Keamanan jaringan adalah salah satu aspek yang sangat penting dalam administrasi TI, terutama dalam melindungi sistem dan data dari serangan berbahaya. MikroTik, sebagai salah satu router yang banyak digunakan untuk mengelola dan mengamankan jaringan, menyediakan berbagai fitur keamanan untuk melindungi sistem dari ancaman hacker. Salah satu teknik yang efektif adalah memblokir IP dengan indikasi hacking.

Artikel ini akan menjelaskan cara blokir IP yang terindikasi melakukan aktivitas hacking pada MikroTik menggunakan beberapa fitur yang tersedia, seperti firewall, logging, dan penjadwalan otomatis.

1. Mengapa Memblokir IP Penting untuk Keamanan Jaringan?

Serangan hacking bisa datang dalam berbagai bentuk, mulai dari percobaan login yang gagal berulang kali, eksploitasi kerentanannya, hingga upaya pemrograman berbahaya yang bertujuan untuk mendapatkan akses tidak sah. Beberapa indikator dari serangan ini dapat terlihat dalam log atau pola trafik yang tidak biasa.

Blokir IP yang terindikasi melakukan aktivitas mencurigakan adalah langkah pencegahan yang efektif untuk mengurangi risiko lebih lanjut. Misalnya, memblokir IP setelah percobaan login yang gagal beberapa kali dalam waktu singkat (brute force), atau setelah upaya eksploitasi port yang umum digunakan oleh hacker.

2. Mengaktifkan Logging di MikroTik

Langkah pertama untuk mendeteksi serangan dan memblokir IP adalah dengan mengaktifkan logging di MikroTik. Logging memungkinkan Anda untuk memantau aktivitas yang terjadi pada router, termasuk koneksi yang gagal, percobaan akses port tertentu, dan upaya login yang mencurigakan.

2.1. Mengaktifkan Logging untuk Login Gagal

Untuk mendeteksi percobaan login yang gagal, Anda dapat mengatur aturan logging untuk menangkap pesan yang terkait dengan login. Berikut langkah-langkahnya:

1. Buka WinBox atau akses MikroTik menggunakan IP-nya.
2. Pilih menu System > Logging.
3. Klik "+" untuk menambahkan aturan baru.
4. Pada bagian Topics, pilih "user" yang akan mencatat percakapan terkait login.
5. Pada bagian Action, pilih log dan tentukan prefix log seperti "Login Failed".
6. Klik OK untuk menyimpan.

Dengan pengaturan ini, Anda akan dapat memantau setiap kali ada percobaan login yang gagal di MikroTik, baik melalui SSH, WinBox, atau HTTP.

2.2. Logging untuk Trafik yang Mencurigakan

Anda juga dapat memonitor trafik yang mencurigakan dengan mengatur logging untuk port yang biasanya digunakan oleh hacker, seperti port SSH (22), Telnet (23), dan HTTP (80). Misalnya, jika seseorang mencoba mengakses port SSH yang tertutup, Anda dapat menandainya dalam log.

1. Pilih menu IP > Firewall > Filter Rules.
2. Klik "+" untuk menambah aturan baru.
3. Tentukan Chain sebagai Input.
4. Tentukan Protocol sebagai TCP dan Dst. Port sesuai port yang ingin dipantau, misalnya port 22.
5. Pada bagian Action, pilih log dan tentukan prefix log seperti "SSH Attempt".
6. Klik OK untuk menyimpan aturan.

Dengan cara ini, setiap kali ada percobaan mengakses port yang terlarang atau tidak terbuka, Anda akan mendapatkan log-nya.

3. Menggunakan Firewall untuk Memblokir IP Mencurigakan

Setelah Anda mulai mengumpulkan data dari log dan menemukan IP yang mencurigakan, Anda dapat menggunakan firewall MikroTik untuk memblokir alamat IP tersebut.

3.1. Memblokir IP Berdasarkan Log

Jika Anda mendeteksi IP yang mencoba melakukan percobaan login atau akses yang tidak sah, Anda dapat menambahkan IP tersebut ke dalam daftar yang diblokir menggunakan fitur firewall MikroTik.

Berikut adalah langkah-langkah untuk memblokir IP yang terindikasi melakukan hacking:

1. Buka menu IP > Firewall > Filter Rules.
2. Klik "+" untuk menambahkan aturan baru.
3. Pilih Chain sebagai Input untuk memfilter trafik yang masuk ke router.
4. Pada bagian Src. Address, masukkan IP yang ingin diblokir, atau pilih Address List jika Anda menambahkannya secara dinamis.
5. Pada bagian Action, pilih Drop untuk memblokir IP tersebut.
6. Klik OK untuk menyimpan aturan.

Dengan cara ini, Anda dapat memblokir IP tertentu yang terindikasi mencoba melakukan hacking atau eksploitasi terhadap sistem Anda.

3.2. Memblokir IP dengan Address List Secara Dinamis

Untuk membuat pemblokiran lebih otomatis, Anda bisa memanfaatkan Address List di MikroTik. Setelah Anda mendeteksi percobaan hacking atau aktivitas mencurigakan melalui log, Anda bisa menambahkan IP yang terdeteksi ke dalam Address List dan kemudian memblokirnya menggunakan firewall.

1. Buka menu IP > Firewall > Address Lists.
2. Klik "+" untuk menambahkan alamat baru.
3. Masukkan IP Address yang ingin diblokir.
4. Pilih List dan beri nama daftar seperti "Hacking_Attempt".
5. Klik OK untuk menyimpan.

Setelah itu, Anda dapat menambahkan aturan firewall yang akan memblokir alamat dalam daftar ini:

1. Pergi ke IP > Firewall > Filter Rules.
2. Klik "+" untuk menambahkan aturan baru.
3. Pilih Chain sebagai Input.
4. Pada bagian Src. Address List, pilih daftar Hacking_Attempt.
5. Pilih Action sebagai Drop.
6. Klik OK.

4. Menggunakan Skrip untuk Pemblokiran Otomatis

Untuk lebih mempermudah, Anda bisa menggunakan skrip MikroTik yang akan memblokir IP secara otomatis setelah mendeteksi indikasi percakapan mencurigakan, seperti percobaan login yang gagal berulang kali atau serangan brute-force.

Berikut adalah langkah-langkah untuk membuat skrip otomatis:

1. Buka menu System > Scripts.
2. Klik "+" untuk membuat skrip baru.
3. Masukkan nama skrip (misalnya, "Auto Block IP").
4. Di kolom Source, masukkan skrip berikut:

:foreach i in=[/log find message~"failed" && message~"login"] do={ 
    :local ip [/log get $i message]
    :local srcIP [:pick $ip 10 25]
    /ip firewall address-list add list="Hacking_Attempt" address=$srcIP timeout=1d
}

Skrip ini akan mencari log yang mengandung kata "failed" dan "login" yang menunjukkan percobaan login yang gagal. Setelah itu, skrip akan mengekstrak IP dari log dan menambahkannya ke dalam daftar Hacking_Attempt dengan durasi pemblokiran satu hari.

Setelah membuat skrip, Anda bisa menjadwalkan skrip ini untuk dijalankan secara otomatis setiap beberapa menit menggunakan Scheduler.

1. Buka menu System > Scheduler.
2. Klik "+" untuk menambah tugas baru.
3. Masukkan nama tugas (misalnya, "Auto Block Hacking IP").
4. Di kolom On Event, pilih skrip yang telah Anda buat.
5. Atur Interval untuk menjalankan skrip (misalnya, setiap 5 menit).
6. Klik OK untuk menyimpan.

Dengan cara ini, MikroTik akan secara otomatis memantau dan memblokir IP yang terindikasi melakukan hacking setiap kali skrip dijalankan.

5. Mengatur Time-Out untuk Blokir IP

Agar IP yang diblokir tidak terjebak selamanya, Anda dapat mengatur durasi pemblokiran (timeout) sesuai kebutuhan. Durasi ini dapat diatur saat menambahkan alamat IP ke dalam Address List.

1. Buka menu IP > Firewall > Address List.
2. Klik "+" untuk menambahkan alamat baru.
3. Masukkan IP yang akan diblokir dan atur timeout sesuai dengan kebijakan keamanan Anda (misalnya 1 hari, 1 minggu, atau bahkan lebih).

6. Memantau dan Memelihara Keamanan

Setelah melakukan konfigurasi, Anda harus terus memantau jaringan secara aktif. Melakukan audit secara berkala terhadap log MikroTik akan membantu Anda mendeteksi dan menangani serangan sejak dini. Berikut beberapa langkah yang dapat diambil untuk menjaga keamanan jaringan:

• Perbarui RouterOS secara berkala untuk memastikan perangkat lunak Anda aman dan terlindung dari kerentanannya.
• Gunakan VPN untuk mengakses perangkat jaringan dari jarak jauh agar lebih aman.
• Perketat pengaturan firewall dengan membatasi akses ke port yang tidak digunakan.
• Gunakan otentikasi dua faktor (2FA) untuk akses ke perangkat MikroTik.

Kesimpulan

Blokir IP yang terindikasi melakukan hacking adalah langkah yang sangat penting dalam melindungi jaringan Anda dari ancaman. Dengan menggunakan MikroTik, Anda bisa mendeteksi dan memblokir IP secara otomatis dengan berbagai metode, seperti logging, firewall, dan skrip otomatis. Dengan konfigurasi yang tepat dan pemantauan yang terus-menerus, Anda dapat menjaga jaringan tetap aman dan terhindar dari potensi ancaman hacking.