Penulis: Arfan Fahri, S.kom, MTCNA
Pendahuluan
Salah satu celah keamanan yang sangat berbahaya adalah ketika sebuah server dapat diakses via SSH tanpa memerlukan password. Hal ini bisa terjadi karena konfigurasi yang salah, key-based authentication tanpa passphrase, atau bahkan bug/eksploitasi.
Jika server berada di belakang router MikroTik, Anda dapat menggunakan fitur firewall dan pengaturan MikroTik untuk membatasi dan mengamankan akses ke server. Artikel ini menjelaskan penyebab SSH tanpa password dan langkah mitigasi melalui MikroTik.
Penyebab Server Bisa Diakses SSH Tanpa Password
Secara Umum :
1. SSH Key Tanpa Passphrase
User Linux Tanpa Password
Akun di server Linux dibuat tanpa password (passwd -d user), atau login diizinkan walau password kosong.
Server menerima koneksi dari client yang memiliki privat key tanpa passphrase.
2. Konfigurasi sshd_config Salah
3. Service SSH Tanpa Pembatasan Akses
"Penulis tidak mencantumkan konfigurasi karena setiap distro linux / jenis turunannya akan sedikit berbeda, diharapkan untuk mencari ke link komunitas atau diskusi terkait kebutuhan anda."
Mengamankan Akses SSH Server Lewat MikroTik
MikroTik bisa digunakan untuk mengontrol dan menyaring akses SSH ke server, meskipun server belum sepenuhnya aman. Berikut beberapa langkah mitigasi
1. Blokir Akses SSH ke Server dari Internet
Jika server hanya boleh diakses dari jaringan lokal atau IP tertentu, gunakan firewall, dan Tambahkan IP yang diizinkan.
2. Port Knocking untuk Akses SSH
Gunakan port knocking untuk membuka akses sementara:
Misalnya: knock port 1234, 2345, 3456 secara berurutan, baru port 22 terbuka. Gunakan skrip dan firewall MikroTik.
3. Limitasi Connection Rate
Batasi jumlah koneksi SSH ke server agar brute-force tidak mudah dilakukan
4. Redirect SSH ke Port Lain (Port Change)
Alihkan port SSH server dari publik ke port yang tidak umum
5. Monitoring dan Logging
Aktifkan logging untuk semua koneksi SSH masuk ke server
Kesimpulan
Meskipun bug atau konfigurasi yang salah di sisi server bisa membuka akses SSH tanpa password, MikroTik dapat menjadi lapisan keamanan tambahan yang sangat efektif. Dengan firewall, NAT, address-list, dan logging, Anda bisa membatasi akses hanya untuk IP terpercaya, sekaligus memblokir potensi eksploitasi dari luar.
Ingat: MikroTik bukan pengganti keamanan di sisi server. Selalu perbaiki konfigurasi server terlebih dahulu, lalu gunakan MikroTik sebagai pelindung tambahan.
Bijaklah dalam melakukan konfigurasi "Rule" pada Server dan Router. Lakukan Konfigurasi yang dirasa perlu tanpa membebani perangkat.
