Konfigurasi VLAN Tagged dan Untagged di Router OS Mikrotik 6.45.6

Karena banyak sekali pertanyaan perihal bagaimana konfigurasi vlan tagged dan untagged di Router OS Mikrotik 6.4X berikut saya coba berikan contoh dari Lab Sederhana sbb

R1 : hEX (warna abu sebelah kiri), R2: hAP ac lite (warna hitam sebelah kanan)

Konfigurasi di R1

Konfigurasi di R2

Add Bridge lalu saya kasih nama “bridge-vlan”

Lalu pada Tab VLAN ceklist VLAN Filtering

Pada Tab Port add Interface=ether1, Bridge=bridge-vlann, Hardware Offload by default sudah terceklist

Masih di Bridge Port <ether1> pada Tab VLAN PVID=100

Lakukan hal yang sama untuk ether2 dengan PVID=200

Untuk Interface ether3 yang dijadikann Trunk Port (tagged) tidak perlu dirubah PVID defaultnya

Selanjutnya Tab VLAN di menu Bridge seting sbb:

VLAN IDs:100, Tagged=ether3, Untagged=ether1

VLAN IDs:200, Tagged=ether3, Untagged=ether2

Hasilnya MacBookPro saya jika di koneksikan ke ether1 di R2 mendapatkan IP

Dan Winbox di MacBookPro saya neighbors nya hanya dapat Mac Address dari Router hEX dari vlan100

Berikut adalah export configurasi di R2Berikut adalah export configurasi di R2

Scriptnya sbb:

/interface bridge
add name=bridge-vlan vlan-filtering=yes
/interface bridge port
add bridge=bridge-vlan interface=ether1 pvid=100
add bridge=bridge-vlan interface=ether2 pvid=200
add bridge=bridge-vlan interface=ether3
/interface bridge vlan
add bridge=bridge-vlan tagged=ether3 untagged=ether1 vlan-ids=100
add bridge=bridge-vlan tagged=ether3 untagged=ether2 vlan-ids=200
[admin@SW-Bridge] /interface bridge>

Lindungi Router Mikrotik dari Ransomware

Pagi ini ada router salah satu ISP anggota APJII yang diberitakan diretas hacker sehingga tidak dapat di akses lagi dan identity dirubah menjadi “DONE”

berikutnya dari file backup configurasinya terdapat pesan My Telegram http://t.me/router_os dan rekening BTC dari hacker nya, konon katanya sang korban diminta untuk mentransfer sejumlah BitCoin, jadi ini semacam Ransom ware yang menargetkan router mikrotik yang kurang baik firewallnya.

Jika ada route Mikrotik yang mengalami seperti itu infonya routerboard sudah tidak dapat di netinstall dan akan mati sendiri seperti barang rusak, di sarankan untuk di shutdown karena di sinyalir bisa menyebar ke router lainnya di dalam jaringan yang sama.

Sebelum terlambat backup konfigurasi router mikrotik secara berkala bisa menggunakan scheduler script untuk membackup ke email , contohnya sbb:

/system script
add dont-require-permissions=yes name=backup2email source=":\
    log info \"Starting Backup Script...\"\r\
    \n:global backupfile ([/system identity get name] . \".backup\")\r\
    \n:if ([/file find name=\$backupfile] != \"\") do={/file rem \$backu\
    pfile}\r\
    \n:delay 2s\r\
    \n/system backup save name=\$backupfile\r\
    \n:log info \"Waiting 7s for backup to complete...\"\r\
    \n:delay 7s\r\
    \n:log info \"Backup being emailed...\"\r\
    \n/tool e-mail send to=\"backup@ispku.net.id\" subject=([/system ide\
    ntity get name] . \" Backup\") from=ebackup@ispku.net.id user=\"back\
    up@ispku.net.id\" password=\"passwordd\" file=\$backupfile server=sm\
    tp.ispku.net.id\r\
    \n:log info \"Finished Backup Script!\""
/system scheduler
add interval=1d name=backup2mail on-event=ebackup start-date=\
    mar/04/2019 start-time=01:00:00

ganti domain @ispku.net.id dengan domain isp atau perusahaan anda, ganti passwordd dengan password email anda yang digunakan untuk mengirim email, ganti smtp.ispku.net.id dengan smtp isp atau perusahaan anda.

Berikutnya untuk melindungi router mikrotik supaya tidak dapat diakses dari hacker tahapannya adalah sbb:

  1. Rubah port standar winbox dari 8291 menjadi port lainnya, ingat jangan gunakan port 0 sd 1024 karena port tersebut sudah digunakan oleh service/layanan yang sudah di definisikan secara baku, pakailah port di atas 1024 misalnya menjadi 18291 jangan gunakan port diatas 65535 https://en.wikipedia.org/wiki/Port_(computer_networking)
  2. Grouping interface ke dalam interface-list untuk memudahkan/menyederhanakan rule firewall yang akan kita buat.
  3. Buat address-list untuk grouping ip address dan network address
  4. Terakhir Drop-ALL chain input pada bagian paling bawah

Rubah Port Standar Winbox dengan cara klik ip->services lalu rubah port winbox dan isi Available from dengan prefix/network atau ip host yang diizinkan untuk mengakses Winbox dari jaringan anda.

Disable port services yang tidak digunakan

Buat grouping interface list, dalam script berikut saya buat interface list = upstream dengan member interface=vlan837 dan vlan650 untuk list=upstream, kita bisa masukan beberapa interface ke sebuah list interface, interface yang bisa di add ke list bisa ethernet/interface fisik dan sebuah vlan, dalam contoh ini saya punya dua upstream yaitu vlan837 dan vlan650

/interface list
add comment="interface upstream" name=upstream
/interface list member
add interface=vlan837 list=upstream
add interface=vlan650 list=upstream

Buat grouping Ip address dan atau network address ournetwork=semua ip atau prefix jaringan isp/perusahaan yang boleh akses mikrotik, ptp-upstream=semua ip ptp ke upstream (ip bgp peer)

/ip firewall address-list
add address=202.61.yy.0/23 list=ournetwork
add address=202.61.yyy.0/23 list=ournetwork
add address=103.87.yyy.xxx/30 comment=fiberstar list=ptp-upstream
add address=43.240.yyy.xxx/30 comment=multidata list=ptp-upstream
add address=182.50.yyy.xxx comment="utk peer ke cymru" list=ptp-upstream
add address=8.8.8.8 list=ptp-upstream
add address=38.229.y.xx comment="cymru session1" list=ptp-upstream
add address=38.229.yy.xx comment="cymru session2" list=ptp-upstream

berikutnya interface-list dan address-list saya aplikasikan ke ip->firewall->filter

/ip firewall filter
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="PORT SCANER" protocol=tcp \
    psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" \
    protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp \
    tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp \
    tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" \
    protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp \
    tcp-flags=fin,syn,rst,psh,ack,urg
add action=accept chain=output comment="FTP BLAACKLIST" content=\
    "530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
    address-list-timeout=3h chain=output content="530 Login incorrect" \
    protocol=tcp
add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=input comment="SSH BLACKLIST" \
    connection-state=new dst-port=22 protocol=tcp src-address-list=\
    ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp
add action=accept chain=input comment="ACCEPT BGP DARI UPSTREAM" \
    in-interface-list=upstream log-prefix="bgp  : " protocol=tcp \
    src-address-list=ptp-upstream
add action=accept chain=input comment="ACCEPT BGP DARI UPSTREAM" \
    dst-address-list=ptp-upstream in-interface-list=upstream log-prefix=\
    "bgp  : " protocol=tcp
add action=accept chain=input comment="ACCEPT ICMP" log-prefix="icmp  : " \
    protocol=icmp src-address-list=ournetwork
add action=accept chain=input comment="ACCEPT ICMP" log-prefix="icmp  : " \
    protocol=icmp src-address-list=ptp-upstream
add action=accept chain=input comment="ACCEPT ALL DARI ROUTER DISTRIBUSI" \
    in-interface-list=!upstream log-prefix="not upstream : " \
    src-address-list=ournetwork
add action=accept chain=input comment="ACCEPT ALL DARI ROUTER DISTRIBUSI" \
    dst-address-list=ournetwork in-interface-list=!upstream log-prefix=\
    "not upstream : "
add action=drop chain=input comment=\
    "DROP ALL, kalau mau bisa di remote dari luar disable DROP ALL" \
    log-prefix="input drop : "
add action=add-src-to-address-list address-list=winbox-exploit \
    address-list-timeout=5m chain=forward comment="WINBOX EXPLOIT" \
    dst-port=8291 in-interface-list=upstream log-prefix="WINBOX EXPLOIT : " \
    protocol=tcp
add action=add-src-to-address-list address-list=proxy-socks-exploit \
    address-list-timeout=5m chain=forward comment="PROXY SOCKS EXPLOIT" \
    dst-port=8000,3128,1080,4145 in-interface-list=upstream log-prefix=\
    "PROXY SOCKS EXPLOIT : " protocol=tcp

dari script firewall diatas maka yang boleh akses Mikrotik RouterOS hanya dari address-list=ournetwork dan ptp-upstream sedangkan akses dari interface distribusi atau “!upstream” = bukan upstream di ALLOW. dan koneksi BGP via TCP di ALLOW dari dan ke interface “upstream”

Saya juga menangkap dan DROP semua traffic ke dst-port=8000,3128,1080,4145 yang masuk via interface upstream menuju ke jaringan distribusi yang dikawatirkan digunakan hacker untuk menyerang Mikrotik RouterOS distribusi dan pelanggan di melalui ip->firewall->raw

/ip firewall raw
add action=drop chain=prerouting comment="DROP ACTIVE DIRECTORY" dst-port=\
    445 log-prefix="drop 445 : " protocol=tcp
add action=drop chain=prerouting comment="DROP TCPMUX" dst-port=1 \
    log-prefix="drop 445 : " protocol=tcp
add action=drop chain=prerouting comment="SSH BLACKLIST" in-interface-list=\
    upstream src-address-list=ssh_blacklist
add action=drop chain=prerouting comment="DROP WINBOX" dst-port=8291 \
    in-interface-list=upstream log-prefix="DROP WINBOX EXPLOIT : " \
    protocol=tcp src-address-list=winbox-exploit
add action=drop chain=prerouting comment="DROP PORT SCANNER" \
    in-interface-list=upstream log-prefix="DROP PORT SCANER : " \
    src-address-list="port scanners"
add action=drop chain=prerouting comment="DROP PROXY SOCKS" \
    in-interface-list=upstream log-prefix="DROP PROXY SOCKS : " \
    src-address-list=proxy-socks-exploit
add action=drop chain=prerouting comment="DROP NETBIOS" dst-port=137-139 \
    log-prefix="drop 445 : " protocol=tcp
add action=drop chain=prerouting comment="DROP NETBIOS" dst-port=137-139 \
    log-prefix="drop 445 : " protocol=udp

terakhir DROP ALL dibagian paling bawa chain input, artinya selain yang di ALLOW diatas semuanya di DROP, maka mikrotik RouterOS ini tidak dapat diakses selain dari dalam jaringan yang di allow, hasilnya Mikrotik RouterOS lebih aman dari tangan jahil

Materi keamanan Mikrotik RouterOS dibahas lebih detail pada kelas MikroTik Certified Security Engineer MTCSE

mengatur interface neighbor

sejak ROS versi 6.4x.x setingan /ip neighbor di mikrotik ada perubahan pada setingan Discovery Settings, yaitu hanya dapat memilih: all , dynamic dan none

jika pada Discovery Settings kita pilih “!” dynamic berarti semua interface yang “bukan”dynamic

all: berarti semua interface yang ada, dynamic: berarti semua interface dynamic seperti l2tp, pptp, pppoe, dan none: berarti tidak ada interface yang mengaktivkan neighbours discovery

lalu bagaimana caranya kalau kita hanya ingin mengaktivkan neighbor discovery pada interface yang menuju ke internal jaringan kita saja tanpa harus mengaktivkan protocol neighbor discovery ke arah upstream atau exchange? caranya dengan melakukan grouping interface melalui fitur interface list

contoh script diatas adalah cara membuat grouping interface yang digunakan untuk bgp peer ke exchange, dengan cara demikian kita bisa memanfaatkan interface list name=exchange untuk interface firewall maupun untuk neighbor discovery interface

Dengan Discovery Settings “!” exchange , berarti /ip neighbor hanya aktiv pada interface “Bukan” exhange sehingga protocol neighbor discovery tidak broadcast ke luar dari jaringan internal kita untuk lebih meningkatkan resiko keamanan Mikrotik yang kita gunakan

Bagaimana teknik dan cara mengamankan Mikrotik yang kita gunakan dari ancaman exploit dan hacker materi tersebut akan di dapatkan dari Workshop Training Mikrotik Certified Security Engineer (MTCSE), jika ada yang tertarik untuk mengikuti Workshop dan sertifikasi MTCSE bisa mengajukan In-House Training, informasi lebih lanjut baca di: http://gurumikrotik.com/wp/2019/09/24/pelatihan-inhouse-mikrotik/

Mikrotik Routing Workshop (MTCRE) IDNOG 2019

Bagi yang ingin ikut Trainig MTCRE pada 23-24 Juli bisa mendaftarkan diri di:
https://www.idnog.or.id/id/workshop/9

Memberikan pengetahuan menyeluruh dan pelatihan langsung menggunakan MikroTik RouterOS untuk routing basic dan advance di jaringan kecil menengah , Setelah menyelesaikan kursus, Anda akan dapat merencanakan, menerapkan, menyesuaikan, dan men-debug Konfigurasi jaringan menggunakan MikroTik RouterOS.

Garis Besar Kursus MTCRE:

Simple routing: Distance, Policy Routing, ECMP, Scope, Dead-End and Recursive Next-Hop Resolving
OSPF : Areas, Costs, Virtual links, Route Redistribution and Aggregation Routing and point-to-point interface: VLAN, IPIP, EOIP,point-to-point addressing

Persyaratan: Peserta harus sudah memiliki sertifikat MTCNA.

Ujian online di hari terakhir untuk mendapatkan sertifikat MTCRE.

Biaya sudah termasuk RB941 Hap Lite dan peserta dapat mengikuti sebagai peserta IDNOG Conference 2019