[Mikrotik #2] Jangan Sampai Di-Hack! Tutorial Mengamankan Router Mikrotik

Tutorial IT Expert Bali Eko Darma

Artikel depan

Di Part 1, kita sudah berhasil membuat router online. Senang? Boleh. Puas? Jangan dulu.

Router yang baru keluar dari kardus (default config) itu ibarat rumah kaca tanpa kunci. Siapapun yang tahu IP router Bli bisa masuk, mengacak-acak settingan, atau yang paling parah: mencuri voucher hotspot yang sudah Bli cetak.

Di tutorial ini, kita akan melakukan ritual “Security Hardening” alias mempertebal pertahanan router. Hukumnya WAJIB

🚀 Cara Cepat (Script Hardening)

Mau mengamankan router dalam hitungan detik? Copy script di bawah ini ke New Terminal. Script ini akan otomatis:

  1. Mematikan service tidak penting (Telnet, FTP, WWW).
  2. Mematikan fitur Discovery (Mode Siluman).
  3. Mematikan MAC Server (Pintu belakang).
# 1. Matikan Service Rentan (Sisa Winbox & SSH)
/ip service disable telnet,ftp,www,api,api-ssl,www-ssl

# 2. Ganti Port Winbox ke Angka Acak (Contoh: 6789)
# HATI-HATI: Jangan lupa angka ini!
/ip service set winbox port=6789

# 3. Matikan Neighbor Discovery (Biar Router Gak Muncul di Tetangga)
/ip neighbor discovery-settings set discover-interface-list=none

# 4. Matikan MAC Server (Kunci Pintu Belakang)
/tool mac-server set allowed-interface-list=none
/tool mac-server mac-winbox set allowed-interface-list=none
/tool mac-server ping set enabled=no

*Setelah script dijalankan, koneksi Winbox Bli akan putus. Silakan login ulang pakai port baru: 192.168.50.1:6789 *

1. Ganti Password & Disable User Admin

Kesalahan pemula nomor 1: Membiarkan user default admin tanpa password. Ini sasaran empuk serangan Brute Force (tebak password otomatis).

Strategi terbaik dari seorang expert bukan cuma ganti password, tapi membuat user baru dan mematikan user lama.

  1. Masuk menu System > Users.
  2. Klik tombol Tambah (+).
  3. Buat user baru (misal: IT-Expert atau nama Bli), Group pilih: full.
  4. Isi Password yang rumit (Kombinasi huruf besar, angka, & simbol).
  5. Login ulang pakai user baru tersebut.
  6. Kalau sukses, Disable (Silang) user admin bawaan.

Daftar User Mikrotik

2. Matikan Service yang Tidak Perlu

Mikrotik secara default membuka banyak “pintu” (Port) seperti Telnet, FTP, WWW, SSH. Padahal sehari-hari kita cuma butuh Winbox. Ingat prinsip security: “Pintu yang tidak dijaga adalah celah masuk maling.”

  1. Masuk menu IP > Services.
  2. Pilih service yang tidak dipakai: api, api-ssl, ftp, telnet, www, www-ssl.
  3. Klik tanda Silang (Disable).
  4. Sisakan winbox saja (dan ssh jika Bli memang butuh remote via terminal).

Mematikan Service Tidak Penting

3. Ganti Port Winbox (Jurus Kamuflase)

Port standar Winbox adalah 8291. Hacker yang scan jaringan pasti mencari port ini pertama kali. Mari kita pindahkan ke port “ghaib” biar mereka bingung.

  1. Di menu IP Services tadi, double klik winbox.
  2. Ganti Port menjadi angka acak (range 1000-65000), misal: 8777.
  3. Klik OK.

⚠️ PENTING: Setelah port diganti, cara login di Winbox wajib pakai tanda titik dua. Format: IP_ADDRESS:PORT Contoh: 192.168.10.1:8777

Ganti Port Winbox Custom

4. Matikan Neighbor Discovery (Mode Siluman)

Pernah buka tab “Neighbors” di Winbox dan lihat banyak router muncul? Itu karena fitur Discovery. Kita tidak mau router kita “melambai-lambai” ke tetangga atau user nakal yang iseng buka Winbox.

  1. Masuk menu IP > Neighbor.
  2. Klik tombol Discovery Settings.
  3. Ubah Interface menjadi none (atau hanya ke ether-LAN khusus admin).
  4. Klik OK.

5. Backup Konfigurasi (Nyawa Cadangan)

Router adalah barang elektronik yang bisa rusak, tersambar petir, atau corrupt karena mati listrik. Jangan pernah percaya 100% pada hardware.

  1. Masuk menu Files.
  2. Klik tombol Backup.
  3. Beri nama: backup-aman-tgl-sekian. Password: (isi jika perlu).
  4. Klik Backup.
  5. LANGKAH KRUSIAL: Drag & Drop file backup tersebut dari Winbox ke Desktop Laptop Bli. Simpan di Google Drive/Cloud.

Menu Backup File Mikrotik

6. Matikan MAC Server (Jurus Kunci Pintu Belakang)

Banyak yang lupa ini. Walaupun IP sudah diamankan, hacker yang satu jaringan (misal user wifi nakal) masih bisa masuk lewat MAC Address tanpa butuh IP.

  1. Masuk menu Tools > MAC Server.
  2. Klik tombol MAC Winbox Server.
  3. Ubah Allowed Interface List menjadi none (atau LAN-Admin saja).
  4. Lakukan hal yang sama pada tombol MAC Telnet Server.

Dengan ini, pintu belakang router benar-benar terkunci rapat.

7. Tanda-Tanda Router Bli Sedang Diserang

Bagaimana cara tahu kalau ada yang mencoba menjebol router kita?

  • CPU Load Tinggi: Lihat di pojok kanan atas Winbox. Kalau CPU tiba-tiba 100% padahal traffic sepi, kemungkinan ada serangan Brute Force atau DDoS.
  • Log Merah: Masuk menu Log. Kalau banyak tulisan merah login failure for user admin, itu artinya ada bot yang mencoba menebak password Bli ribuan kali per detik.
  • Internet Lemot: Bandwidth habis tersedot karena router sibuk meladeni serangan, bukan meladeni user. Itulah kenapa langkah mengganti Port Winbox (Langkah 3) sangat ampuh. Hacker biasanya cuma menyerang port standar (8291). Kalau port diganti, serangan di Log biasanya langsung bersih/hilang.

Kesimpulan: Router Sudah Kebal?

Setidaknya, router Bli sekarang sudah 99% lebih aman daripada router settingan pabrik. Hacker kroco (script kiddie) bakal malas menyerang karena port-nya sudah diganti dan servicenya tertutup rapat.

Apa Selanjutnya? Router sudah online ✅ Router sudah aman ✅ Saatnya kita masuk ke materi paling dicari: Cari Cuan dari Voucheran!

👉 Lanjut ke Part 3: Cara Setting Hotspot & Bikin Voucher (Coming Soon)

Lanjut Belajar Yuk! 👇

Lihat Semua →
[Studi Kasus #7] Mikrotik Diserang Brute Force? Ini Resep Ampuh "Auto-Ban" IP Nakal!

Kasus #5: Auto-Ban IP Nakal!

8 Jan 2026
[Studi Kasus #6] Cara Blokir YouTube & TikTok di Mikrotik pada Jam Kerja (Script Otomatis)

Kasus #5: Blokir Sosmed

7 Jan 2026
[Studi Kasus #5] RAM Sisa 1MB? 3 Tanda Router Mikrotik hAP Lite Harus Diupgrade ke RB750gr3

Tanda Router Harus Diupgrade

6 Jan 2026
Artikel ini bermanfaat? Traktir Kopi Gula Aren ☕