fbpx

Cara Mengamankan Router MikroTik dengan Port Knocking

port knocking mikrotik

Port knocking adalah metode keamanan yang menjaga port layanan sensitif seperti SSH atau Winbox pada server atau router dalam keadaan tersembunyi. Port ini tidak terdeteksi oleh pemindaian port biasa dan hanya akan aktif setelah menerima urutan ‘ketukan’ yang spesifik, yaitu percobaan koneksi ke serangkaian port tertentu dalam urutan dan waktu yang tepat. Setelah urutan ini berhasil, sistem akan sementara mengizinkan akses ke port layanan sensitif dari alamat IP yang melakukan knocking. Ini menambahkan lapisan keamanan tambahan yang memerlukan pengetahuan khusus tentang urutan ketukan yang benar.

Bayangkan sebuah rumah dengan beberapa pintu tersembunyi. Untuk masuk, kamu harus mengetuk pintu-pintu ini dalam urutan tertentu. Tidak ada yang bisa melihat pintu ini kecuali mereka tahu urutan ketukan yang tepat. Di dunia MikroTik, ‘rumah’ adalah router dan ‘pintu-pintu tersembunyi’ adalah port yang tidak terlihat bagi semua orang. Ketika seseorang ‘mengetuk’ port ini dalam urutan yang benar (mengirim paket ke port yang telah ditentukan dalam urutan tertentu), router mengenali ini sebagai sinyal untuk menambahkan IP orang tersebut ke dalam ‘Allowed List’. Setelah berada di dalam ‘Allowed List’, orang tersebut diberikan akses untuk meremote atau mengelola router tersebut sesuai konfigurasi firewall yang diterapkan. Ini seperti rahasia untuk masuk yang hanya diketahui oleh mereka yang diizinkan.

Pada skenario kali ini untuk port akses ke MikroTik sudah saya ubah menjadi :

winbox : 3821
ssh         : 4522
web        : 48080

 

Jadi untuk konfigurasi kali ini dapat disesuaikan dengan port akses ke router anda yang dapat dilihat pada menu IP > Services

port knocking mikrotik

Langkah Konfigurasi

Buat Aturan Knocking
port knocking mikrotik

Menggunakan Command Line Interface

				
					/ip firewall filter add action=add-src-to-address-list address-list=AllowedNetwork address-list-timeout=1h chain=input dst-address=43.x.x.3 dst-port=1999 protocol=tcp
				
			

Penjelasan :

  • Chain: input – memproses untuk paket yang masuk ke router dengan IP tujuan IP Address yang dimiliki router, bisa menggunakan IP apa saja yang ada di router.
  • dst-address: 43.x.x.3 – Alamat IP tujuan (IP router yang ingin diakses).
  • protocol: TCP – Protokol yang digunakan untuk knocking (contoh: TCP, UDP).
  • Action: add src to address-list – Menambahkan IP sumber (yang melakukan knocking) ke daftar alamat.
  • Address-list: AllowedNetwork – Daftar alamat yang berisi IP sumber yang diizinkan.
  • Timeout: 01:00:00 – Durasi IP sumber disimpan dalam daftar alamat AllowedNetwork (1 jam).


Note : Untuk timeout dapat disesuaikan dengan keinginan kita, berapa lama IP sumber disimpan dalam group
AllowedNetwork 

Tes Port Knocking

Untuk menguji port knocking, Anda dapat menggunakan web browser dan terminal dengan layanan SSH. Masukkan alamat dan port yang telah ditentukan, seperti yang dijelaskan di bawah ini. Jika halaman web tidak terbuka atau terminal menunjukkan error, tidak perlu khawatir, karena tujuan utamanya adalah melakukan knocking.

 

Pengujian Menggunakan Web Browser

port knocking mikrotik

Pengujian Menggunakan Terminal dengan service SSH

port knocking mikrotik

Apabila urutan knocking dilakukan dengan benar, maka IP sumber akan ditambahkan ke dalam grup AllowedNetwork pada Address Lists.

port knocking mikrotik

 

Anda juga memiliki opsi untuk menambahkan alamat IP yang sudah dikenal ke dalam daftar akses terpercaya pada router Anda. Ini bisa termasuk IP dari jaringan lokal Anda atau IP dari kantor lain. Dengan menambahkannya secara manual, pengguna dari IP ini tidak perlu melakukan proses knocking untuk mengakses router. Sebagai contoh, lihat gambar di bawah ini yang menunjukkan cara menambahkannya.

port knocking mikrotik
 
Blok semua akses masuk ke router, kecuali IP Address yang diizinkan

Tambahkan konfigurasi firwall pada  IP > Firewall > Filter Rules seperti pada gambar dibawah ini, dengan memilih Src. Address List AllowedNetwork seperti yang sudah dikonfigurasi sebelumnya.

port knocking mikrotik

Menggunakan Command Line Interface

				
					/ip firewall filter add action=drop chain=input dst-port=3821,4522,48080 protocol=tcp src-address-list=!AllowedNetwork
				
			

Catatan:

  • Simbol (!) dalam aturan ini berarti (bukan) atau (selain). Jadi, aturan ini akan menolak (drop) akses dari alamat IP yang tidak termasuk dalam grup (AllowedNetwork) saat mencoba mengakses router.

  • Untuk konfigurasi src. Address List pada MikroTik V6 dapat ditemukan di menu Advanced pada Filter Rules.
 
Uji Konfigurasi

Setelah konfigurasi selesai, cobalah mengakses router tanpa melakukan proses knocking terlebih dahulu. Anda akan menemukan bahwa akses diblokir, seperti yang ditunjukkan pada gambar di bawah ini.

port knocking mikrotik

Namun, jika Anda melakukan knocking terlebih dahulu, kemudian mengakses winbox pada router, maka akses winbox akan berhasil.

port knocking mikrotik

Artikel ini membahas penerapan port knocking yang berlaku pada semua interface router, karena tidak ada aturan khusus untuk menentukan in-interface. Anda dapat menyesuaikan implementasi ini sesuai dengan kebutuhan di lapangan.”

Siap meningkatkan keamanan dan kinerja jaringan Anda? Temukan solusi sempurna dengan layanan internet dedicated dari nusa.id cloud. Dapatkan koneksi yang stabil, aman, dan cepat, dirancang khusus untuk memenuhi kebutuhan bisnis Anda. Kunjungi nusa.id cloud sekarang dan nikmati perbedaan layanan internet kelas bisnis. Klik disini untuk memulai perjalanan internet dedicated yang lebih baik!

Reza Haikal Barus

Reza Haikal Barus

Cloud Specialist

Experienced network, cloud, and systems engineer with over 4 years of experience in the technology industry. Possesses a broad range of technical skills and the ability to work independently and as part of a team. Committed to providing high-quality service and innovative solutions to meet customer needs.

Share Artikel :

Blog Terkait

Netwatch: Monitoring Perangkat dengan Google Chat

Netwatch: Monitoring Perangkat dengan Google Chat

Tutorial ini menunjukkan cara mengonfigurasi notifikasi MikroTik melalui webhook Google Chat. Dengan

Cara Mengamankan Router MikroTik dengan Port Knocking

Cara Mengamankan Router MikroTik dengan Port Knocking

Port knocking adalah metode keamanan yang menjaga port layanan sensitif seperti SSH

Cara Membuat Signature di Gmail Google Workspace

Cara Membuat Signature di Gmail Google Workspace

Signature atau tanda tangan di email merupakan bagian penting untuk menunjukkan identitas