Kontak Kami
Kata SUHU

Firewall MikroTik: Cara Mengamankan Router Mikrotik untuk Network Infrastructure Engineer

31 Des 2025

Tahukah kamu? Kalau banyak kasus kebocoran data, DDoS, hingga router takeover, yang ternyata masalahnya bukan pada server atau aplikasi, tapi konfigurasi router yang lemah, terutama pada sisi firewall dan hardening sistem.

Mengapa Firewall MikroTik Sangat Penting dalam Router Protection?

Firewall pada MikroTik tidak hanya rule allow dan drop. Firewall RouterOS mencakup:

  • Packet filtering

  • Connection tracking

  • NAT

  • Service protection

  • Control plane protection

Jika firewall tidak dikonfigurasi dengan baik, maka:

  • Router dapat diakses dari WAN

  • Diambil alih (router hijacking)

  • Digunakan sebagai botnet

  • Service management (WinBox, SSH, API) terbuka

  • Router menjadi target brute force, exploit, dan DDoS

  • Seluruh jaringan internal ikut terekspos

Oleh karena itu, firewall harus dipadukan dengan system hardening, bukan berdiri sendiri.

Join webinar GRATIS tentang Advanced Network Access Control with MikroTik: Design, Enforcement & Live Demo yuk [daftar disini]

Ini Cara Mengamankan Router Mikrotik

Firewall Fundamental

1. Update RouterOS

Langkah pertama dalam router protection adalah memastikan RouterOS selalu diperbarui.

Mengapa ini penting?

  • Versi lama RouterOS memiliki celah keamanan serius (contoh: CVE-2018-14847 WinBox exploit)
  • Security patch hanya tersedia di versi terbaru
  • Firewall sekuat apapun tidak efektif jika operating system memiliki vulnerability

Best practice:

  • Gunakan Stable atau Long-term release untuk production
  • Pantau security advisory di MikroTik Security
  • Lakukan update via WinBox atau WebFig minimal setiap quarter atau saat ada critical patch

Catatan: Selalu backup konfigurasi sebelum melakukan update.

2. Hardening Akses Administrator Router

Mikrotik Hardening Ganti Username Password Default

Mengamankan Username dan Password

Router MikroTik secara default memiliki user admin yang sudah diketahui publik. Ini adalah target utama brute force attack.

Best practice:

  • Buat user baru dengan nama custom

  • Nonaktifkan user admin

Contoh:

/user add name=netadmin01 password=StrongPassword!23 group=full

/user disable admin

 Manfaat:

  • Mengurangi kemungkinan brute force

  • Mencegah exploit berbasis default credential

Password Policy yang Powerful

Password administrator harus:

  • Minimal 12 karakter

  • Kombinasi huruf besar, kecil, angka, simbol

  • Bukan kata kamus

  • Tidak digunakan ulang

3. Konfigurasi Basic Firewall untuk Input Chain

Chain INPUT adalah pertahanan pertama router dari akses tidak sah. Berikut konfigurasi firewall dasar yang harus diterapkan:

Prinsip Firewall Router:

  1. Drop semua input dari WAN by default
  2. Allow hanya established/related connections
  3. Allow management dari IP/subnet tertentu saja
  4. Log dropped packets untuk monitoring

Pada konfigurasi standar (Quick Set), MikroTik menyediakan basic firewall untuk memblokir akses dari WAN. Namun pada instalasi manual, rule ini harus dibuat secara eksplisit.

4. Remote Access Aman dengan VPN (WireGuard)

Remote Access Aman Dengan Vpn (wire Guard)

Jangan pernah membuka port WinBox (8291), SSH (22), atau HTTPS (443) langsung ke internet.

Solusinya: gunakan VPN dengan WireGuard. WireGuard adalah VPN yang:

  • Menggunakan enkripsi state-of-the-art (ChaCha20, Poly1305)
  • Konfigurasi lebih sederhana dibanding OpenVPN/IPsec
  • High performance dengan overhead minimal
  • Codebase kecil = attack surface minimal

Ikuti pelatihan : MikroTik Certified Network Associate (MTCNA) + Exam

5. Disable MAC-Based Access

Block Mac Address From Mikro Tik Bridge

RouterOS memiliki fitur MAC-Telnet, MAC-WinBox, dan MAC-Ping, yang sangat membantu saat troubleshooting, tetapi berbahaya di production environment.

Service yang wajib dimatikan:

  • MAC-Telnet

  • MAC-WinBox

  • MAC-Ping

/tool ​​mac-server set allowed-interface-list=none

/tool ​​mac-server mac-winbox set allowed-interface-list=none

/tool ​​mac-server ping set enabled=no

Risiko jika dibiarkan aktif:

  • Bypass IP firewall

  • Serangan dari internal network

  • Reconnaissance tanpa autentikasi IP

Ini adalah bagian dari firewall layer-2 protection, yang sering diabaikan oleh administrator.

6. Neighbor Discovery

Neighbors Winbox

Neighbor Discovery menampilkan router MikroTik ke perangkat lain di jaringan.

Risiko jika dibiarkan:

  • Attacker bisa melihat tipe router

  • Mengetahui versi RouterOS

  • Mengetahui interface aktif

Best practice:

  • Matikan neighbor discovery di semua interface production

  • Aktifkan hanya di lab atau management VLAN

Firewall yang baik bukan hanya memblokir trafik, tapi juga menyembunyikan informasi.

7. Firewall Service Hardening: Menonaktifkan Layanan yang Tidak Digunakan

Disable Interface Mikrotik

Setiap service yang aktif adalah attack surface.

Service RouterOS

Production Status

Risiko

Bandwidth Server

Disable

Abuse bandwidth test

DNS Cache

Disable (jika tidak perlu)

DNS abuse

Proxy

Disable

Open proxy exploit

SOCKS

Disable

Abuse relay

UPnP

Disable

Port exposure

Cloud/DDNS

Disable jika tidak dipakai

Info leakage

Firewall MikroTik seharusnya melindungi router, bukan justru memperluas permukaan serangan.

8. Protect DNS dan Firewall

Disable Dns Chache Mikrotik

Jika router tidak berfungsi sebagai DNS server untuk klien, DNS cache harus dimatikan.

Risiko Open DNS Resolver:

  • Dimanfaatkan untuk DNS amplification attack

  • Router masuk daftar hitam global

  • Trafik melonjak tanpa disadari

Firewall ideal:

  • DNS hanya menerima request dari jaringan internal

  • Tidak melayani request dari WAN

Baca juga : MikroTik Certified Network Associate (MTCNA) + Exam

9. Secure SSH

Secure SSH

SSH adalah akses paling berbahaya jika tidak diamankan.

Hardening SSH di MikroTik:

  • Gunakan strong crypto

  • Nonaktifkan algoritma lama (SHA-1)

  • Gunakan key-based authentication jika memungkinkan

  • Batasi IP source via firewall

SSH tanpa firewall dan hardening adalah sumber terbuka bagi attacker.

10. Interface Security: Firewall Dimulai dari Port Fisik

Setiap interface yang aktif bisa menjadi pintu masuk.

Best practice:

  • Nonaktifkan semua port Ethernet/SFP yang tidak digunakan

  • Gunakan VLAN separation

  • Terapkan firewall per interface-list (WAN, LAN, MGMT)

Firewall MikroTik bekerja optimal jika dikombinasikan dengan interface hygiene yang baik.

11. Perlindungan Fisik: LCD dan Local Access

Disable Lcd Mikrotik

Beberapa RouterBOARD memiliki LCD.

Risiko:

  • Informasi sensitif tampil

  • Bisa diakses secara fisik

Solusi:

  • Set PIN LCD

  • Atau nonaktifkan sepenuhnya

Firewall logis harus dilengkapi physical security.

Baca juga : Pelatihan dan Sertifikasi Network Administrator Madya

Arsitektur Firewall MikroTik yang Direkomendasikan

Berikut gambaran best practice firewall MikroTik untuk router protection:

Layer

Proteksi

OS

Update RouterOS

Credential

Username & password kuat

Service

Disable layanan tidak perlu

Management

Akses via VPN saja

Firewall Filter

Drop WAN by default

Control Plane

Batasi SSH/WinBox

Layer 2

Disable MAC access

Interface

Disable unused port

Kesimpulan

Firewall MikroTik bukan sekadar rule filter, tetapi bagian dari strategi Router Protection yang menyeluruh. Dengan menggabungkan:

  • Firewall filtering yang ketat

  • System hardening RouterOS

  • Manajemen akses berbasis VPN

  • Pengurangan attack surface

  • Proteksi layer fisik dan logis

MikroTik dapat menjadi router yang sangat aman, bahkan untuk enterprise environment dan ISP.

Mau menguasai MikroTik lebih advanced? 🚀

Jika Anda berminat untuk mempelajari tentang Firewall MikroTik Router Protection silakan mengikuti pelatihan bersama SUHU.

Berikut rekomendasi pelatihan untuk Anda atau tim IT Anda:

Silakan konsultasikan kebutuhan Anda bersama kami dengan klik link berikut: https://bit.ly/kontaksuhu

Tulisan ini bermanfaat bagimu?

Kata SUHU Pilihan

Lihat semua kata SUHU
Loading...