| Mikrotik Port Service | Description |
|---|---|
Application Programmable Interface (API), suatu layanan yang memungkinkan pengguna membuat perangkat lunak atau aplikasi khusus yang berkomunikasi dengan router, misalnya untuk mengambil informasi di router, atau bahkan mengkonfigurasi router. Menggunakan port 8728. Port API ini sering diserang menggunakan BRUTE FORCE, Anda dapat mengubah port tersebut atau menonaktifkannya jika tidak digunakan.
# API Port Enable
|
|
Fungsinya sama dengan API, hanya saja untuk SSL API lebih aman karena dilengkapi dengan sertifikat ssl. SSL API ini berjalan pada port 8729. Anda dapat mengubah port atau menonaktifkannya saat tidak digunakan.
# API-SSL Port Enable
|
|
Mikrotik menyediakan layanan FTP standar yang menggunakan port 20 dan 21. FTP biasanya digunakan untuk mengupload atau mendownload data router, seperti file backup. Otorisasi FTP menggunakan pengguna & kata sandi akun router. FTP ini port sering diserang menggunakan BRUTE FORCE, Anda dapat mengubah port atau menonaktifkannya jika tidak digunakan.
# FTP Port Enable
|
|
Merupakan salah satu cara untuk meremote router di console dengan secure. Hampir sama dengan telnet, hanya saja lebih aman karena data yang dikirimkan melalui SSH dienkripsi. MikroTik SSH secara default menggunakan port 22. Port SSH ini adalah sering diserang menggunakan BRUTE FORCE, Anda dapat mengubah port atau menonaktifkannya jika tidak digunakan.
# SSH Port Enable
|
|
Fungsinya hampir sama dengan ssh, namun memiliki beberapa keterbatasan dan tingkat keamanan yang rendah. Biasanya digunakan untuk remote router di konsol. Layanan telnet MikroTik menggunakan port 23. Port TELNET ini sering digunakan diserang menggunakan BRUTE FORCE, Anda dapat mengubah port atau menonaktifkannya jika tidak digunakan.
# TELNET Port Enable
|
|
Layanan yang memungkinkan aplikasi Winbox terhubung ke router. Tentu kita sudah tidak asing lagi dengan aplikasi Winbox yang digunakan untuk melakukan remote router secara grafis. Koneksi Winbox menggunakan port 8291. Beberapa versi routeros dapat dihack menggunakan eksploitasi, Anda dapat mengubah Portnya agar lebih Aman!
# WINBOX Port Enable
|
|
Selain remote console dan winbox, Mikrotik juga menyediakan cara mengakses router melalui web-base dengan menggunakan browser. Port yang digunakan adalah port HTTP standar yaitu port 80, Anda dapat mengubah port tersebut atau menonaktifkannya jika tidak digunakan.
# WWW (webfig) Port Enable
|
|
Sama seperti layanan WWW yang memungkinkan akses router menggunakan basis web, namun www-ssl lebih aman karena menggunakan sertifikat SSL untuk membuat koneksi antara router dan klien jarak jauh. Secara default menggunakan port 443, Anda dapat mengubah port tersebut atau menonaktifkannya jika tidak digunakan.
# WWW-SSL (webfig) Port Enable
|
|
| Advanced Router Security | Description |
Mikrotik mempunyai protokol yang dapat menyiarkan domain melalui layer 2 sehingga perangkat Mikrotik dapat saling menemukan jika berada dalam jaringan layer 2 yang sama, namanya Mikrotik Neighbor Discovery Protocol (MNDP). Perangkat yang mendukung MNDP dan CDP dapat mencari atau mengetahui informasi router lainnya seperti informasi identitas Router, MAC-Address, dan IP-Address. Contoh termudah ketika kita akan melakukan winbox pada tab Neighbors, kita akan melihat beberapa informasi router yang terhubung ke layer 2 dengan Network Info kita.
# Hide Discover Interface Broadcast
|
|
Dengan menonaktifkan antarmuka penemuan, bukan berarti router tidak dapat diremote menggunakan MAC-Address. Jika sebelumnya Anda sudah menyimpan atau mengetahui MAC-Address Router, Anda masih bisa menggunakan MAC-Address tersebut dari jarak jauh. Jika ingin router tidak bisa di remote menggunakan MAC-address baik melalui Winbox maupun melalui telnet, matikan fitur MAC-Server pada router.
# Protect login from Mac Address
|
|
|
Di Mikrotik terdapat fitur yang berfungsi untuk melindungi akses ke sistem router, terutama yang berkaitan dengan penggunaan tombol reset. Fiturnya adalah "RouterBOOT Terlindungi". Jika fitur ini diaktifkan, beberapa fungsi tidak dapat dijalankan secara default, yaitu tombol reset dan reset lubang pin. Dan akses router dari konsol juga akan dinonaktifkan.
Note: in ROS New version, after paste script to enable, don't forget press button within 60 seconds to confirm protected routerboot enable
# Enable Bootloader Protector
|
|
Router Mikrotik juga memiliki fitur Btest Server yang dapat digunakan untuk menguji koneksi yang telah terbentuk. Namun jika fitur ini tiba-tiba digunakan oleh pihak luar, router kita terpaksa menghasilkan trafik atau menerima trafik uji bandwidth, bisa jadi bandwidth kita habis atau tiba-tiba beban CPU kita menjadi 100%. Tentu saja karena admin jaringan tidak menginginkan hal tersebut, lebih baik fitur ini dimatikan saja.
# Btest Server Enable
|
|
RoMON adalah 'MikroTik Proprietary Protocol' atau protokol yang hanya didukung oleh perangkat MikroTik. Komunikasi RoMON didasarkan pada parameter ID RoMON yang diambil dari alamat MAC router. Perangkat berkemampuan RoMON akan menemukan MAC Address Peer dan juga protokol penerusan data secara mandiri. jika Anda tidak ingin alamat mac Anda tersebar ke semua jaringan Anda dapat menonaktifkan RoMON.
# Enable RoMON
|
|
| Optional Router Security | Description |
Mengamankan Service Port Default yang digunakan Mikrotik seperti telnet, ssh, ftp, winbox, www dan api. atau jika tidak digunakan dapat dimatikan/dinonaktifkan. jika menggunakan port khusus, silakan tambahkan port Anda sendiri.
# Protect Port Service from Internet
|
|
|
Kerentanan memungkinkan alat khusus untuk terhubung ke port Winbox, dan meminta file database pengguna sistem.
Versi yang terpengaruh: Mempengaruhi semua rilis perbaikan bug dari 6.30.1 hingga 6.40.7, dari 6.29 hingga 6.42 dan dari 6.29rc1 hingga 6.43rc3
# Anti Hack from EXPLOIT
|
|
DDoS ini dikenal dengan nama Memcrashed, dimana penyerang mengeksploitasi protokol UDP port 11211 yang digunakan oleh layanan Memcached dari server web. Memchaced adalah teknologi yang digunakan untuk penyimpanan data dan sistem distribusi di memori server. Semakin dinamis aplikasi dan web, maka semakin banyak pula permasalahan dan lambatnya sistem itu sendiri ketika harus mengambil (memuat) data dari database secara langsung karena seringnya proses baca dan tulis di penyimpanan.
# Memcrashed - Amplification Attacks UDP 11211
|
|
Modem atau router ISP umumnya memiliki konfigurasi default. Baik itu alamat IP hingga username dan passwordnya. Jika ada orang yang memahami hal ini tentunya akan berbahaya bagi jaringan internet anda apalagi bagi anda yang pernah mengelola jaringan publik seperti hotspot, karena bisa jadi nantinya anda akan diganggu oleh orang tersebut seperti mengubah konfigurasi. , mengubah nama wifi, kata sandi wifi.
# Block ACCESS MODEM
|
|
Untuk menyembunyikan melalui beberapa router atau melalui ISP mana agar client tidak bisa membaca jalur jaringan kita, kita bisa menyembunyikan atau drop untuk traceroute kecuali tujuannya, berikut script untuk menyembunyikan jaringan Mikrotik kita lalu lintas.
# Drop TRACEROUTE
|
|
Anti Netcut, Netcut mengeluarkan ARP dan menyerang Layer2, namun setidaknya dengan script di bawah ini kita mampu menjawab siapa yang nakal dan ingin memutus jaringan kita.
# ANTI NETCUT
Open System Scheduler and enter this script into "AutoBlockNetcut"
local a [/ip firewall address-list get [find list="NetcutUser"] address]
|
|
Pernahkah Anda merasakan akses internet tiba-tiba terasa lambat? bisa jadi ada orang nakal yang menggunakan IP router publik kita sebagai DNS server, biasanya hal ini ditandai dengan tingginya kecepatan upload ke internet, untuk menghindarinya kita cukup menggunakan script dibawah ini.
# Block Open Recursive DNS
|
|
Mencegah Open proxy disalahgunakan oleh pihak luar. jika menggunakan port khusus, silakan tambahkan port Anda sendiri.
# Block Open PROXY
|
|
Antisipasi serangan DDoS yaitu dengan membatasi jumlah koneksi pada aturan firewall. Ketika terjadi serangan DDoS, sistem mendeteksi jumlah permintaan koneksi melebihi batas yang ditentukan.
# Anti DDoS Attacks
|
|
Untuk mengurangi segala macam resiko dan kerugian yang diakibatkan oleh pihak-pihak yang tidak bertanggung jawab, maka kita sebagai Network Administrator atau Network Support / Engineer juga dituntut untuk selalu aktif menjaga dan mencegah ancaman keamanan khususnya dari sisi jaringan. Berbagai macam tindakan yang dapat dilakukan untuk mencegah dari sisi jaringan. Salah satu caranya adalah dengan melakukan drop traffic dari aplikasi Port Scanner.
# Anti PORT SCAN
|
|
BRUTE FORCE merupakan serangan yang dilakukan untuk membobol password dengan cara mencoba setiap password secara acak mulai dari kombinasi huruf, angka dan simbol, hingga akhirnya menemukan password yang tepat. Biasanya BRUTE FORCE dilakukan oleh robot atau program, karena untuk mendapatkan kombinasi huruf, angka dan simbol maka program/algoritma tertentu dapat dengan cepat membuatnya.
# Anti Hack from BruteForce FTP + SSH
|
|
|
Dalam jaringan komputer, port knocking adalah metode membuka port secara eksternal pada firewall dengan menghasilkan upaya koneksi pada sekumpulan port tertutup yang telah ditentukan sebelumnya. Setelah urutan upaya koneksi yang benar diterima, aturan firewall dimodifikasi secara dinamis untuk memungkinkan host yang mengirim koneksi mencoba untuk terhubung melalui port tertentu. Untuk mencegah penyerang memindai sistem untuk layanan yang berpotensi dieksploitasi dengan melakukan port memindai, karena kecuali penyerang mengirimkan urutan ketukan yang benar, port yang dilindungi akan tampak tertutup.
Ukuran Paket Unik Untuk Mengetuk Kunci: 72 dan 172 Contoh Membuka Key Ping Secara Manual di CMD Windows: Ketukan Tombol Pertama = ping -l 72 (Alamat IP) Ketukan Tombol Kedua = ping -l 172 (Alamat IP) Contoh Buka Ping Kunci Secara Manual di Terminal Linux atau MacOS: Ketukan Tombol Pertama = ping -s 72 (Alamat IP) Ketukan Tombol Kedua = ping -s 172 (Alamat IP)
# Port Knocking Use Icmp + Packet Size
|