Keamanan Input Chain MikroTik: Perbedaan antara revisi
Tidak ada ringkasan suntingan |
Tidak ada ringkasan suntingan |
||
| Baris 13: | Baris 13: | ||
* DNS resolver pada router | * DNS resolver pada router | ||
Lalu lintas yang | Lalu lintas yang '''melewati router''' menuju jaringan lain tidak diproses di Input Chain, melainkan di *Forward Chain*. | ||
== Prinsip Keamanan Input Chain == | == Prinsip Keamanan Input Chain == | ||
Prinsip dasar keamanan Input Chain adalah: | Prinsip dasar keamanan Input Chain adalah: | ||
* Router | * Router tidak boleh dapat diakses oleh semua perangkat** | ||
* Hanya perangkat administratif atau server tertentu yang boleh mengakses router | * Hanya perangkat administratif atau server tertentu yang boleh mengakses router | ||
* Semua koneksi yang sah dan sudah terjalin harus tetap diizinkan | * Semua koneksi yang sah dan sudah terjalin harus tetap diizinkan | ||
| Baris 35: | Baris 35: | ||
* Router tidak perlu memproses ulang koneksi yang valid | * Router tidak perlu memproses ulang koneksi yang valid | ||
Rule ini | Rule ini '''wajib ada''' dan selalu ditempatkan di urutan paling atas pada Input Chain. | ||
=== Konfigurasi Allow Established Input === | === Konfigurasi Allow Established Input === | ||
| Baris 51: | Baris 51: | ||
=== Trusted Device === | === Trusted Device === | ||
Perangkat yang | Perangkat yang '''diizinkan mengakses router''', antara lain: | ||
* Admin PC / Laptop | * Admin PC / Laptop | ||
| Baris 130: | Baris 130: | ||
Urutan rule Input Chain yang direkomendasikan: | Urutan rule Input Chain yang direkomendasikan: | ||
1. Allow established, related | |||
2. Allow trusted devices | |||
3. Drop all other input | |||
Urutan yang salah dapat menyebabkan: | Urutan yang salah dapat menyebabkan: | ||
Revisi per 26 Desember 2025 21.34
Pengenalan
Halaman wiki ini menjelaskan konsep dan implementasi keamanan pada Input Chain MikroTik RouterOS. Fokus utama adalah membatasi akses ke router agar hanya perangkat tertentu (Trusted) yang dapat berkomunikasi langsung dengan router, sementara perangkat lain (Untrusted) seperti Access Point, CCTV, dan klien PPPoE tidak diizinkan mengakses router secara langsung.
Pendekatan ini umum digunakan pada jaringan profesional, homelab, maupun jaringan skala komunitas/village network untuk meningkatkan keamanan dan stabilitas router.
Konsep Dasar Input Chain
Dalam MikroTik, Input Chain digunakan untuk mengatur lalu lintas yang *menuju router itu sendiri*, antara lain:
- Akses Winbox
- Akses SSH
- Akses WebFig
- ICMP (ping) ke router
- DNS resolver pada router
Lalu lintas yang melewati router menuju jaringan lain tidak diproses di Input Chain, melainkan di *Forward Chain*.
Prinsip Keamanan Input Chain
Prinsip dasar keamanan Input Chain adalah:
- Router tidak boleh dapat diakses oleh semua perangkat**
- Hanya perangkat administratif atau server tertentu yang boleh mengakses router
- Semua koneksi yang sah dan sudah terjalin harus tetap diizinkan
Dari prinsip tersebut, dibuat dua kebijakan utama:
- Allow established dan related connection
- Hanya Trusted device yang boleh mengakses router
Allow Established dan Related Connection
Rule ini digunakan untuk memastikan bahwa:
- Koneksi yang sudah terbentuk tidak terputus
- Balasan dari koneksi yang sah tetap diizinkan
- Router tidak perlu memproses ulang koneksi yang valid
Rule ini wajib ada dan selalu ditempatkan di urutan paling atas pada Input Chain.
Konfigurasi Allow Established Input
/ip firewall filter add \
chain=input \
connection-state=established,related \
action=accept \
comment="Allow established & related input"
Konsep Trusted dan Untrusted Device
Perangkat dalam jaringan dibagi menjadi dua kategori:
Trusted Device
Perangkat yang diizinkan mengakses router, antara lain:
- Admin PC / Laptop
- Server (Proxmox, VM, LXC)
- Network management host
Untrusted Device
Perangkat yang **tidak perlu dan tidak boleh mengakses router**, antara lain:
- Access Point (AP)
- CCTV / NVR
- Klien PPPoE
- Perangkat user umum
Pembagian ini bertujuan untuk memperkecil *attack surface* pada router.
Address List Trusted
Untuk mempermudah pengelolaan, perangkat Trusted dimasukkan ke dalam *address-list*.
Contoh Address List Trusted
/ip firewall address-list add \
list=trusted \
address=192.168.1.10 \
comment="Admin PC"
/ip firewall address-list add \
list=trusted \
address=192.168.1.20 \
comment="Proxmox Server"
Rule: Trusted Device Bisa Akses Router
Setelah address-list dibuat, router dikonfigurasi agar hanya Trusted device yang boleh mengakses Input Chain.
Konfigurasi Trusted Access ke Router
/ip firewall filter add \
chain=input \
src-address-list=trusted \
action=accept \
comment="Allow trusted devices to access router"
Rule ini memastikan bahwa hanya IP yang terdaftar sebagai Trusted yang dapat:
- Login Winbox
- SSH ke router
- Ping router
Blokir Akses Untrusted ke Router
Setelah rule Allow dibuat, semua akses lain ke router harus diblokir.
Konfigurasi Drop Untrusted Input
/ip firewall filter add \
chain=input \
action=drop \
comment="Drop all other input to router"
Rule ini biasanya diletakkan di bagian paling bawah Input Chain.
Alasan Keamanan Implementasi
Implementasi ini penting karena:
- Mencegah scanning port dari AP, CCTV, dan klien
- Mengurangi beban CPU router
- Mencegah brute force Winbox/SSH
- Meminimalkan dampak malware dari jaringan user
Router bukan server umum dan tidak perlu diakses oleh semua perangkat.
Urutan Rule yang Direkomendasikan
Urutan rule Input Chain yang direkomendasikan:
1. Allow established, related
2. Allow trusted devices
3. Drop all other input
Urutan yang salah dapat menyebabkan:
- Router tidak bisa diakses admin
- Koneksi sah terputus
- Masalah troubleshooting
Kesimpulan
Keamanan Input Chain adalah fondasi utama dalam desain firewall MikroTik. Dengan menerapkan:
- Allow established connection
- Pembatasan akses hanya untuk Trusted device
- Drop akses dari Untrusted device
Router menjadi lebih aman, stabil, dan siap digunakan untuk jaringan skala kecil hingga besar.
