Konfigurasi SSH & Keamanan (Brute Force Protection) MikroTik
Apr 12, 2026 132 views

Konfigurasi SSH & Keamanan (Brute Force Protection) MikroTik

1. Konfigurasi SSH

Masuk ke menu: IP → SSH

Lakukan pengaturan berikut:

  • Forwarding Enabled: remote
  • ✅ Centang: Always Allow Password Login

📌 Penjelasan:

  • remote → mengizinkan akses SSH dari jaringan lain
  • Password login tetap diizinkan (default), tapi nanti kita batasi dengan firewall

2. Konfigurasi Group User

Masuk ke: System → Users → Groups → Add (+)

Buat group baru (misalnya: group1):

  • Centang permission: ✅ SSH

Klik Apply → OK

📌 Ini digunakan untuk membatasi hak akses user

3. Mengamankan User Admin

Masuk ke: System → Users

Edit user admin:

  • Allowed Address:
192.168.30.0/24

📌 Artinya: User admin hanya bisa login dari VLAN 30 (biasanya jaringan server / admin)

4. Membuat User Baru (User1)

Masih di menu: System → Users → Add (+)

Isi:

  • Name: guru
  • Group: group1
  • Allowed Address:
192.168.10.0/24
192.168.30.0/24

📌 Artinya: User ini hanya bisa login dari VLAN 10

5. Konfigurasi Firewall Anti Brute Force

Masuk ke: New Terminal (Winbox)

Paste konfigurasi berikut:

/ip firewall filter

add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
comment="Drop FTP brute force"

add chain=output protocol=tcp content="530 Login incorrect" \
dst-limit=1/1m,9,dst-address/1m action=accept

add chain=output protocol=tcp content="530 Login incorrect" \
action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="Drop SSH brute force"

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list \
address-list=ssh_blacklist address-list-timeout=10d

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list \
address-list=ssh_stage3 address-list-timeout=1m

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage1 action=add-src-to-address-list \
address-list=ssh_stage2 address-list-timeout=1m

add chain=input protocol=tcp dst-port=22 connection-state=new \
action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m

6. Penyesuaian Firewall (Penting)

Masuk ke: IP → Firewall → Filter Rules

Cari rule dengan action drop (SSH brute force)

Edit bagian:

  • Src. Address:
192.168.20.0/24

Lakukan juga pada rule drop lainnya jika diperlukan.

📌 Tujuan:

  • Hanya jaringan tertentu (misalnya VLAN 30) yang boleh akses SSH
  • Selain itu akan diblok atau dibatasi

8. Hasil Akhir

Dengan konfigurasi ini:

  • SSH hanya bisa diakses dari jaringan tertentu
  • User dibatasi berdasarkan VLAN
  • Serangan brute force otomatis diblokir
  • Keamanan router meningkat drastis

Did you find this blog helpful?

found this blog helpful.