Configure Port Knocking Mikrotik

This article describes how to use a feature called Port Knocking, to improve the security of your MikroTik device, and minimize a risk of hacking attempts over such protocols like SSH, Telnet, Winbox, etc.

Port knocking is a method that enables access to the router only after receiving a sequenced connection attempts on a set of prespecified closed ports. Once the correct sequence of the connection attempts is received, the RouterOS dynamically adds a host source IP to the allowed address list and You will be able to connect your router.

Keamanan suatu jaringan merupakan tanggung jawab seorang admin jaringan. Di mikrotik sendiri sudah dilengkapi dengan fitur-fitur untuk melindungi jaringan anda maupun itu dari internet atau dari jaringan lokal anda sendiri. Salah satunya dengan menutup atau memberikan akses tertentu pada port di router.

Port knocking juga merupakan cara untuk mengamankan jaringan anda, walaupun kedua cara diatas tersebut sudah cukup. Akan tetapi juga tidak salah untuk menambahkannya, karena jika anda menutup suatu port maka anda juga tidak dapat mengaksesnya sendiri dan jika memberikan akses port tertentu kepada suatu host maka anda juga harus selalu menggunakan IP Address statis atau dengan cara mengganti port tersebut.

Konfigurasi Port Knocking

1. Buat Filter Rule pada IP > Firewall > Filter agar jika suatu host melakukan ping akan dicatat pada address list.

   
   

   

   Chain = input       : traffic menuju ke router

   
   
     Dst-address         : IP Address tujuan (contoh adalah IP Gateway)
   
   

   Protocol=icmp    : Ping menggunakan protokol icmp 

2. Pada parameter action pilih add src to address list untuk mencatat IP Address asal ke address list
   
3. Buat filter rule kembali dengan chain yang sama dan sesuaikan sendiri pada protocol dan dst. Port. Contoh adalah service winbox
   
4. Tab Advanced pada parameter src. Address list isi dengan address list yang sesuai dengan rule sebelumnya. Dan berikan checklist / tanda seru didepannya.
   
5. Yang terakhir adalah action = drop
   
6. Rule pertama adalah mencatat ip address host yang melakukan ping ke ip gateway ke address list.Rule kedua adalah mendrop traffic ke port winbox kecuali ip address yang terdaftar di address list (tanda seru pada langkah sebelumnya).
   
7. Sebelum melakukan ping
   
8. Setelah melakukan ping
   
9. Pada Firewall > Address List terdapat dynamic address list ip address host yang melakukan ping. Jika timeout habis akan hilang.
   

Advertisement

Baca juga: