Anda baru saja membuka aplikasi Winbox dan mendapati layar log berjalan sangat cepat seperti air terjun. Warnanya merah semua. Isinya penuh dengan pesan “login failure for user root via ssh” atau peringatan telnet dari alamat IP asing yang tidak pernah Anda kenal. Router terasa sangat berat saat diklik, suhu perangkat naik, dan pelanggan mulai komplain koneksi putus-putus.
Kepanikan ini sangat beralasan. Perangkat Anda sedang berada di bawah serangan siber aktif. Ribuan bot dari seluruh dunia sedang mencoba menjebol paksa pintu masuk router keras-keras. Jika dibiarkan, bukan hanya memori internal yang jebol karena log penuh, tapi hak akses admin Anda bisa direbut sepenuhnya oleh peretas.
Cara Hentikan Brute Force Telnet dan SSH
Segera masuk ke menu IP -> Services, matikan layanan Telnet dan SSH jika tidak dipakai, atau ubah port standarnya (misal: port SSH menjadi 2200). Buat rule Firewall Filter untuk men-drop otomatis IP Address asing yang terdeteksi gagal melakukan login lebih dari tiga kali berturut-turut.
Analisa Bot Scanner dari Luar Negeri (Rusia/China)
Serangan yang Anda alami ini nyaris tidak pernah dilakukan oleh manusia secara manual. Ini adalah ulah botnet otomatis. Sindikat peretas dari luar negeri, seringkali terlacak berasal dari alokasi IP di wilayah Rusia, China, atau Eropa Timur, menyebar program kecil yang disebut scanner.
Scanner ini bekerja tanpa lelah 24 jam sehari. Tugas mereka cuma satu: mencari IP Public di seluruh dunia yang mengaktifkan port 22 (SSH), port 23 (Telnet), dan port 8291 (Winbox). Begitu mereka menemukan port yang terbuka, mereka akan memanggil pasukan bot untuk melakukan serangan kamikaze bernama Brute Force. Mereka memasukkan kombinasi username “admin”, “root”, “support” dengan ribuan variasi kata sandi umum dari kamus mereka.
Apa tujuan mereka repot-repot meretas router kantor atau warkop kecil? Mereka tidak mengincar data pribadi Anda. Mereka mengincar kekuatan prosesor (CPU) dan bandwidth internet Anda. Router yang berhasil dibajak akan digabungkan menjadi pasukan “Zombie Botnet”. Nantinya, router Anda akan diperintah dari jarak jauh untuk meluncurkan serangan DDoS ke website bank atau instansi pemerintah. Terkadang, mereka juga menanamkan script penambang kripto yang membuat CPU Mikrotik Anda mentok 100% selamanya.
Bahaya Membiarkan Port Default Terbuka ke Internet
Masih banyak teknisi jaringan yang beranggapan bahwa kata sandi yang rumit sudah cukup untuk mengamankan router. Ini adalah kesalahan besar. Kata sandi yang panjang memang sulit ditebak, tapi proses Mikrotik dalam merespon dan menolak ribuan tebakan sandi per detik itu membutuhkan tenaga CPU yang luar biasa besar.
Kami sering menemukan di klien kami area Kuningan Jakarta Selatan bahwa router mereka sering tiba-tiba hang dan restart sendiri setiap jam 2 pagi. Pas diusut pakai alat monitoring, ternyata IP Public mereka dibombardir puluhan ribu percobaan login SSH secara bersamaan. CPU Mikrotik langsung naik ke 100%, kehabisan nafas untuk memproses lalu lintas data pelanggan yang sebenarnya, dan akhirnya crash total.
Jangan pernah meremehkan masalah port ini. Jika Anda membiarkan pintu utama terbuka lebar ke jalan raya internet tanpa penjagaan, cepat atau lambat Anda akan kebobolan. Bahkan, ancaman ini tidak hanya sebatas Telnet dan SSH. Anda juga harus paham betul mengenai bahaya biarkan port winbox mikrotik terbuka begitu saja tanpa filter yang ketat.
Langkah Pertama: Matikan atau Ubah Port Standar (Services)
Pengamanan paling dasar dan paling efektif adalah jurus menghilang dari radar bot scanner. Bot-bot bodoh ini biasanya diatur hanya untuk memindai port standar. Jika port 22 tidak merespon, mereka langsung pindah ke IP korban berikutnya. Kita akan memanfaatkan kelemahan pola pikir mesin ini.
Buka Winbox Anda, lalu navigasikan ke menu IP > Services. Anda akan melihat daftar protokol remote akses yang aktif. Lakukan tindakan keras berikut ini:
- Telnet (Port 23): Matikan (Disable). Klik tanda silang merah (X). Telnet adalah teknologi purba yang mengirim kata sandi dalam bentuk teks biasa (plain text). Sangat mudah disadap dan haram hukumnya dipakai di internet publik.
- FTP (Port 21): Matikan jika Anda tidak menggunakan Mikrotik sebagai server penyimpan file.
- WWW (Port 80): Matikan. Jangan biarkan orang luar bisa membuka halaman login Mikrotik dari browser biasa.
- SSH (Port 22): Jika Anda masih butuh remote via terminal enkripsi, jangan dimatikan. Tapi klik dua kali, dan ganti angka port-nya menjadi angka acak di atas 1000. Misalnya: 2289 atau 5522.
- Winbox (Port 8291): Ubah juga port ini menjadi angka rahasia Anda sendiri. Misalnya 8299. Tapi ingat baik-baik angka ini, karena Anda butuh menambahkan titik dan angka tersebut saat login Winbox berikutnya (contoh: 103.x.x.x:8299).
Hanya dengan mengubah port ini saja, log merah di router Anda akan langsung berkurang hingga 95%. Bot scanner tidak akan membuang waktu memindai 65 ribu port satu per satu hanya untuk mencari celah masuk warkop Anda.
Langkah Kedua: Blokir Permanen IP Penyerang dengan Firewall Filter
Mengubah port saja disebut sebagai metode Security through Obscurity (Aman karena sembunyi). Ini tidak menghentikan peretas pintar yang melakukan pemindaian port menyeluruh (full port scan). Untuk mengunci rapat sistem, kita butuh satpam cerdas yang otomatis menendang tamu tak diundang.
Kita akan menanamkan sebuah logika perangkap di Firewall. Cara kerjanya: Jika ada IP yang gagal login SSH/Winbox, catat IP-nya di Tahap 1. Jika IP yang sama gagal lagi, masukkan ke Tahap 2. Jika gagal lagi ketiga kalinya, masukkan ke Daftar Hitam (Blacklist) dan Drop semua koneksinya selama 30 hari penuh.
Buka terminal di Winbox Anda, lalu paste script sakti di bawah ini. Pastikan Anda menyesuaikan port “dst-port” dengan port SSH/Winbox baru Anda jika sudah diubah.
/ip firewall filter
add chain=input protocol=tcp dst-port=22,8291 connection-state=new src-address-list=Blacklist_Bruteforce action=drop comment="Drop IP Bruteforce"
add chain=input protocol=tcp dst-port=22,8291 connection-state=new src-address-list=Tahap_2 action=add-src-to-address-list address-list=Blacklist_Bruteforce address-list-timeout=30d comment="Gagal ke 3 -> Blacklist 30 Hari"
add chain=input protocol=tcp dst-port=22,8291 connection-state=new src-address-list=Tahap_1 action=add-src-to-address-list address-list=Tahap_2 address-list-timeout=1m comment="Gagal ke 2 -> Masuk Tahap 2"
add chain=input protocol=tcp dst-port=22,8291 connection-state=new action=add-src-to-address-list address-list=Tahap_1 address-list-timeout=1m comment="Gagal ke 1 -> Masuk Tahap 1"
Perhatikan urutan script di atas. Logika Firewall Mikrotik membaca dari atas ke bawah. Rule paling atas mengeksekusi aksi pembunuhan (Drop) bagi IP yang sudah terdaftar di Address List Blacklist. Dengan kombinasi ini, router Anda tidak akan membuang CPU untuk meladeni ribuan tebakan sandi. Baru tiga kali salah, mesin langsung memutus koneksi secara sepihak.
Kadang tuh mikir, knapa sih ada admin jaringan yang sengaja ngebuka port telnet ke arah internet. udh tau protokol jadul gtu ngga ada enkripsi sama sekali. ngetik password aja keliatan jelas kalo disniff. trus pas routernya kebobolan, yg disalahin malah isp nya dibilang koneksi lambat.
padahal mah bandwidth nya abis disedot buat nambang koin atau nembak ddos ke server orang. jujur aja capek kadang ngedukasi orang yg maunya instan doang. maunya bisa remote mikrotik dari luar tpi males bikin vpn, pokoknya maunya dicolok langsung nyambung.
ujung ujungnya nyusahin banyak pihak. log winbox warnanya merah smua isinya failed login trus memori penuh, router restart. klo udah gini kan kasian user dibawahnya yg lagi kerja atau main game di dalem jaringan, ping mereka jadi rto gara gara kelalaian sepele di pintu depan.
Cara Mengamankan IP Public Statis Perusahaan
Jika perusahaan Anda menyewa layanan IP Public Dedikasi, ibaratnya Anda punya rumah mewah tepat di pinggir jalan raya utama. Semua orang bisa melihatnya, termasuk para penjahat siber. Memiliki IP Public Statis menuntut tanggung jawab keamanan tingkat korporat.
Jangan pernah mengizinkan remote akses dari sembarang IP. Pada menu IP Services, ada kolom bernama Available From. Isilah kolom tersebut dengan IP Public rumah Anda, atau IP Public kantor cabang Anda saja. Jika Anda sering bepergian dan butuh remote darurat lewat HP, jangan buka akses dari “0.0.0.0/0”. Buatlah sistem VPN Server (seperti L2TP/IPsec atau Wireguard) di router tersebut.
Jadi, ketika Anda mau masuk ke Winbox dari kafe, Anda wajib menyalakan VPN dulu ke kantor. Setelah masuk ke jaringan lokal (LAN) virtual, barulah Anda bisa memanggil IP lokal router. Metode ini jauh lebih aman dan tak terlihat dari luar. Praktik ini wajib dilakukan jika Anda tidak ingin pusing mencari cara atasi mikrotik hang CPU 100% kena DDoS akibat celah yang Anda biarkan terbuka.
Kapan Harus Pindah ke Colocation Server Khusus?
Ada kasus ekstrem di mana rule firewall drop saja tidak menolong. Kenapa? Karena skala serangan sudah masuk ke kategori Volumetric Attack. Bayangkan botnet mengirim sampah paket data sebesar 2 Gigabit per detik langsung ke arah IP Public Anda, sementara kapasitas langganan internet Anda dari ISP cuma 100 Mbps.
Sebelum paket sampah itu mencapai mikrotik untuk di-“Drop” oleh rule kita, pipa internet (bandwitdh) Anda sudah keburu penuh sesak (bottle-neck) di gardu tiang ISP. Koneksi kantor mati total. Dalam skenario kelas berat seperti ini, pertahanan di level router lokal sudah tidak ada gunanya.
Perusahaan berskala enterprise yang mengelola data sensitif tidak menaruh server utamanya di ruko atau kantor biasa. Mereka menitipkan perangkat inti ke data center tersertifikasi. Untuk menahan serangan brute force dan DDoS lintas negara, Anda butuh Provider Internet Colocation Server Gedung Cyber Jakarta yang memiliki jalur pipa raksasa dan mesin Scrubbing Center (Penyaring Serangan) di level hulu (Upstream).
Perlindungan B2B tingkat lanjut memastikan hanya traffic internet bersih yang sampai ke port router Anda. Sampah serangan brute force sudah dimusnahkan oleh robot keamanan milik Data Center sebelum menyentuh IP Anda. Jika Anda serius mengelola jaringan tanpa down-time, penawaran proteksi Anti-DDoS tingkat lanjut untuk jaringan B2B dari tim ISPMurah adalah investasi yang tidak bisa ditawar lagi.
FAQ
Apakah menghapus log Mikrotik yang penuh bisa membuat router normal lagi?
Menghapus log di menu System Logging hanya melegakan ruang memori (RAM/Storage) sementara. CPU router akan tetap berat dan log akan kembali penuh dalam beberapa menit jika Anda tidak memblokir sumber IP penyerangnya. Sembuhkan penyakitnya, bukan cuma menghilangkan gejalanya.
Kenapa router masih diserang padahal sudah ganti port Winbox?
Peretas menggunakan alat ‘Advanced Port Scanner’ yang bisa memindai seluruh port dari 1 sampai 65535. Meskipun port diganti, jika mereka memindai semuanya secara agresif, port baru Anda akan ketahuan juga. Karena itulah metode ubah port wajib dikombinasikan dengan rule Firewall Filter trap 3 kali gagal login.
Apakah ganti password yang sangat rumit bisa stop brute force?
Ganti password rumit menghentikan peretas berhasil masuk ke dalam sistem. Tapi proses mesin router mengevaluasi ribuan tebakan password yang salah itu menguras kinerja CPU. Makanya, koneksi internet Anda tetap akan ngelag atau RTO karena router sibuk mikir ngurusin password bot.
Apakah aman pakai layanan VPN pihak ketiga buat nge-remote Mikrotik?
Jauh lebih aman bikin sistem VPN Server mandiri di dalam router Mikrotik Anda sendiri (pakai protokol Wireguard atau OpenVPN). Kalau pakai VPN gratisan dari luar, jalur data Anda menumpang lewat server orang yang kita nggak tau log datanya dijual ke mana.
