Keamanan Input Chain MikroTik

Dari Kicap Karan Wiki
Revisi sejak 26 Desember 2025 21.38 oleh Kicap (bicara | kontrib)
Loncat ke navigasiLoncat ke pencarian

Pengenalan

Halaman wiki ini menjelaskan konsep dan implementasi keamanan pada Input Chain MikroTik RouterOS. Fokus utama adalah membatasi akses ke router agar hanya perangkat tertentu (Trusted) yang dapat berkomunikasi langsung dengan router, sementara perangkat lain (Untrusted) seperti Access Point, CCTV, dan klien PPPoE tidak diizinkan mengakses router secara langsung.

Pendekatan ini umum digunakan pada jaringan profesional, homelab, maupun jaringan skala komunitas/village network untuk meningkatkan keamanan dan stabilitas router.

Konsep Dasar Input Chain

Dalam MikroTik, Input Chain digunakan untuk mengatur lalu lintas yang *menuju router itu sendiri*, antara lain:

  • Akses Winbox
  • Akses SSH
  • Akses WebFig
  • ICMP (ping) ke router
  • DNS resolver pada router

Lalu lintas yang melewati router menuju jaringan lain tidak diproses di Input Chain, melainkan di *Forward Chain*.

Prinsip Keamanan Input Chain

Prinsip dasar keamanan Input Chain adalah:

  • Router tidak boleh dapat diakses oleh semua perangkat**
  • Hanya perangkat administratif atau server tertentu yang boleh mengakses router
  • Semua koneksi yang sah dan sudah terjalin harus tetap diizinkan

Dari prinsip tersebut, dibuat dua kebijakan utama:

  1. Allow established dan related connection
  1. Hanya Trusted device yang boleh mengakses router

Allow Established dan Related Connection

Rule ini digunakan untuk memastikan bahwa:

  • Koneksi yang sudah terbentuk tidak terputus
  • Balasan dari koneksi yang sah tetap diizinkan
  • Router tidak perlu memproses ulang koneksi yang valid

Rule ini wajib ada dan selalu ditempatkan di urutan paling atas pada Input Chain.

Konfigurasi Allow Established Input

/ip firewall filter add \
    chain=input \
    connection-state=established,related \
    action=accept \
    comment="Allow established & related input"

Konsep Trusted dan Untrusted Device

Perangkat dalam jaringan dibagi menjadi dua kategori:

Trusted Device

Perangkat yang diizinkan mengakses router, antara lain:

  • Admin PC / Laptop
  • Server (Proxmox, VM, LXC)
  • Network management host

Untrusted Device

Perangkat yang **tidak perlu dan tidak boleh mengakses router**, antara lain:

  • Access Point (AP)
  • CCTV / NVR
  • Klien PPPoE
  • Perangkat user umum

Pembagian ini bertujuan untuk memperkecil *attack surface* pada router.

Address List Trusted

Untuk mempermudah pengelolaan, perangkat Trusted dimasukkan ke dalam *address-list*.

Contoh Address List Trusted

/ip firewall address-list add \
    list=trusted \
    address=192.168.1.10 \
    comment="Admin PC"

/ip firewall address-list add \
    list=trusted \
    address=192.168.1.20 \
    comment="Proxmox Server"

Rule: Trusted Device Bisa Akses Router

Setelah address-list dibuat, router dikonfigurasi agar hanya Trusted device yang boleh mengakses Input Chain.

Konfigurasi Trusted Access ke Router

/ip firewall filter add \
    chain=input \
    src-address-list=trusted \
    action=accept \
    comment="Allow trusted devices to access router"

Rule ini memastikan bahwa hanya IP yang terdaftar sebagai Trusted yang dapat:

  • Login Winbox
  • SSH ke router
  • Ping router

Blokir Akses Untrusted ke Router

Setelah rule Allow dibuat, semua akses lain ke router harus diblokir.

Konfigurasi Drop Untrusted Input

/ip firewall filter add \
    chain=input \
    action=drop \
    comment="Drop all other input to router"

Rule ini biasanya diletakkan di bagian paling bawah Input Chain.

Alasan Keamanan Implementasi

Implementasi ini penting karena:

  • Mencegah scanning port dari AP, CCTV, dan klien
  • Mengurangi beban CPU router
  • Mencegah brute force Winbox/SSH
  • Meminimalkan dampak malware dari jaringan user

Router bukan server umum dan tidak perlu diakses oleh semua perangkat.

Urutan Rule yang Direkomendasikan

Urutan rule Input Chain yang direkomendasikan:

  1. Allow established, related
  2. Allow trusted devices
  3. Drop all other input

Urutan yang salah dapat menyebabkan:

  • Router tidak bisa diakses admin
  • Koneksi sah terputus
  • Masalah troubleshooting

Kesimpulan

Keamanan Input Chain adalah fondasi utama dalam desain firewall MikroTik. Dengan menerapkan:

  • Allow established connection
  • Pembatasan akses hanya untuk Trusted device
  • Drop akses dari Untrusted device

Router menjadi lebih aman, stabil, dan siap digunakan untuk jaringan skala kecil hingga besar.

Diperoleh dari "https://wiki.kicap-karan.com/index.php?title=Keamanan_Input_Chain_MikroTik&oldid=68"