MTCNA 7.1. Management User di MikroTik

Dalam menjaga jaringannya, administrator jaringan tentunya harus me-manage semua user yang ada pada jaringan tersebut. Fungsinya untuk apa? tentu saja fungsinya untuk keamanan. Karena setiap serangan tidak hanya berasal dari jaringan luar tetapi dari jaringan lokal pun terdapat serangan. Maka dari itu disini saya akan membahas tentang management user pada router MikroTik.

Banyak dari administrator jaringan yang tidak me-manage usernya dengan bijak. Administrator jaringan banyak sekali yang beranggapan bahwa memberi password pada user saja sudah cukup. Kemudian membagikan username dan password tersebut ke beberapa teman teknisi jaringan lainnya untuk dilakukan monitoring router. Hal tersebut tentunya sangat berbahaya karena mengancam keamanan pada jaringan. Ada beberapa hal yang harus diperhatikan dalam me-manage user pada router MikroTik. Untuk itu agar anda mengetahui beberapa hal tersebut silahkan anda pahami dulu konsep dibawah ini.

Secara default user router MikroTik dikelompokkan menjadi 3, yaitu:

• Full : User ini dapat melakukan berbagai hal dari melakukan konfigurasi, melakukan remote, merubah password, memberikan hak untuk management user, dan lainnya.

• Read : User ini tidak dapat melakukan konfigurasi pada router dan tidak dapat memberi hak untuk management user. Dalam kata lain user ini hanya digunakan untuk melakukan monitoring pada sistem.

• Write : User ini tidak dapat memberikan hak untuk management user dan tidak dapat melakukan berbagai lalu lintas ftp, seperti transfer file, menghapus file, dan membackup konfigurasi.

Untuk lebih jelasnya anda dapat melihat penjelasan dibawah ini mengenai opsi kebijakan dan hak akses pada user :

• local : Mengijinkan user login via local console.
• telnet : Mengijinkan user login secara remote via telnet.
• ssh : Mengijinkan user login secara remote via secure shell protocol (SSH).
• ftp : Mengijinkan hak penuh login via FTP, termasuk transfer file dari/menuju router. User dengan kebijakan ini memiliki hak read, write, dan menghapus files.
• reboot : Mengijinkan user me-restart router.
• read : Mengijinkan untuk melihat konfigurasi router. Semua command console yang tidak bersifat konfigurasi bisa diakses.
• write : Mengijinkan untuk melakukan konfigurasi router, kecuali user management. Kebijakan ini tidak mengijinkan user untuk membaca konfigurasi router, user yang diberikan kebijakan write ini juga disarankan diberikan kebijakan read.
• policy : Memberikan hak untuk management user. Should be used together with write policy. Allows also to see global variables created by other users (requires also 'test' policy).
• test : Memberikan hak untuk menjalankan ping, traceroute, bandwidth-test, wireless scan, sniffer, snooper dan test commands lainnya.
• web : Memberikan hak untuk remote router via WebFig.
• winbox : Memberikan hak untuk remote router via  WinBox.
• password : Memberikan hak untuk mengubah password.
• sensitive : Memberikan hak untuk melihat informasi sensitif router, misal secret radius, authentication-key, dll.
• api : Memberikan hak untuk remote router via API.
• sniff : Memberikan hak untuk menggunakan tool packet sniffer.

Agar anda menjadi administrator jaringan yang handal tentunya anda harus me-manage user dengan bijak. Berikut caranya me-manage user pada router MikroTik dengan tujuan untuk keamanan jaringan.

1. User dengan akses Full

User yang memiliki akses full ini biasanya hanya dimiliki oleh admin jaringan yang sudah handal (sudah berpengalaman) dalam melakukan konfigurasi router, memonitoring, dan lainnya. Disini kita akan mencoba membuat user dengan akses full pada router MikroTik.

Disini saya akan menjelaskan dari awal membuat user dengan akses full pada router MikroTik. Remote router menggunakan WinBox, klik System >> Users. Kemudian kita buat group policies baru dengan akses full (centang semua akses).

Setelah membuat group policies, kita buat user baru. Masukkan user baru tersebut kedalam group policies yang anda buat sebelumnya.

Keterangan:

• Name: nama user baru anda.
• Group: merupakan kebijakan untuk mengakses router.
• Allowed Address: menentukan dari jaringan mana user tersebut dapat diakses. Allowed address bisa diisi dengan ip address atau network addresss. Jika kita isi dengan ip address, maka user hanya bisa login menggunakan ip address tertentu (misalnya hanya dapat diakses oleh ip address 172.16.2.10), jika kita isi network address, user dapat digunakan pada segmen network tertentu (misalnya user dapat diakses oleh  ip address yang berada pada network 172.16.2.0/24).

Menghapus Default User MikroTik

Cobalah menghapus user default MikroTik menggunakan user yang anda buat tadi. Maka akan muncul notifikasi seperti berikut. Mengapa? Karena default user MikroTik hanya dapat dihapus oleh default user MikroTik lainnya yang menggunakan policies default system dengan akses full (group full). Default user MikroTik juga dapat menghapus dirinya sendiri tapi dengan satu syarat yaitu ada pengganti user yang memiliki akses full dengan policies default system.

Menghapus User lainnya yang menggunakan akses full (non default system)

Disini kita coba membuat dua buah user dan masukkan user tersebut kedalam group dengan akses full yang anda buat. Misalnya disini saya membuat user baru dengan nama AdminGilang dan user baru dengan nama Senior. Saya akan mencoba login menggunakan user AdminGilang kemudian saya menghapus user Senior tersebut, maka user Senior tersebut akan terhapus.

 Mengakses Router menggunakan Winbox

Cobalah login MikroTik menggunakan WinBox dengan user yang memiliki akses full, baik itu default user atau user yang anda buat sendiri. 

Mengakses Router menggunakan Telnet

Cobalah login MikroTik menggunakan telnet dengan user yang memiliki akses full, baik itu default user atau user yang anda buat sendiri. 

Mengakses Router menggunakan SSH

Cobalah login MikroTik menggunakan SSH dengan user yang memiliki akses full, baik itu default user atau user yang anda buat sendiri. 

Mengecek Konfigurasi Router serta Melakukan Konfigurasi Router

Cobalah lakukan pengecekan konfigurasi router, disini saya mencoba mengecek konfigurasi ip address menggunakan perintah ip address print, maka akan muncul list ip address. Disini saya juga mencoba melakukan konfigurasi router dengan mengkonfigurasi ip address pada interface router dan hasilnya user dengan akses full dapat melakukan konfigurasi router.

2. User dengan akses Read

User yang memiliki akses read ini biasanya diberikan pada teknisi jaringan yang ingin memonitoring router saja, biasanya digunakan pada karyawan baru perusahaan agar tidak terjadi kesalahan konfigurasi. User dengan akses read ini tentunya tidak memiliki akses untuk menghapus user lain, melakukan konfigurasi, dan lainnya.

Disini saya mencoba membuat group policies untuk user yang memiliki akses read. Disini saya mengijinkan user tersebut untuk melakukan remote akses (kecuali WinBox), melakukan reboot, dan mengecek konfigurasi router.

Setelah membuat group policies, kita buat user baru. Masukkan user baru tersebut kedalam group policies yang anda buat sebelumnya.

Mengakses Router menggunakan Winbox

Cobalah login MikroTik menggunakan WinBox dengan user yang memiliki akses read menggunakan user yang anda buat tadi. Maka user tersebut tidak akan bisa melakukan login karena tidak memiliki akses.

Mengakses Router menggunakan Telnet

Cobalah login MikroTik menggunakan telnet dengan user yang memiliki akses read menggunakan user yang anda buat. Maka anda akan berhasil login.

Mengakses Router menggunakan SSH

Cobalah login MikroTik menggunakan SSH dengan user yang memiliki akses read menggunakan user yang anda buat. Maka anda akan berhasil login.

Mengecek Konfigurasi Router serta Melakukan Konfigurasi Router

Sekarang coba mengecek konfigurasi router dan melakukan konfigurasi. Disini saya mencoba mengecek konfigurasi router dengan mengecek ip address yang terdapat pada interface router dan berhasil. Kemudian saya mencoba melakukan konfigurasi router dan gagal karena user tersebut tidak diberi akses untuk melakukan konfigurasi.

3. User dengan akses Write

User dengan akses write ini biasanya diberikan untuk teknisi jaringan sudah cukup handal. User yang memiliki akses write ini dapat melakukan konfigurasi pada router. Akan tetapi user ini tidak dapat melakukan management user, seperti menghapus user dan menambahkan user.

Disini saya mencoba membuat group policies untuk user yang memiliki akses write. Disini saya mengijinkan user tersebut untuk melakukan remote akses (kecuali telnet), melakukan reboot, dan melakukan konfigurasi router.

Setelah membuat group policies, kita buat user baru. Masukkan user baru tersebut kedalam group policies yang anda buat sebelumnya.

Mengakses Router menggunakan Winbox

Cobalah login MikroTik menggunakan WinBox dengan user yang memiliki akses write menggunakan user yang anda buat tadi. Maka user tersebut akan berhasil login menggunakan WinBox.

Mengakses Router menggunakan Telnet

Cobalah login MikroTik menggunakan telnet dengan user yang memiliki akses write menggunakan user yang anda buat. Maka anda akan gagal melakukan login karena user tersebut tidak diberi akses remote login menggunakan telnet.

Mengakses Router menggunakan SSH

Cobalah login MikroTik menggunakan SSH dengan user yang memiliki akses write menggunakan user yang anda buat. Maka anda akan berhasil login menggunakan SSH.

Mengecek Konfigurasi Router serta Melakukan Konfigurasi Router

Sekarang coba mengecek konfigurasi router dan melakukan konfigurasi. Disini saya mencoba mengecek konfigurasi router dengan mengecek ip address yang terdapat pada interface router dan gagal, mengapa gagal? karena berdasarkan group policies yang tadi saya buat, saya tidak mencentang akses read. Kemudian saya mencoba melakukan konfigurasi router dan berhasil karena user tersebut diberi akses untuk melakukan konfigurasi.

Demikianlah artikel pada kali ini semoga artikel tersebut bermanfaat bagi anda semua yang membacanya. Jangan lupa amalkan kembali ilmu tersebut. Apabila ada kata-kata yang kurang dimengerti saya mohon maaf. Jika anda masih kurang paham akan artikel yang saya jelaskan tersebut silahkan berkomentar pada kolom komentar yang disediakan. Terima kasih.