Mengonfigurasi firewall dengan benar pada router MikroTik sangat penting untuk melindungi jaringan Anda dari akses tidak sah dan jenis ancaman keamanan lainnya. Meskipun aturan khusus mungkin berbeda-beda tergantung pada kebutuhan dan konfigurasi masing-masing jaringan, ada aturan dan prinsip umum tertentu yang direkomendasikan untuk sebagian besar lingkungan.

Di bawah ini adalah beberapa aturan dan praktik terbaik untuk filter firewall, NAT, dan bagian konfigurasi relevan lainnya di MikroTik RouterOS.

Filter Firewall

Tujuan dari filter firewall adalah untuk mengontrol lalu lintas yang melewati router, memungkinkan Anda memblokir atau mengizinkan lalu lintas berdasarkan kriteria tertentu.

1. Blokir akses tidak sah ke router:

Pastikan untuk membatasi akses ke router dari luar jaringan lokal Anda. Hal ini biasanya dilakukan dengan memblokir port manajemen, seperti 22 (SSH), 23 (Telnet), 80 (HTTP), 443 (HTTPS), dan 8291 (Winbox).

/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"

2. Lindungi dari serangan umum:

Terapkan aturan untuk melindungi jaringan Anda dari serangan umum, seperti banjir SYN, banjir ICMP, dan pemindaian port.

Serangan Banjir SYN

/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"

Serangan Banjir ICMP

/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"

3. Izinkan lalu lintas yang diperlukan:

Konfigurasikan aturan untuk mengizinkan lalu lintas sah yang diperlukan untuk jaringan Anda. Ini termasuk lalu lintas internal dan lalu lintas ke dan dari Internet berdasarkan kebutuhan spesifik Anda.

Dengan asumsi Anda ingin mengizinkan akses SSH hanya dari jaringan lokal Anda:

/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"

4. Jatuhkan yang lainnya:

Sebagai praktik keamanan, lalu lintas apa pun yang sebelumnya tidak diizinkan secara eksplisit harus diblokir. Hal ini biasanya dilakukan di akhir aturan filter firewall Anda dengan aturan yang menolak atau menghapus semua lalu lintas lainnya.

Aturan ini harus ditempatkan di akhir aturan filter Anda untuk bertindak sebagai kebijakan penolakan default.

/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"

NAT (Terjemahan Alamat Jaringan)

NAT biasanya digunakan untuk menerjemahkan alamat IP pribadi di jaringan lokal Anda ke alamat IP publik untuk akses Internet.

1. Menyamar:
   • Gunakan aksinya masquerade dalam rantai srcnat untuk mengizinkan beberapa perangkat di jaringan lokal Anda berbagi alamat IP publik untuk akses Internet. Hal ini penting untuk jaringan yang mengakses Internet melalui koneksi broadband dengan satu IP publik.
2. DNAT untuk layanan internal:
   • Jika Anda perlu mengakses layanan internal dari luar jaringan, Anda dapat menggunakan NAT Tujuan (DNAT) untuk mengalihkan lalu lintas masuk ke IP pribadi yang sesuai. Pastikan Anda melakukan ini hanya untuk layanan yang diperlukan dan pertimbangkan implikasi keamanannya.

Pertimbangan Keamanan Lainnya

1. Pembaruan perangkat lunak:
   • Selalu perbarui router MikroTik Anda dengan RouterOS dan firmware versi terbaru untuk melindungi dari kerentanan yang diketahui.
2. Keamanan Lapisan 7:
   • Untuk lalu lintas khusus aplikasi, Anda dapat mengonfigurasi aturan Lapisan 7 untuk memblokir atau mengizinkan lalu lintas berdasarkan pola dalam paket data.
3. Batasan Rentang Alamat IP:
   • Membatasi akses ke layanan router tertentu hanya pada rentang alamat IP tertentu, sehingga mengurangi risiko akses tidak sah.

Ingatlah bahwa ini hanyalah pedoman umum. Konfigurasi firewall spesifik Anda harus didasarkan pada evaluasi terperinci atas kebutuhan keamanan, kebijakan jaringan, dan pertimbangan kinerja Anda. Selain itu, disarankan untuk melakukan pengujian keamanan jaringan secara teratur untuk mengidentifikasi dan mengurangi potensi kerentanan.