Kalau kalian punya router MikroTik di rumah atau kantor, penting banget untuk tahu cara mengamankan Mikrotik RouterOS. Kenapa? Soalnya, router ini sering jadi target serangan hacker jika konfigurasinya asal-asalan.
Disini saya akan kasih tips step-by-step biar kalian bisa bikin jaringan kalian kebal dari ancaman. Mari kita simak.
1. Update RouterOS ke Versi Terbaru
Hal pertama yang wajib kalian lakukan adalah memastikan firmware atau RouterOS selalu up-to-date. Versi terbaru biasanya menyertakan patch keamanan untuk menutup celah yang mungkin dieksploitasi hacker.
Caranya gampang:
- Buka Winbox atau akses lewat browser via IP router.
- Pilih menu System > Packages > Check for Updates.
- Jika ada versi baru, langsung klik Download & Install.
Jangan lupa, setelah update, restart router biar perubahan berlaku. Saya selalu rutin cek update minimal sebulan sekali.
2. Ganti Password Default dan Nonaktifkan Akun Admin
Password default seperti admin atau kosong itu ibarat kunci pintu rumah yang dibiarkan terbuka. Langsung ganti!
- Masuk ke System > Users.
- Klik dua kali pada user admin, lalu masukkan password baru yang kuat (kombinasi huruf besar, angka, simbol).
- Untuk tambah aman, buat user baru dengan hak akses full dan hapus akun admin default.
Jangan lupa matikan akses via Telnet dan FTP di menu IP > Services, ganti ke SSH atau Winbox dengan port kustom (bukan 22 atau 8291).
3. Batasi Akses Admin via IP tertentu
Agar tidak semua orang bisa masuk ke router, batasi akses admin hanya dari IP tertentu. Misalnya, hanya IP lokal kantor atau alamat IP pribadi kalian. Caranya:
- Buka IP > Services.
- Klik dua kali pada layanan (SSH/Winbox/Webfig).
- Di tab Available From, masukkan alamat IP atau subnet yang diizinkan.
Contoh: “192.168.88.0/24” untuk jaringan lokal saja.
4. Aktifkan Firewall untuk Filter Traffic
Firewall adalah garda terdepan. Pastikan kalian setting layer Input, Forward, dan Output. Beberapa rule wajib:
- Blok traffic masuk dari internet ke port tidak penting:
/ip firewall filter
add chain=input protocol=tcp dst-port=23,21,22 action=drop- Aktifkan protection dari serangan DDoS dan scan port dengan menambahkan rule di chain input:
add chain=input connection-state=invalid action=drop
add chain=input connection-state=established,related action=acceptJangan lupa enable FastTrack untuk optimasi performa.
5. Matikan Layanan yang Tidak Perlu
MikroTik punya banyak layanan bawaan seperti API, UPnP, atau IPv6. Jika tidak dipakai, lebih baik dimatikan:
- Cek di IP > Services dan nonaktifkan layanan seperti API, Winbox over HTTP, atau Telnet.
- Untuk UPnP, masuk ke IP > UPnP > Interfaces dan disable di interface publik.
Semakin sedikit layanan aktif, semakin kecil risiko serangan.
6. Enkripsi Data dengan VPN
Jika kalian perlu akses remote, jangan gunakan port forwarding biasa. Pakai VPN seperti SSTP, OpenVPN, atau WireGuard yang lebih aman. Contoh setup SSTP:
- Buka PPP > SSTP Server, enable SSTP.
- Buat user khusus di PPP > Secrets.
- Di firewall, allow port 443 untuk koneksi SSTP.
Dengan VPN, semua traffic dienkripsi dari ujung ke ujung.
7. Backup Konfigurasi Rutin
Jangan sampai kerjaan kalian hilang karena router kena reset paksa. Backup konfigurasi minimal seminggu sekali:
- Ekspor file config via System > Export.
- Simpan di cloud atau PC lokal.
- Bisa juga pakai script auto-backup ke FTP:
/system scheduler
add name="Auto Backup" interval=1w on-event="/export file=backup"8. Monitor Log dan Aktivitas Mencurigakan
Aktifkan logging untuk memantau aktivitas tidak biasa:
- Buka Log di Winbox, filter pesan seperti “invalid user” atau “connection refused“.
- Gunakan tools eksternal seperti The Dude atau Zabbix untuk notifikasi real-time.
Kalau ada IP yang nyoba brute force, langsung blokir di firewall!
Baca Juga: Mikrotik hEX Refresh – Router Murah dengan Fitur Level Enterprise, Worth It?
FAQ (Yang Sering Ditanyakan)
Q: Apa risiko jika pakai password default?
A: Router kalian bisa diambil alih hacker dalam hitungan menit. Mereka bisa ubah setting, matikan jaringan, atau pakai bandwidth untuk serangan DDoS.
Q: Port mana saja yang harus ditutup di firewall?
A: Blokir semua port kecuali yang memang diperlukan (misal: 80 untuk web, 443 untuk VPN). Port seperti 23 (Telnet), 21 (FTP), atau 22 (SSH default) wajib di-disable atau dipindah ke port lain.
Q: Apakah update RouterOS bisa bikin router error?
A: Jarang banget, tapi selalu backup config sebelum update. Kalau ada masalah, tinggal restore backup.
Q: Bagaimana cara tahu router saya sudah kebobolan?
A: Cek log untuk aktivitas mencurigakan, seperti login gagal berkali-kali atau traffic tinggi di jam sepi.
Akhir Kata
Gimana? Gak susah kan cara mengamankan Mikrotik RouterOS? Kuncinya adalah konsisten dan rutin cek keamanan.
Jangan sampai lengah, karena ancaman di dunia maya makin canggih. Kalau artikel ini membantu, share ke teman-teman biar mereka juga bisa amankan jaringannya. Kalo ada pertanyaan, komen di bawah ya.