Setelah di bagian pertama kita membahas pentingnya update RouterOS dan mengganti username serta password default, kali ini kita akan membahas langkah-langkah pengamanan tingkat lanjut pada router Mikrotik. Fokusnya adalah mengamankan akses administratif (remote) ke router Anda, agar hanya orang yang berhak, dari lokasi yang spesifik, yang dapat masuk.
Ini adalah langkah krusial untuk mencegah akses tidak sah dari luar jaringan Anda. Mari kita bedah tiga strategi utama dalam mengunci akses router Mikrotik Anda.
1. Mengunci Pengguna dengan Allowed Address (Batasi Akses IP Per User)
Fitur Allowed Address memungkinkan Anda menentukan secara spesifik alamat IP mana saja yang diizinkan untuk masuk (login) menggunakan username tertentu [00:49]. Ini adalah pengamanan lapis ganda, bahkan jika password Anda bocor, penyerang tidak akan bisa masuk kecuali menggunakan IP yang sudah Anda daftarkan.
Cara Konfigurasi Allowed Address
- Buka Winbox dan masuk ke router Anda.
- Pilih menu System > Users.
- Klik dua kali pada username yang ingin Anda amankan (misalnya, username admin Anda).
- Pada kolom Allowed Address, masukkan alamat IP atau Network Range dari perangkat yang Anda gunakan untuk me-remoterouter.
- Klik Apply dan OK.
Tips Penting: Jika Anda mencoba login menggunakan username ini dari IP lain yang tidak terdaftar, Anda akan mendapatkan notifikasi Login Failure di log router [03:39].
2. Menonaktifkan Layanan yang Tidak Digunakan (Disable IP Services)
Bayangkan router Anda adalah sebuah rumah. Setiap layanan yang aktif (seperti FTP, Telnet, atau WWW) adalah ibarat pintu dan jendela yang terbuka [06:51]. Semakin banyak pintu yang terbuka, semakin besar potensi celah keamanan yang bisa dimanfaatkan penyerang.
Cara Menonaktifkan Layanan (Service)
- Buka Winbox.
- Pilih menu IP > Services.
- Anda akan melihat daftar layanan yang aktif (seperti winbox, ssh, ftp, www, dll.) [06:09].
- Matikan/Disable semua layanan yang tidak Anda gunakan.
- Rekomendasi: Jika Anda hanya menggunakan Winbox dan sesekali mengakses halaman web Mikrotik, Anda bisa menonaktifkan API, API SSL, FTP, SSH, dan Telnet.
- Untuk menonaktifkan, klik kanan pada layanan dan pilih Disable, atau klik layanan tersebut lalu klik tombol X (Disable) [06:33].
3. Mengubah dan Mengunci Port Layanan (Ganti Port Winbox)
Secara default, layanan Winbox menggunakan port 8291 [07:20]. Penyerang tahu ini. Mengubah port default adalah salah satu cara paling efektif untuk menyembunyikan akses ke router Anda (security by obscurity).
Selain mengganti port, Anda juga bisa membatasi port yang sudah diganti tersebut agar hanya bisa diakses oleh IP tertentu menggunakan fitur Available From.
Langkah A: Mengubah Port Winbox
- Buka menu IP > Services.
- Klik dua kali pada layanan winbox.
- Ganti nilai Port dari
8291menjadi angka lain yang unik (misalnya8299atau8000) [07:30]. - Klik Apply.
Peringatan: Setelah port diganti, Anda harus memasukkan port baru saat me-remote. Contoh:
192.168.88.1:8299[08:11]. Jika tidak, koneksi akan ditolak (router refuse connection) [07:52].
Langkah B: Batasi Akses Port dengan Available From
Setelah port diganti, Anda dapat menambahkan pengamanan ekstra dengan membatasi IP mana yang boleh mengakses port tersebut.
- Masih di jendela konfigurasi layanan winbox.
- Pada kolom Available From, masukkan alamat IP atau Network yang Anda izinkan untuk mengakses port tersebut [08:38].
- Ini berfungsi mirip dengan Allowed Address pada user, tetapi diterapkan pada level layanan (service).
- Klik Apply dan OK.
Kesimpulan: Router Aman, Jaringan Terlindungi
Dengan menerapkan ketiga langkah pengamanan iniβyaitu Allowed Address untuk pengguna, Disable IP Services untuk menutup celah, dan Mengganti Port Winbox disertai batasan Available FromβAnda telah meningkatkan keamanan router Mikrotik Anda secara signifikan.
Prioritaskan konfigurasi keamanan ini sebagai fondasi, karena router yang aman adalah kunci utama untuk melindungi seluruh infrastruktur jaringan Anda. Jangan tunda, segera cek konfigurasi Keamanan Mikrotik Anda sekarang!
