Cara Mengamankan Router Mikrotik Dari Serangan Hacker Dengan Port Knocking - Keamanan jaringan merupakan salah satu faktor yang harus dipertimbangkan ketika kita merancang dan membangun sebuah jaringan komputer, hal ini karena keamanan jaringan sangat erat kaitannya dengan keamanan data-data user yang ada di dalam jaringan tersebut. Manakala seorang attacker sudah berhasil menyusup ke dalam jaringan yang kita kelola, maka ancaman exploitasi sumber daya yang ada di jaringan akan sangat besar dan tentunya sangat merugikan.
Pada artikel tutorial mikrotik kali ini, kita akan mempelajari salah satu materi keamanan jaringan pada router mikrotik yang cukup ampuh untuk mengamankan router dari ancaman attacker yang mencoba mengambil alih akses router kita secara ilegal.
Terlebih akhir-akhir ini sangat banyak sekali isu celah keamanan yang ditemukan pada perangkat router mikrotik, dan sudah banyak juga tool exploit yang bisa dipakai untuk mengeksploitasi celah keamanan pada perangkat mikrotik sehingga attacker bisa mengambil alih kendali terhadap router dengan sangat mudah.
Baca juga : Cara mengatasi chimay-red exploit di router mikrotik
Sebagai administrator jaringan, tentunya kita harus selalu sigap dan sebisa mungkin meminimalisir potensi tersebut. Salah satu cara yang bisa dicoba guna mengamankan router mikrotik yaitu dengan teknik port knocking.
Apa itu Port Knocking ?
Port Knocking merupakan sebuah metode yang dilakukan untuk membuka akses ke port-port tertentu yang sudah diblock oleh firewall, teknik port knocking dilakukan pada perangkat jaringan dengan cara mengirimkan paket atau koneksi tertentu sesuai dengan rule port knocking yang telah ditentukan sebelumnya. Koneksi yang dikirimkan bisa berupa protocol TCP, UDP maupun ICMP.
Jika koneksi yang dikirimkan oleh host tersebut sudah sesuai dengan rule knocking yang diterapkan pada firewall, maka aturan firewall akan dimodifikasi secara dinamis untuk mengijinkan atau memberikan akses kepada user tersebut agar dapat mengakses port yang sudah diblock.
Jika koneksi yang dikirimkan oleh host tersebut sudah sesuai dengan rule knocking yang diterapkan pada firewall, maka aturan firewall akan dimodifikasi secara dinamis untuk mengijinkan atau memberikan akses kepada user tersebut agar dapat mengakses port yang sudah diblock.
Konsep Penggunaan Port Knocking
Untuk memudahkan pemahaman kamu mengenai konsep penggunaan port knocking ini, saya akan memberikan gambarannya terlebih dahulu sebelum kita mulai melakukan konfigurasi port knocking pada router mikrotik.
Contoh, saya akan membuat rule port knocking yang hanya akan mengijinkan user mengakses router menggunakan winbox (tcp 8291), webfig (tcp 80) dan remote SSH (tcp 22) jika user tersebut sudah melakukan ping dan telnet ke IP router.
Jika user belum melakukan ping lalu kemudian telnet ke IP router, maka user tersebut tidak akan bisa me-remote router baik menggunakan winbox, webfig maupun SSH. Jadi kuncinya adalah user harus ping dulu ke IP router, lalu setelah melakukan ping, kemudian akses IP router dengan telnet, barulah user tersebut akan diijinkan oleh firewall router untuk mengakses winbox, webfig dan remote SSH.
Cara Kerja Port Knocking
Dari konsep pengaplikasian teknik port knocking yang sudah dijelaskan di atas, maka cara kerja dari rule port knocking yang akan kita konfigurasi kali ini yaitu akan memasukkan setiap IP address user yang melakukan ping dan telnet ke IP router ke dalam address-list.
Jika sudah dimasukkan ke dalam address-list, maka IP user tersebut akan diijinkan untuk mengakses router baik melalui aplikasi winbox, webfig maupun remote SSH. Perlu diketahui, rangkaian proses knocking harus sesuai dengan urutan rule port knocking yang dikonfigurasi, jika proses knocking tidak sesuai urutan maka tetap akan diblock oleh firewall pada router.
Konfigurasi Port Knocking di Router Mikrotik
Jika sudah mengetahui apa itu port knocking, dan juga cara kerja dari metode port knocking, sekarang saatnya kita belajar membuat rule port knocking pada router mikrotik. Rule port knocking yang akan kita buat ada 3 baris, silahkan ikuti langkah-langkah di bawah ini untuk membuatnya.
Pertama, buka winbox kemudian klik menu IP -> Firewall -> Filter Rules, kemudian klik tombol Add (+) berwarna biru untuk membuat rule baru.
Pertama, buka winbox kemudian klik menu IP -> Firewall -> Filter Rules, kemudian klik tombol Add (+) berwarna biru untuk membuat rule baru.
Tab General
- Chain : input
- Protocol : icmp
- Action : add src to address list
- Address List : ICMP Knocking
- Timout : 00:10:00 (10 menit)
Jika sudah, silahkan klik tombol Apply dan OK untuk menyimpan konfigurasi.
Kemudian kita buat lagi rule kedua, fungsinya yaitu untuk menangkap traffic yang masuk ke dalam router dengan protokol tcp dan destination port 23 (telnet) yang berasal dari address-list ICMP Knocking, IP yang berasal dari address list ICMP Knocking tadi akan dimasukkan kembali ke dalam address list baru dengan nama ICMP + Telnet Knocking selama 10 menit.
Tab General
Tab General
- Chain : input
- Protocol : tcp
- Dst. Port : 23
- Src. Address List : ICMP Knocking
- Action : add src to address list
- Address List : ICMP + Telnet Knocking
- Timout : 00:10:00 (10 menit)
Terakhir, kita buat satu rule lagi yang berfungsi untuk melakukan droping packet yang masuk ke dalam router dengan tujuan port 8291 (winbox), 22 (ssh), 80 (webfig) dan 23 (telnet) kecuali dari IP user yang sudah melakukan ping dan telnet sebelumnya (Src. Address List = ! ICMP + Telnet Knocking).
Tab General
Tab General
- Chain : input
- Protocol : tcp
- Dst. Port : 8291,22,80,23
- Src. Address List : ! ICMP + Telnet Knocking (tanda seru berarti pengecualian)
- Action : drop
Semua rule yang sudah dibuat akan terlihat seperti ini.
Baca juga : Cara blok port scanner di mikrotik
Dari hasil scanning di atas, bisa dilihat bahwa semua port statusnya filtered, yang menandakan bahwa port-port tersebut diblock oleh firewall, dengan begitu maka kita tidak akan bisa mengakses router melalui service apapun mulai dari winbox, webfig, ssh maupun telnet.
Sekarang coba kita lakukan proses knocking yaitu dengan mengirimkan packet ICMP (ping) kemudian setelah itu kita telnet IP router (proses telnet tidak perlu sampai menginput username dan password).
Kemudian kita scan lagi pakai nmap, dan hasilnya sekarang port-port service pada router sudah open (terbuka), barulah kita bisa login ke dalam router, dengan begitu berarti konfigurasi port knocking yang kita lakukan sudah benar dan berhasil.
Baca juga : Jenis-jenis service pada router mikrotik
Setelah login ke router via winbox, kita bisa menemukan IP yang kita gunakan di menu IP -> Firewall -> Address Lists.
IP kita akan terdaftar di address-list selama 10 menit dan akan terhapus secara otomatis dari address-list jika timeout 10 menit tercapai. Setelah itu maka secara otomatis winbox akan disconnected dan jika ingin konek lagi ke router via winbox maka kita harus melakukan serangkaian knocking ke IP router seperti sebelumnya.
Pengujian
Untuk memastikan port knocking sudah berjalan dengan baik, sobat bisa melakukan scanning port menggunakan aplikasi port scanner seperti nmap, jika kita belum melakukan serangkaian knocking ke IP router, maka service pada router akan terlihat tertutup (seolah-olah tidak ada port yang dibuka untuk jalur komunikasi).Baca juga : Cara blok port scanner di mikrotik
Dari hasil scanning di atas, bisa dilihat bahwa semua port statusnya filtered, yang menandakan bahwa port-port tersebut diblock oleh firewall, dengan begitu maka kita tidak akan bisa mengakses router melalui service apapun mulai dari winbox, webfig, ssh maupun telnet.
Sekarang coba kita lakukan proses knocking yaitu dengan mengirimkan packet ICMP (ping) kemudian setelah itu kita telnet IP router (proses telnet tidak perlu sampai menginput username dan password).
Kemudian kita scan lagi pakai nmap, dan hasilnya sekarang port-port service pada router sudah open (terbuka), barulah kita bisa login ke dalam router, dengan begitu berarti konfigurasi port knocking yang kita lakukan sudah benar dan berhasil.
Baca juga : Jenis-jenis service pada router mikrotik
Setelah login ke router via winbox, kita bisa menemukan IP yang kita gunakan di menu IP -> Firewall -> Address Lists.
Agar bisa lebih lama me-remote router via winbox, sobat bisa mengubah nilai timeout dari 10 menit menjadi 1 jam misalanya. Silahkan disesuaikan saja dengan kebutuhan.
Demikian tutorial konfigurasi port knocking pada router mikrotik, semoga dengan membaca artikel ini bisa sedikit menambah wawasan sobat mengenai keamanan pada jaringan terutama pada router mikrotik. Terimakasih, semoga bermanfaat.
Advertisement