ulas juga pada video berikut 10 Cara Mengamankan Router MikroTik 

Seiring perkembangan RouterOS mulai dari versi RouterOS 6.41 ke atas terjadi perubahan dalam melakukan konfigurasi Discovery interface. Pada versi sebelumnya kita hanya perlu melakukan disable pada interface yang tidak ingin terlihat dan melihat Neighboor pada menu Discovery interface. 

Pada versi RouterOS 6.41 ke atas tidak lagi ditemukan tab Discovery interface, hanya ada menu Discovery settings dan secara default nya hanya memiliki pilihan none, dynamic, serta all. Kemudian Ada kotak kecil di depan, jika dipilih berarti akan berlaku logika "not". Efek yang terjadi ketika memilih !dynamic, all dan !none akan sama yaitu semua interface router akan mengaktifkan MNDP. Begitu juga saat memilih dynamic, !all dan none, semua interface router tidak mengaktifkan MNDP. 
default neighboor discovery settings 
Jika hanya beberapa interface saja yang mengaktifkan atau mematikan MNDP, bisa di kombinasikan dengan fitur Interface list. Fitur ini ada di menu Interface pada tab interface list. Interface list  mampu melakukan pengelompokan interface, contoh bisa dibuat interface mana saja yang terdapat di jaringan WAN, atau interface apa saja yang tergabung pada LAN. 
Pertama kita dapat membuat list terlebih dahulu dengan menekan tombol "list". Kemudian tambahkan list, silahkan berikan nama sesuai kelompok interface yang di inginkan. 
tambah list 
Setelah memiliki kelompok list baru, tambahkan interface mana saja yang termasuk kedalam  list yang sudah di buat. Contoh kita akan menambahkan interface ether2 dan wlan1 kedalam list LAN. 
Tambah interface list 
Setelah membuat interface list pada konfigurasi Neighboor discovery setting akan otomatis muncul pilihan baru sesuai interface list yang sudah dibuat. sehingga pilihan interface mana saja yang ingin di aktifkan MNDP akan lebih menyesuaikan dengan kebutuhan kita di jaringan. 
MNDP dan interface list 
Tambahan informasi mulai versi RouterOS 6.44 neighboor discovery bekerja juga di slave interface. Jika sebuah interface tergabung dalam bridge, dan bridge tersebut dimasukkan dalam interface list. Slave interface otomatis masuk dalam neighboor discovery. Jika menginginkan hanya slave interface saja yang masuk dalam neighboor discovery, pastikan interface bridge tidak include dalam list. 
hanya wlan 
Pada versi RouterOS 6.45 jumlah daftar neighboor dibatasi sesuai kemampuan RAM dari Routerboard, untuk mencegah kehabisan memory.
Sumber: https://citraweb.com/