Tutorial Menanggulangi Serangan Malware Router Totolink, TP-Link, dan ONT ZTE lewat Firewall MikroTik ~ Fishing & Networking

Tutorial Menanggulangi Serangan Malware Router Totolink, TP-Link, dan ONT ZTE lewat Firewall MikroTik

Tujuan:

Blokir akses dari Internet ke router pelanggan.
Blokir port management yang rawan.
Lindungi MikroTik router dari serangan luar.
Deteksi dan mencegah penyebaran malware di jaringan FTTH/OLT.

1. Blokir Akses Internet ke IP LAN Pelanggan

Pastikan Internet tidak bisa langsung mengakses IP pelanggan:

/ip firewall filter
add chain=forward src-address-list=!LAN dst-address=172.16.0.0/22 action=drop comment="Block access to customer LAN from Internet"

Ganti 172.16.0.0/22 sesuai IP pool LAN pelanggan.

2. Blokir Port Management Rawan

Blokir semua akses ke port berbahaya dari luar:

/ip firewall filter
add chain=forward protocol=tcp dst-port=80,443,22,23 action=drop comment="Block remote management ports to customers"
add chain=forward protocol=tcp dst-port=7547 action=drop comment="Block TR-069 remote management exploit"

3. Lindungi Akses Management MikroTik

Izinkan hanya IP tertentu yang bisa akses Mikrotik:

/ip firewall address-list
add list=trusted-addresses address=192.168.88.0/24 comment="Admin Office"
add list=trusted-addresses address=1.2.3.4 comment="Admin Remote Public IP"

/ip firewall filter
add chain=input protocol=tcp dst-port=22,23,80,443,8291 src-address-list=!trusted-addresses action=drop comment="Protect MikroTik management access"

4. Batasi Aktivitas Scanning/Port Knocking

Blokir koneksi tidak wajar dari pelanggan:

/ip firewall filter
add chain=forward protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop comment="Drop abnormal connection attempts (scan/malware)"

5. Drop Invalid Connections

Putuskan semua koneksi yang aneh atau korup:

/ip firewall filter
add chain=forward connection-state=invalid action=drop comment="Drop invalid connections"

6. (Opsional) Logging Traffic Mencurigakan

Jika ingin analisa lebih lanjut:

/ip firewall filter
add chain=forward connection-state=new protocol=tcp src-port=80,443,22,23 action=log log-prefix="POTENTIAL ATTACK:" comment="Log suspicious access"

Tips Tambahan:

Pastikan semua perangkat (Router, ONT, TP-Link, Totolink) update firmware.
Reset perangkat yang sudah terinfeksi ke default pabrik.
Pisahkan VLAN management ONT/router dari VLAN data pelanggan.
Monitoring Syslog/SNMP supaya serangan bisa cepat terdeteksi.

Firewall Khusus PPPoE dan VLAN Tagging

Jika menggunakan PPPoE dan VLAN untuk memisahkan pelanggan, gunakan tambahan rules berikut:

1. Isolasi antar pelanggan PPPoE:

/ip firewall filter
add chain=forward src-address=172.16.8.0/22 dst-address=172.16.8.0/22 action=drop comment="Block PPPoE Client to Client Communication"

Ini mencegah satu pelanggan men-scan pelanggan lain.

2. Drop akses VLAN management dari pelanggan:

/ip firewall filter
add chain=forward in-interface=vlan-data out-interface=vlan-management action=drop comment="Block access from data VLAN to management VLAN"

Sesuaikan vlan-data dan vlan-management sesuai penamaan interface di router kamu.

3. Proteksi PPPoE Server Router:

/ip firewall filter
add chain=input in-interface=pppoe-incoming protocol=tcp dst-port=8291,22,23,80,443 action=drop comment="Protect PPPoE Server Management"

4. Limit koneksi abnormal dari sesi PPPoE:

/ip firewall filter
add chain=forward in-interface=pppoe-incoming protocol=tcp connection-limit=30,32 action=drop comment="Limit abnormal connections per PPPoE session"

Struktur VLAN ideal:

VLAN 10: Management OLT, ONT, Router.
VLAN 20: PPPoE pelanggan.
VLAN 30: VLAN data umum (Hotspot/Guest).

Dengan pemisahan VLAN dan proteksi firewall ini, malware akan sulit menyebar di dalam jaringan kamu.

Catatan: Jika ingin skema lebih advance (dynamic address-list, auto block brute-force, dsb.), bisa ditambahkan sesuai kebutuhan.

Selesai.