Menghalangi Interface CCTV Mengakses Internet Di MikroTik

Dari Kicap Karan Wiki
Revisi sejak 26 Desember 2025 23.16 oleh Kicap (bicara | kontrib) (←Membuat halaman berisi '== Pengenalan == Pada jaringan homelab dan jaringan desa, tidak semua perangkat perlu akses internet. Salah satu contoh paling jelas adalah jaringan '''CCTV'''. Memblokir akses internet dari interface CCTV membantu meningkatkan keamanan dan menghemat bandwidth, tanpa mengganggu fungsi utama CCTV. == Alasan Tidak Memberi Internet ke CCTV == === 1. Fungsi Utama CCTV === CCTV hanya perlu: * Merekam video * Mengirim stream ke NVR / server * Menyimpan rekaman lokal...')
(beda) ← Revisi sebelumnya | Revisi terkini (beda) | Revisi selanjutnya → (beda)
Loncat ke navigasiLoncat ke pencarian

Pengenalan

Pada jaringan homelab dan jaringan desa, tidak semua perangkat perlu akses internet. Salah satu contoh paling jelas adalah jaringan CCTV. Memblokir akses internet dari interface CCTV membantu meningkatkan keamanan dan menghemat bandwidth, tanpa mengganggu fungsi utama CCTV.

Alasan Tidak Memberi Internet ke CCTV

1. Fungsi Utama CCTV

CCTV hanya perlu:

  • Merekam video
  • Mengirim stream ke NVR / server
  • Menyimpan rekaman lokal
 Semua ini berjalan di jaringan lokal, bukan internet.

2. Risiko Keamanan

CCTV dan IoT sering:

  • Menggunakan firmware lama
  • Jarang mendapat update keamanan
  • Memiliki port terbuka dan service tersembunyi

Jika CCTV bisa mengakses internet:

  • Bisa dikontrol dari luar tanpa disadari
  • Bisa menjadi pintu masuk malware
  • Bisa menjadi bagian dari botnet

3. Hemat Bandwidth

CCTV yang mengakses internet akan:

  • Melakukan update otomatis
  • Mengirim telemetry ke cloud vendor
 Hal ini membuang bandwidth yang dibutuhkan jaringan user.

4. Prinsip Least Privilege

Perangkat hanya diberi akses yang benar-benar dibutuhkan: internal server, NVR, monitoring.

Studi Kasus Jaringan

Pembagian interface MikroTik:

  • ether1 : ISP / Internet
  • ether2 : Server (Proxmox, VM, LXC)
  • ether3 : PPPoE Client
  • ether4 : CCTV
  • ether5 : Access Point / User

Target konfigurasi:

  • Interface CCTV tidak bisa akses internet
  • CCTV tetap bisa berkomunikasi dengan server/NVR
  • Segmentasi jaringan tetap terjaga

Implementasi Teknis

1. Pastikan Subnet CCTV

/ip address add address=192.168.40.1/24 interface=ether4 comment="CCTV Network"

2. Tambahkan Address List CCTV

/ip firewall address-list add \
    list=cctv_network \
    address=192.168.40.0/24 \
    comment="CCTV Subnet"

3. Blokir Akses Internet dari CCTV (Forward Chain)

/ip firewall filter add \
    chain=forward \
    src-address-list=cctv_network \
    out-interface=ether1 \
    action=drop \
    comment="Block CCTV access to Internet"

4. Pastikan Akses Internal Tetap Berjalan

Rule existing seperti: 

Allow established, related
Allow trusted full access

memastikan CCTV tetap bisa akses server internal.

Urutan Rule Firewall

1. Allow established, related 2. Allow trusted 3. Block CCTV to Internet 4. Rule forward lainnya

Pentingnya Urutan

Jika urutan salah:

  • CCTV bisa lolos ke internet
  • Atau tidak bisa akses server internal

Hasil Implementasi

  • CCTV tidak bisa ping internet
  • Tidak bisa update ke cloud vendor
  • Server/NVR tetap bisa mengakses CCTV
  • Bandwidth lebih stabil
  • Jaringan lebih aman dan terkontrol

Kesimpulan

Memblokir interface CCTV dari internet adalah langkah sederhana tapi berdampak besar:

  • Meningkatkan keamanan jaringan
  • Menghemat bandwidth
  • Mengurangi risiko malware dari perangkat IoT

Pendekatan ini mengikuti prinsip least privilege dan membuat router berperan sebagai penjaga gerbang keamanan jaringan.

Diperoleh dari "https://wiki.kicap-karan.com/index.php?title=Menghalangi_Interface_CCTV_Mengakses_Internet_Di_MikroTik&oldid=80"