[Studi Kasus #7] Mikrotik Diserang Brute Force? Ini Resep Ampuh "Auto-Ban" IP Nakal!

Tutorial IT Expert Bali Eko Darma

“Bli, tolongin! Mikrotik saya kenapa lemot banget ya akhir-akhir ini? CPU Usage tinggi terus, padahal user nggak banyak. Pas saya cek log, kok isinya ‘login failed’ semua dari IP asing? Ini kenapa ya, Bli? Takut data saya jebol!”

Nah, Bli, keluhan kayak gini sering banget saya dengar dari teman-teman yang ngurusin jaringan. Mikrotik lemot, CPU spike padahal trafik biasa aja, atau log-nya isinya penuh sama percobaan login yang gagal dari IP-IP nggak dikenal. Itu dia, Bli, indikasi kuat kalau Mikrotik kita lagi jadi target empuk serangan brute force. Ibaratnya, ada orang iseng yang lagi coba-coba tebak password rumah kita, berkali-kali, tiada henti. Bayangin aja, kalau “Otak Kecil” Mikrotik kita harus mikirin dan ngecek ribuan, bahkan jutaan kombinasi password dalam sedetik, ya lama-lama kepanasan dia, jadi lemot, atau bahkan bisa crash.

Masalahnya: Pintu Rumah Dibuka Lebar Tanpa Penjaga Ketat!

Akar masalahnya sederhana, Bli. Port-port manajemen Mikrotik kita (seperti WinBox, SSH, Webfig) yang seharusnya cuma bisa diakses oleh kita sebagai administrator, seringkali terekspos langsung ke internet. Tanpa perlindungan ekstra, penyerang dari seluruh dunia bisa dengan bebas mencoba-coba login ke router kita. Mereka pakai program otomatis buat nyoba semua kombinasi username dan password populer. Tiap percobaan ini butuh resource CPU dan RAM, kalau dilakukan ribuan kali dalam waktu singkat, ya wajar kalau Mikrotik kita jadi loyo. Dan yang paling parah, kalau sampai mereka berhasil, bisa bayangkan sendiri kan bahayanya?

Solusinya: Pasang Satpam Otomatis yang Tegas!

Solusi untuk masalah ini adalah dengan menerapkan konfigurasi Firewall yang cerdas, kita sebut saja “Dynamic Brute Force Protection”. Konsepnya mirip seperti sistem fail2ban di Linux. Jadi, ketika ada IP yang melakukan percobaan login berulang kali ke Mikrotik kita dalam waktu singkat, si “Satpam Otomatis” ini akan langsung mencatat IP tersebut ke dalam daftar hitam (address-list) dan memblokirnya sementara waktu. Dengan begitu, Mikrotik kita bisa bernafas lega, CPU kembali normal, dan yang terpenting, keamanan jaringan jadi lebih terjamin.

Berikut adalah panduan lengkap cara setting-nya.

Langkah 1: Buat Aturan Firewall untuk Deteksi & Blokir Otomatis

Pada langkah ini, kita akan membuat dua address-list dan beberapa filter rules. Address-list pertama (bruteforce_stage1) berfungsi sebagai daftar sementara untuk IP yang baru terdeteksi melakukan percobaan mencurigakan. Jika IP tersebut tetap melakukan percobaan lagi saat masih di daftar stage1, barulah ia akan masuk ke bruteforce_block dan diblokir untuk durasi yang lebih lama.

  1. Masuk ke menu IP > Firewall > Filter Rules.

  2. Kita akan input script berikut ini langsung melalui New Terminal agar lebih cepat dan tidak ada typo. Klik menu New Terminal di WinBox.

  3. Masukkan script berikut:

    # 1. Buat Address List untuk IP yang mencoba brute force
/ip firewall address-list add list=bruteforce_stage1 timeout=1m comment="Stage 1: Temporary list for brute force detection"
/ip firewall address-list add list=bruteforce_block timeout=1h comment="Stage 2: Blocked IPs from brute-force"

# 2. Rule untuk WinBox (Port 8291)
# Jika ada percobaan koneksi baru dari IP yang belum diblokir, masukkan ke bruteforce_stage1
/ip firewall filter add chain=input protocol=tcp dst-port=8291 connection-state=new \
    src-address-list=!bruteforce_block \
    action=add-src-to-address-list address-list=bruteforce_stage1 \
    comment="Detect WinBox brute-force attempt (stage 1)"

# Jika IP sudah di bruteforce_stage1 dan melakukan percobaan lagi, masukkan ke bruteforce_block
/ip firewall filter add chain=input protocol=tcp dst-port=8291 connection-state=new \
    src-address-list=bruteforce_stage1 \
    action=add-src-to-address-list address-list=bruteforce_block address-list-timeout=1h \
    comment="Block WinBox brute-force (stage 2)"

# 3. Rule untuk SSH (Port 22)
# Sama seperti WinBox, deteksi percobaan SSH brute force stage 1
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=!bruteforce_block \
    action=add-src-to-address-list address-list=bruteforce_stage1 \
    comment="Detect SSH brute-force attempt (stage 1)"

# Jika IP sudah di bruteforce_stage1 dan melakukan percobaan lagi, masukkan ke bruteforce_block
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new \
    src-address-list=bruteforce_stage1 \
    action=add-src-to-address-list address-list=bruteforce_block address-list-timeout=1h \
    comment="Block SSH brute-force (stage 2)"

# 4. Drop rule untuk IP yang ada di bruteforce_block
# Ini adalah aturan utama untuk memblokir semua trafik dari IP yang sudah masuk daftar hitam
/ip firewall filter add chain=input action=drop src-address-list=bruteforce_block \
    comment="Drop all traffic from detected brute-force IPs"

    GAMBAR 1: Screenshot contoh tampilan Filter Rules dan Address List setelah script diterapkan. Pastikan ada rule baru dan address list 'bruteforce_block' serta 'bruteforce_stage1' Penjelasan Script:

    • bruteforce_stage1 akan menyimpan IP penyerang selama 1 menit. Jika dalam 1 menit itu mereka mencoba lagi, IP-nya langsung ditendang ke bruteforce_block.
    • bruteforce_block akan memblokir IP selama 1 jam (timeout=1h). Setelah 1 jam, IP otomatis akan dihapus dan bisa mencoba lagi (dengan risiko diblokir ulang jika masih bandel).
    • src-address-list=!bruteforce_block memastikan rule ini hanya memproses IP yang belum diblokir permanen.
    • connection-state=new berarti kita hanya menghitung koneksi baru, bukan paket data yang sudah berjalan.

Langkah 2: Pastikan Urutan Aturan Firewall Sudah Benar

Ini adalah bagian krusial di Mikrotik, Bli! Urutan aturan (rules order) di Firewall sangat menentukan efektivitasnya. Aturan yang berada di atas akan diproses duluan. Agar aturan drop kita bekerja, ia harus diletakkan di atas aturan accept untuk port-port manajemen.

  1. Masuk kembali ke menu IP > Firewall > Filter Rules.

  2. Cari aturan yang baru saja kita buat, terutama yang action=drop src-address-list=bruteforce_block.

  3. Pastikan aturan ini berada di atas aturan lain yang mengizinkan akses ke WinBox (port 8291), SSH (port 22), atau Webfig (port 80/443) dari external interface (misal WAN). Jika ada aturan action=accept untuk port-port tersebut, geser aturan drop kita ke atasnya dengan cara drag and drop.

  4. Tips Tambahan:

    • Ganti Port Default: Ubah port default WinBox (8291) dan SSH (22) ke angka lain yang tidak umum (misal 18291 dan 1022). Ini tidak mencegah brute force sepenuhnya, tapi mengurangi target serangan otomatis. Caranya: IP > Services, lalu dobel klik service yang mau diganti port-nya.
    • Disable Service yang Tidak Digunakan: Matikan service yang tidak Bli pakai (misal Telnet, FTP, WWW jika tidak butuh Webfig). Ini mengurangi attack surface. Caranya sama: IP > Services, lalu klik kanan dan Disable pada service yang tidak perlu.

    GAMBAR 2: Screenshot contoh urutan Filter Rules yang benar, dengan rule 'Drop all traffic from detected brute-force IPs' berada di atas rule 'Accept WinBox' atau 'Accept SSH'. Juga tunjukkan contoh pergantian port di IP Services.

Cara Cek Apakah Berhasil? (Verifikasi)

Untuk memastikan “Satpam Otomatis” kita bekerja dengan baik, Bli bisa cek beberapa hal berikut:

  1. Cek Address List: Masuk ke menu IP > Firewall > Address Lists. Jika ada IP asing yang mencoba brute force, Bli akan melihat IP tersebut muncul di daftar bruteforce_stage1 (jika baru terdeteksi) atau bruteforce_block (jika sudah diblokir).
  2. Cek Log Mikrotik: Masuk ke menu System > Log. Cari entri log yang berisi informasi drop dan IP penyerang. Atau, Bli juga bisa melihat entri login failed yang berkurang drastis setelah IP penyerang diblokir.
  3. Monitor CPU Usage: Pantau grafik CPU Usage (menu Tools > Graphing > Resource). Seharusnya, setelah implementasi ini, CPU Usage Mikrotik Bli akan lebih stabil dan tidak lagi melonjak tinggi karena serangan brute force.

Pertanyaan Sering Muncul (FAQ)

Q: Bli, kalau saya sendiri yang lupa password dan keblokir gimana? Nanti nggak bisa akses Mikrotik lagi dong? A: Tenang Bli, jangan panik! Itu sebabnya kita beri timeout=1h di address-list bruteforce_block. Artinya, IP Bli akan terblokir selama 1 jam. Setelah 1 jam, IP Bli otomatis akan dihapus dari daftar blokir dan Bli bisa mencoba login lagi (tapi kali ini jangan sampai salah lagi ya!). Sebagai langkah antisipasi, pastikan Bli punya cara lain untuk akses Mikrotik, seperti melalui MAC WinBox (untuk akses lokal tanpa IP) atau melalui konsol kabel serial. Atau, Bli bisa meng-exclude IP public Bli sendiri (jika Bli punya IP public statis) dari aturan deteksi brute force ini, tapi itu disarankan hanya untuk yang sudah lebih advanced.

Kesimpulan

Memasang “Satpam Otomatis” pada Mikrotik Bli ini bukan hanya tentang keamanan, tapi juga tentang kesehatan dan performa router Bli. Dengan sedikit konfigurasi di Firewall, Bli sudah berhasil melindungi Mikrotik dari upaya brute force yang menguras resource dan berpotensi membahayakan jaringan. Ingat, keamanan itu bukan cuma sekali setting, Bli, tapi sebuah proses berkelanjutan. Selalu update firmware, gunakan password yang kuat, dan jangan malas cek log Mikrotik ya!

Semoga tutorial ini bermanfaat dan Mikrotik Bli selalu aman sentosa! Salam IT Expert Bali!

Lanjut Belajar Yuk! 👇

Lihat Semua →
[Studi Kasus #6] Cara Blokir YouTube & TikTok di Mikrotik pada Jam Kerja (Script Otomatis)

Kasus #5: Blokir Sosmed

7 Jan 2026
[Studi Kasus #5] RAM Sisa 1MB? 3 Tanda Router Mikrotik hAP Lite Harus Diupgrade ke RB750gr3

Tanda Router Harus Diupgrade

6 Jan 2026
[Studi Kasus #4] Voucher 1 Dipakai Sekampung? Cara Blokir Tethering & Netcut di Mikrotik

Kasus #4: Blokir Tethering

5 Jan 2026
Artikel ini bermanfaat? Traktir Kopi Gula Aren ☕