fbpx
 

Archive

Melindungi Router Mikrotik dari Ransomware

Akhir akhir ini marak kejadian Router Mikrotik di Hack oleh orang-orang yang tidak bertanggung jawab dengan mengunci Boot Loader di Mikrotik Router tersebut sehingga tidak dapat dilakukan reset ataupun netinstall dan melakukan permintaan imbalan untuk membuka kunci Boot Loader Mikrotik tersebut. Hal ini kita sebutkan sebagai Ransomware.

Apa itu Ransomware? Ransomware adalah jenis perangkat lunak berbahaya yang dirancang untuk memblokir akses ke sistem komputer, router atau perangkat dalam sebuah jaringan dan bahkan sebuah file di komputer Anda hingga sejumlah uang dibayarkan. Dalam hal Router Mikrotik, pelaku mengunci Boot Loader Router yang terpengaruh, membuatnya tidak dapat diakses, dan meminta pembayaran tebusan untuk memulihkan akses perangkat tersebut.

Apakah Anda membutuhkan IP Publik untuk Mikrotik atau Server lokal Anda? Atau mungkin Anda mencari solusi Tunneling untuk mengganti nama ISP di Speedtest Anda. VPS Mikrotik CHR Murah dari Herza.ID adalah solusinya.

Nah, maka dari itu, mari kita menyimak beberapa tahapan yang dapat membantu Anda dalam melindungi Router Mikrotik Anda dari Ransomware.

Cara Melindungi Router Mikrotik dari Ransomware

Lakukan Daily Backup

Lakukan backup secara berkala atas konfigurasi router mikrotik Anda untuk menghindari lamanya downtime ketika Router Anda bermasalah. Dengan melakukan backup secara berkala, ketika Router Anda bermasalah, Anda dengan mudah dapat mengganti Router Anda dengan Router cadangan dengan mengimport file konfigurasi yang telah terbackup sebelumnya. Hal ini dapat kita lakukan menggunakan scheduler script untuk membackup ke email.

/system script
add dont-require-permissions=yes name=EmailBackup source=":\
    log info \"Starting Backup Script...\"\r\
    \n:global backupfile ([/system identity get name] . \".backup\")\r\
    \n:if ([/file find name=\$backupfile] != \"\") do={/file rem \$backu\
    pfile}\r\
    \n:delay 2s\r\
    \n/system backup save name=\$backupfile\r\
    \n:log info \"Waiting 7s for backup to complete...\"\r\
    \n:delay 7s\r\
    \n:log info \"Backup being emailed...\"\r\
    \n/tool e-mail send to=\"[email protected]\" subject=([/system ide\
    ntity get name] . \" Backup\") [email protected] user=\"[email protected]\" password=\"passwordemailku\" file=\$backupfile server=smtp.emailku.com\r\
    \n:log info \"Finished Backup Script!\""
/system scheduler
add interval=1d name=EmailBackup on-event=ebackup start-date=\
    mar/04/2019 start-time=01:00:00

Jangan lupa untuk mengganti domain @emailku.com dengan domain ISP atau perusahaan anda, ganti passwordemailku dengan password email anda yang digunakan untuk mengirim email, ganti smtp.emailku.com dengan smtp ISP atau perusahaan anda.

Silahkan baca Panduan Dasar Mikrotik CLI (Command Line Interface), mungkin bermanfaat buat Anda.

Pengamanan Dasar Mikrotik

Selanjutnya, untuk mengamankan Router Mikrotik Anda, sangat disarankan bagi seluruh User Mikrotik untuk melakukan beberapa langkah dasar berikut untuk pengamanan di Router Anda.

Jangan Pernah Menggunakan Port Default Winbox

Selalu untuk merubah port standar winbox dari 8291 menjadi port lainnya, ingat jangan gunakan port 0 sd 1024 karena port tersebut sudah digunakan oleh layanan yang sudah di definisikan secara baku, pakailah port di atas 1024 misalnya menjadi 18291 jangan gunakan port diatas 65535 https://en.wikipedia.org/wiki/Port_(computer_networking)

Caranya, di RouterOS Anda klik IP > SERVICE kemudian akan muncul window IP SERVICE LIST seperti dibawah ini. Double Klik Winbox, kemudian ganti Port sesuai dengan yang Anda inginkan.

Kemudian, layanan-layanan yang Anda tidak butuhkan seperti API, FTP, SSH, Telnet, WWW jika tidak butuhkan sebaiknya di Non Aktifkan dengan cara memilih layanan tersebut kemudian mngklik tombok X pada window IP SERVICE LIST tersebut.

Grouping Interface ke Interface-List

Membuat grouping interface ke dalam interface-list untuk memudahkan dalam pembuatan rule firewall yang akan kita buat.

Pada script berikut saya membuat interface list dengan nama “Upstream” dengan memasukkan interface VLAN dengan nama OpenIXP, CDIX dan ether4 kedalam list Upstream tersebut. Kita bisa memasukan beberapa interface fisik ataupun VLAN ke sebuah list interface.

/interface list
add comment="Interface Upstream" name=Upstream
/interface list member
add interface=ether4 list=Upstream
add interface=OpenIXP list=Upstream
add interface=CDIX list=Upstream
Grouping IP Address sebagai ournetwork

Sekarang kita akan membuat grouping IP Address dan/atau Network Address “ournetwork” yang akan berisi seluruh prefix IP yang Anda gunakan serta IP PTP Upstream Anda.

/ip firewall address-list
add address=103.152.XXX.XXX/23 list=ournetwork
add address=192.168.XXX.XXX/24 list=ournetwork
add address=202.78.XXX.XXX/27 comment=DTP-IIX list=PTP-Upstream
add address=218.100.XXX.XXX/24 comment=OpenIXP list=PTP-Upstream
add address=103.30.XXX.XXX/23 comment=CDIX list=PTP-Upstream
add address=103.225.XXX.XXX/25 comment=CXC list=PTP-Upstream
Buat Firewall Rules & Raw untuk Mengamankan Router Anda

Setelah Interface List dan IP Address telah kita grouping, sekarang kita bisa dengan mudah menggunakan list tersebut kedalam Firewall Rules & Raw yang akan kita gunakan.

/ip firewall filter
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="PORT SCANNER" protocol=tcp \
    psd=21,3s,3,1
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" \
    protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp \
    tcp-flags=fin,syn
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp \
    tcp-flags=syn,rst
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" \
    protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Port_Scanner" \
    address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp \
    tcp-flags=fin,syn,rst,psh,ack,urg
add action=accept chain=output comment="FTP BLAACKLIST" content=\
    "530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
    address-list-timeout=3h chain=output content="530 Login incorrect" \
    protocol=tcp
add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=input comment="SSH BLACKLIST" \
    connection-state=new dst-port=22 protocol=tcp src-address-list=\
    ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp
add action=accept chain=input comment="ACCEPT BGP DARI Upstream" \
    in-interface-list=Upstream log-prefix="bgp  : " protocol=tcp \
    src-address-list=PTP-Upstream
add action=accept chain=input comment="ACCEPT BGP DARI Upstream" \
    dst-address-list=PTP-Upstream in-interface-list=Upstream log-prefix=\
    "bgp  : " protocol=tcp
add action=accept chain=input comment="ACCEPT ICMP" log-prefix="icmp  : " \
    protocol=icmp src-address-list=ournetwork
add action=accept chain=input comment="ACCEPT ICMP" log-prefix="icmp  : " \
    protocol=icmp src-address-list=PTP-Upstream
add action=accept chain=input comment="ACCEPT ALL DARI ROUTER DISTRIBUSI" \
    in-interface-list=!Upstream log-prefix="not Upstream : " \
    src-address-list=ournetwork
add action=accept chain=input comment="ACCEPT ALL DARI ROUTER DISTRIBUSI" \
    dst-address-list=ournetwork in-interface-list=!Upstream log-prefix=\
    "not Upstream : "
add action=add-src-to-address-list address-list=winbox-exploit \
    address-list-timeout=5m chain=forward comment="WINBOX EXPLOIT" \
    dst-port=8291 in-interface-list=Upstream log-prefix="WINBOX EXPLOIT : " \
    protocol=tcp
add action=add-src-to-address-list address-list=proxy-socks-exploit \
    address-list-timeout=5m chain=forward comment="PROXY SOCKS EXPLOIT" \
    dst-port=8000,3128,1080,4145 in-interface-list=Upstream log-prefix=\
    "PROXY SOCKS EXPLOIT : " protocol=tcp

Dari script firewall rules diatas bisa kami jelaskan adalah mengenai akss yang dibolehkan ke Mikrotik RouterOS hanya dari address-list=ournetwork dan PTP-Upstream sedangkan akses dari interface distribusi atau “!Upstream” = bukan Upstream di ALLOW. Serta koneksi BGP via TCP di ALLOW dari dan ke interface “Upstream”

Sedangkan pada IP > FIREWALL > RAW, saya manDROP seluruh aktivitas yang telah ditangkap oleh Firewall Rules yang kami buat diatas seperti SSH BLACKLIST (Percobaan bruteforce ke SSH Router Mikrotik), DROP WINBOX (Seluruh Akses ke Port Winbox Default 8291 akan ditolak demi keamanan) dan juga DROP PORT SCANNER (Seluruh aktivitas Scanning akan diblok oleh Filter Raw ini. Disamping itu, saya juga menangkap dan DROP semua traffic ke yang mengarah ke Port 8000,3128,1080,4145 yang masuk via interface Upstream menuju ke jaringan distribusi yang dikawatirkan digunakan hacker untuk menyerang Mikrotik RouterOS distribusi dan pelanggan di melalui IP->Firewall->Raw

/ip firewall raw
add action=drop chain=prerouting comment="DROP ACTIVE DIRECTORY" dst-port=\
    445 log-prefix="drop 445 : " protocol=tcp
add action=drop chain=prerouting comment="DROP TCPMUX" dst-port=1 \
    log-prefix="drop 445 : " protocol=tcp
add action=drop chain=prerouting comment="SSH BLACKLIST" in-interface-list=\
    Upstream src-address-list=ssh_blacklist
add action=drop chain=prerouting comment="DROP WINBOX" dst-port=8291 \
    in-interface-list=Upstream log-prefix="DROP WINBOX EXPLOIT : " \
    protocol=tcp src-address-list=winbox-exploit
add action=drop chain=prerouting comment="DROP PORT SCANNER" \
    in-interface-list=Upstream log-prefix="DROP PORT SCANER : " \
    src-address-list="port scanners"
add action=drop chain=prerouting comment="DROP PROXY SOCKS" \
    in-interface-list=Upstream log-prefix="DROP PROXY SOCKS : " \
    src-address-list=proxy-socks-exploit
add action=drop chain=prerouting comment="DROP NETBIOS" dst-port=137-139 \
    log-prefix="drop 445 : " protocol=tcp
add action=drop chain=prerouting comment="DROP NETBIOS" dst-port=137-139 \
    log-prefix="drop 445 : " protocol=udp

Penutup

Seluruh Firewall Rules dan Raw diatas adalah bukan bentuk baku yang harus Anda ikuti. Anda harus mengikuti sesuai dengan kebutuhan dan Topologi jaringan Anda. Kemungkinan ada beberapa Rules yang butuh adjustment ataupun revisi untuk disesuaikan dengan kebutuhan jaringan Anda.

Panduan Dasar Mikrotik CLI (Command Line Interface)

Jika Anda adalah pengguna VPS Mikrotik dari Herza.ID, maka Panduan Dasar Mikrotik CLI ini akan sangat berguna untuk melakukan maintenance melalui VNC jika Anda tidak dapat mengakses Winbox melalui Internet.

Kita dapat menggunakan beberapa cara untuk mengakses Mikrotik CHR, yaitu melalui Web Console, Winbox GUI, SSH dan beberapa layanan lainnya yang harus diakses dengan koneksi Internet. Tetapi, bagaimana jika terjadi kesalahan dalam konfigurasi Mikrotrik CHR Anda, dan mengakibatkan, VPS Mikrotik Anda tidak dapat diakses melalui Internet. Maka satu satunya cara adalah dengan mengakses VPS Mikrotik Anda melalui VNC pada Panel VPS Anda.

Baca juga Artikel kami tentang Cara Menginstall Mikrotik CHR di VPS.

Mengkonfigurasi Mikrotik CHR menggunakan perintah CLI tentunya lebih menantang daripada akses melalui GUI seperti Winbox dan Browser. Karena minimum kita harus menguasai logika susunan perintah Mikrotik itu sendiri. Dan mengkonfigurasi Mikrotik menggunakan CLI mempunyai beberapa kelebihan, diantaranya untuk mengakses Mikrotik bisa dengan menggunakan telnet, ssh, kabel serial, menu terminal pada winbox atau pada tutorial kali ini, kita akan mengakses Mikrotik menggunakan VNC melalui Panel VPS.

Akses Mikrotik CHR melalui VNC

1. Login ke Clientarea dan klik pada menu Layanan > Layanan Saya. Pada Halaman tersebut, silahkan Klik Layanan VPS Mikrotik Anda. Maka akan muncul menu seperti dibawah ini.

Akses Menu VNC pada Panel VPS Anda

2. Klik menu VNC pada Panel VPS Anda, kemudian dilanjutkan dengan mengklik Launch HTML 5 VNC Client seperti pada gambawah dibawah ini.

Akses VNC pada VPS Mikrotik Anda

3. Setelah itu, maka Virtual Console akan terbuka melalui Port VNC (Virtual Network Computing).

Tampilan Default pada VNC

4. Silahkan Login dengan memasukkan Username dan Password Anda. Maka Anda akan login ke Terminal CLI Mikrotik CHR Anda.

Login ke Terminal CLI Mikrotik

5. Hal yang pertama kita lakukan, jika terjadi kesalahan konfigurasi pada Mikrotik CHR Anda, kita akan melakukan Reset ke Default setting dengan memasukkan perintah berikut.

/system reset-configuration
Reset Mikrotik CHR

Konfirmasi akan diminta untuk melakukan Reset, dan tekan y kemudian Enter. Maka sekarang Mikrotik akan mereset ke konfigurasi default.

6. Masukkan username default Mikrotik yaitu admin dan password dikosongkan saja kemudian tekan Enter.

7. Setelah login ke Terminal CLI Mikrotik CHR, yang pertama kita lakukan adalah mengeset nama Mikrotik CHR Anda dan Timezone.

/system identify set name=Herza
/system clock
set time-zone-autodetect=no
set time-zoe-name=Asia/Jakarta
/system clock print
Konfigurasi Awal Mikrotik CLI

8. Setelah itu, kita akan menginput IP VPS Mikrotik Anda agar dapat terhubung ke Internet. IP ini bisa Anda dapatkan dengan menghubungi Technical Support.

/ip address
add address=192.168.1.10/24 interface=ether1
/ip route add gateway=192.168.1.1
/ip route print
Setelah IP terinput, maka kita bisa melihat konfigurasi IP seperti diatas

9. Jika Anda pengguna VPS Tunneling dan melakukan Instalasi Mikrotik CHR sendiri, maka kemungkinan besar Anda tidak dapat mengakses Winbox Anda secara langsung. Dikarenakan Port Winbox default 8291 telah kami Blokir Akses nya dari luar untuk menghindari Brute Force bagi User yang lupa mengganti Port Default Winbox mereka.

Untuk awal, masukkan perintah berikut untuk memeriksa Port Service yang terbuka di Mikrotik CHR Anda.

/ip service print

Pada tampilan diatas, kita bisa melihat bahwa Port Winbox masih menggunakan Port standar yaitu 8291. Nah, mari kita lanjutkan perintah berikut untuk mengganti Port Winbox Anda.

/ip service edit winbox port

Maka, Anda akan melihat tampilan seperti diatas. Silahkan rubah port tersebut sesuai dengan port yang ingin Anda gunakan. Ingat jangan gunakan port 0 sd 1024 karena port tersebut sudah digunakan oleh layanan yang sudah di definisikan secara baku, pakailah port di atas 1024 misalnya menjadi 18291 jangan gunakan port diatas 65535 https://en.wikipedia.org/wiki/Port_(computer_networking)

Setelah itu, tekan tombol CTRL O pada keyboard Anda untuk menyimpan dan keluar dari file editor. Maka, sekarang Port Winbox Anda telah berubah.

10. Sekarang VPS Mikrotik Anda dapat diakses melalui Winbox

Demikianlah beberapa setingan dasar Mikrotik yang menggunakan Perintah Dasar CLI – command line interface Mikrotik yang telah kita buat, semoga ada manfaatnya. Jangan lupa membaca Konfigurasi Dasar untuk Mengamankan Router Mikrotik Anda.

Cara Install Mikrotik (CHR) di VPS

Mikrotik merupakan perangkat jaringan yang banyak digunakan di Indonesia. Alasannya karena konfigurasi yang jauh lebih mudah daripada perangkat jaringan lainnya seperti Cisco ataupun Juniper. Lini Produk Mikrotik sangat besar, mulai dari Produk Home Based sampai ke kalangan Enterprise atau skala besar. Semua ini karena dukungan RouterOS dari Mikrotik.

MikroTik RouterOS adalah sistem operasi berbasis kernel Linux yang mengubah komputer menjadi router jaringan. Ia memiliki fitur-fitur berikut:

  • 1. Firewall
  • 2. VPN
  • 3. Bandwidth shaping.
  • 4. Kualitas Layanan (QoS)
  • 5. Kemampuan untuk bertindak sebagai Akses Point Wireless
  • 6. Bridging
  • 7. Hotspot berbasis portal

Jangan lupa untuk membaca Artikel kami lainnya untuk Konfigurasi Dasar Mengamankan Router Mikrotik Anda

VPS CHR Mikrotik di Herza.ID

VPS Tunneling dari Herza.ID adalah salah satu opsi terbaik Anda jika ingin menggunakan Mikrotik CHR baik itu secara fungsional atau hanya sekedar belajar. Disamping itu Herza.ID menawaran VPS Mikotik CHR yang telah terinstall CHR dan Lisensi P1. Jika Anda memiliki lisensi Mikrotik CHR Anda, maka Anda bisa menggunakan VPS Tunneling / VPN.

VPS Mikrotik CHR & VPS Tunneling fungsinya sama, bisa digunakan sebagai Tunneling / VPN Server. Tetapi perbedaannya, VPS Tunneling hanya terinstall OS Linux. Dan dengan Anda mengambil VPS Tunneling kemudian menginstall Mikrotik CHR sendiri, maka kami tidak akan memberikan support Troubleshooting ketika terjadi masalah pada Mikrotik CHR Anda.

Disamping itu, Jaringan Infrastruktur Herza.ID didukung dengan Uplink Port 10 Gbps ke IIX, OIXP, CDIX, BatamIX, JKT-IX dan DCI-IX yang sangat berguna untuk digunakan dengan Mikrotik CHR Anda. Jangan lupa membaca Artkel kami tentang Apa itu IIX dan OIXP.

Nah, dengan informasi diatas, kita sekarang bisa memahami bahwa Mikrotik RouterOS bisa di Install diserver seperti VPS. Dan kali ini, kita akan membahas panduan untuk Anda agar Anda dapat menginstall Mikrotik Cloud Hosted Router (CHR) di VPS. Mohon di ingat bahwa Anda akan membutuhkan Lisensi untuk menjalankan Mikrotik CHR ini dengan sempurna. Tapi jangan khawatir, Mikrotik telah menyertakan sebuah lisensi pada CHR dengan kategori Licence Free. Namun, untuk kecepatan trafik masih dibatasi pada 1Mbit per interface.

Tahap Persiapan

Sebelum melakukan instalasi, pastikan anda memiliki VPS (Virtual Private Server). Apa itu VPS? Silahkan cek penjelasan menganai Apa itu VPS Hosting. Bagi anda yang belum punya, bisa didapatkan di VPS Indonesia Murah. Untuk menginstall Mikrotik CHR, anda dapat menggunakan CentOS 7 ataupun Ubuntu 16 atau 18. Nah, sekarang mari kita mulai

Tahapan Cara Instal Mikrotik CHR di VPS

Login ke VPS

Untuk memulai, silahkan login ke VPS Anda sebagai root. Anda bisa melakukan remote VPS via SSH melalui Terminal Linux atau Software PuTTy. Silahkan login dan masukkan password. Oiya, pastikan anda login sebagai “root”. Ketik “whoami” untuk mengecek apakah anda sudah login sebagai root atau belum.

Prosedur 1 Install Mikrotik CHR di VPS

Install Mikrotik CHR di VPS

Langkah selanjutnya yaitu melakukan instalasi Mikrotik CHR di VPS Anda. Silahkan copy paste perintah berikut di terminal/ putty.

wget https://download2.mikrotik.com/routeros/6.38.3/chr-6.38.3.img.zip -O chr.img.zip && \
gunzip -c chr.img.zip > chr.img && \
mount -o loop,offset=33554944 chr.img /mnt && \
ADDRESS=ip addr show eth0 | grep global | cut -d' ' -f 6 | head -n 1 && \
GATEWAY=ip route list | grep default | cut -d' ' -f 3 && \
echo "/ip address add address=$ADDRESS interface=[/interface ethernet find where name=ether1]
/ip route add gateway=$GATEWAY
" > /mnt/rw/autorun.scr && \
umount /mnt && \
echo u > /proc/sysrq-trigger && \
dd if=chr.img bs=1024 of=/dev/vda

Prosedur 2 Install Mikrotik CHR di VPS

Apabila sudah selesai, maka akan muncul seperti gambar di bawah ini.

Prosedur 3 Install Mikrotik dan mounting

Restart VPS

Lalu, silahkan restart VPS dengan cara klik tombol restart.

Prosedur 4 Install Mikrotik CHR di VPS

Tunggu sebentar hingga muncul tulisan “The VPS has restarted successfully”.

Login ke Mikrotik CHR di WinBox

Ada beberapa software yang memungkinkan anda untuk melakukan konfigurasi dengan Mikrotik. Salah satu software tersebut bernama Winbox. Anda bisa mendownloadnya secara gratis di https://www.mikrotik.co.id/download.php. Download lalu install Winbox di komputer anda. Apabila sudah, silahkan buka Winbox lalu masukkan IP Address VPS, login: admin dan password dikosongkan. Lalu klik Connect.

Prosedur 5 Login ke Mikrotik melalui Winbox

Sebelum Anda bisa login ke Winbox, sebaiknya Anda merubah Port default Winbox Anda melalui VNC. Silahkan baca Artikel Mengakses VPS Menggunakan VNC dan juga Artikel Panduan Dasar Mikrotik CLI (Command Line Interface).

Tunggu sebentar hingga Anda terhubung ke VPS Anda sehingga tampilan berubah seperti dibawah ini.

Prosedur 6 Install Mikrotik CHR di VPS

Selesai

Sudah selesai, kita telah berhasil menginstal Mikrotik Cloud Hosted Router (CHR) di VPS. Selanjutnya, jangan lupa untuk membaca Tutorial kami yang lain mengenai Cara Buat VPN All Traffic di VPS Mikrotik. Yang perlu diperhatikan adalah karena Mikrotik CHR adalah versi gratis, maka antarmuka eth0 hanya mendukung bandwidth 1 Mbps saja.