News
Panduan Keamanan Device-Mode MikroTik
Pelajari cara device-mode RouterOS membatasi alat berisiko, mengapa ada, dan cara merencanakan provisioning serta adopsi MKController dengan aman.
Ringkasan Device-mode adalah gerbang kemampuan persisten RouterOS untuk subsistem berisiko tinggi — fetch, scheduler, proxy SOCKS, bandwidth-test, container, dan lainnya. Ia berada di bawah izin pengguna, sehingga bahkan admin penuh tidak dapat mengaktifkan alat tertentu tanpa konfirmasi tombol fisik atau power-cycle. Panduan ini menjelaskan cara kerjanya, mengapa MikroTik memperkenalkannya setelah era botnet Mēris, bagaimana evolusinya melalui RouterOS v7.4 hingga v7.22, dan cara merencanakan provisioning agar adopsi MKController berjalan lancar.
Apa itu device-mode RouterOS?
Device-mode adalah status keamanan persisten RouterOS yang menentukan apa yang dapat dilakukan OS itu sendiri, tanpa peduli pengguna mana yang sedang login. Ia berada di bawah izin pengguna: bahkan sesi admin penuh tidak dapat mengaktifkan alat berisiko tinggi tertentu kecuali kebijakan device-mode mengizinkannya, dan batas keamanan menjadi “kata sandi Anda ditambah bukti fisik bahwa seseorang dapat menyentuh perangkat.”
Device-mode berbeda dari Safe Mode. Safe Mode melindungi Anda dari penguncian konfigurasi selama perubahan interaktif (ia rollback jika sesi terputus). Device-mode adalah kebijakan kemampuan jangka panjang yang bertahan melalui reboot dan upgrade — setelah suatu fitur dibatasi, setiap reboot mempertahankan batasan tersebut sampai konfirmasi fisik eksplisit membalik keputusan.
Mengapa MikroTik memperkenalkan device-mode
Penyerang belajar mengubah router edge menjadi senjata berskala internet. Botnet Mēris adalah titik perubahan — perangkat MikroTik yang dikompromikan digunakan sebagai relay dan generator trafik dengan menyalahgunakan fitur yang sah untuk insinyur jaringan tetapi menghancurkan ketika dibajak: proxy SOCKS untuk tunneling trafik serangan, bandwidth-test untuk amplifikasi, scheduler + fetch untuk persistensi dan pengiriman payload.
Device-mode menerapkan prinsip hak minimum pada level platform sehingga kredensial yang dicuri sendirian tidak dapat membalik saklar paling berisiko. Batas keamanan menjadi “kata sandi Anda ditambah bukti fisik bahwa seseorang dapat menyentuh perangkat.”
Handshake konfirmasi fisik
Jika Anda mencoba mentransisikan fitur terbatas dari no ke yes, RouterOS menerima permintaan tetapi mempertahankannya tertunda. Anda harus mengonfirmasi secara lokal dengan tekan tombol atau cold reboot dalam timeout yang dikonfigurasi, atau RouterOS membuang perubahan tersebut. Untuk situs jarak jauh, rencanakan bagaimana power cycle yang diperlukan akan terjadi — PDU pintar, injektor PoE terkelola, atau tangan di lokasi. Device-mode tidak menggantikan firewall atau izin pengguna — ia berada di bawah mereka sebagai garis pertahanan terakhir.
Mode, flag, dan apa yang diblokir
Device-mode dikonfigurasi di bawah /system/device-mode. Secara internal ini adalah sekumpulan flag boolean yang mengendalikan subsistem tertentu. Flag yang muncul dalam operasi nyata:
fetch— memblokir/tool/fetchdan otomatisasi apa pun yang bergantung padanya.scheduler— memblokir/system/schedulerdan skrip terjadwal.socks— memblokir pengaktifan proxy SOCKS.bandwidth-testdantraffic-gen— memblokir BTest dan pembangkitan trafik.container— memblokir container RouterOS kecuali diaktifkan secara eksplisit.partitionsdanrouterboard— memblokir perubahan penyimpanan tingkat rendah dan pengaturan boot.install-any-version/allowed-versions— membatasi jalur downgrade yang memperkenalkan kembali kerentanan lama.
Versi RouterOS yang lebih baru memperkenalkan mode yang telah ditentukan yang mengelompokkan flag berdasarkan tier perangkat keras:
| Mode | Tier perangkat keras | Postur | Pembatasan default kunci |
|---|---|---|---|
| advanced | CCR, 1100, kelas atas | Permisif | container, traffic-gen, install-any-version |
| home | hAP, cAP, SOHO | Ketat | scheduler, fetch, socks, bandwidth-test, sniffer |
| basic | RB standar, switch | Seimbang | socks, bandwidth-test, proxy, zerotier |
| rose | RDS, wireless outdoor | Penggunaan khusus | Sama dengan advanced tetapi dengan container=yes |
Perangkat baru dapat tiba dengan postur restriktif yang merusak otomatisasi standar Anda sampai Anda merencanakannya.
Evolusi versi
Device-mode telah berkembang dari kontrol container khusus menjadi kerangka kerja komprehensif. Pertama kali muncul di v7.4beta terkait dengan dukungan container — fitur pertama yang memerlukan /system/device-mode/update container=yes dan tekan tombol. v7.13 (dan backport v6.49.8) memperkenalkan allowed-versions untuk memblokir serangan rollback terhadap CVE lama. v7.17 (awal 2025) membawa mode yang telah ditentukan berdasarkan tier perangkat keras dengan penugasan mode otomatis selama upgrade. v7.19–v7.22 mengatasi “deadlock otomatisasi” — v7.22rc3 (Februari 2026) menambahkan kemampuan untuk mengonfigurasi device-mode via Netinstall dan FlashFig menggunakan “mode script,” memungkinkan ISP menentukan status keamanan selama flashing awal alih-alih menekan tombol pada ribuan unit.
Status flagged dan kesulitan provisioning
RouterOS dapat menandai perangkat sebagai flagged ketika mendeteksi pola mencurigakan (perusakan file, perilaku seperti persistensi) dan menerapkan status aman yang lebih ketat. Penghitung percobaan juga mengunci pembaruan device-mode lebih lanjut setelah upaya perubahan yang gagal berulang kali tanpa konfirmasi fisik. Ketika hitungan terlihat tidak terduga, selidiki dulu — jangan aktifkan lebih banyak fitur untuk “membuatnya bekerja.”
Pola deadlock provisioning: router boot dalam mode restriktif, skrip first-boot memerlukan /tool/fetch untuk mengunduh config, fetch diblokir, bootstrap gagal, perangkat tidak pernah mencapai status di mana perbaikan jarak jauh dimungkinkan. Workflow provisioning yang lebih baru memperbaiki ini melalui mode script Netinstall/FlashFig. Perhatikan bahwa /system/reset-configuration TIDAK mereset device-mode pada banyak model — asumsi “reset sama dengan pabrik” dapat mengejutkan Anda.
Cara mengaktifkan fitur yang diperlukan dengan aman
Ketika Anda secara sah memerlukan kemampuan yang dibatasi, gunakan prosedur yang dapat diprediksi:
-
Periksa status saat ini:
/system/device-mode/print -
Minta perubahan dengan timeout:
/system/device-mode/update fetch=yes activation-timeout=10m -
Lakukan konfirmasi fisik — tekan tombol Mode/Reset (tergantung model) atau power-cycle perangkat dengan cold reboot.
-
Verifikasi:
/system/device-mode/print
Jika timeout berakhir sebelum konfirmasi, RouterOS membuang perubahan yang tertunda dan mempertahankan kebijakan lama.
Matriks pengaktifan berbasis risiko
| Kemampuan | Kebutuhan sah tipikal | Risiko utama | Pendekatan lebih aman |
|---|---|---|---|
fetch | Tarik config, perpanjang sertifikat | Pengiriman payload jauh | Izinkan hanya ke endpoint HTTPS dikenal; batasi egress |
scheduler | Backup, pekerjaan pemeliharaan | Persistensi | Jaga skrip minimal; pantau pekerjaan tak terduga |
socks | Tunneling internal | Relay botnet | Bind hanya ke VLAN manajemen; batasi dengan firewall |
traffic-gen / bandwidth-test | Tes link | DoS / amplifikasi | Aktifkan hanya selama jendela pemeliharaan |
container | Jalankan layanan di router | Persistensi jangka panjang | Lebih suka server khusus; perketat penyimpanan dan firewall |
Dampak pada adopsi MKController
MKController bergantung pada akses manajemen yang dapat diprediksi; device-mode dapat menjadi rem tangan tak terlihat selama onboarding. Jika ia memblokir tindakan yang diperlukan, alur adopsi terhenti — gejala sering terlihat seperti “perangkat dapat dijangkau, tetapi tugas gagal.” Panduan troubleshooting MKController menyoroti Device-Mode disabled secara spesifik. Rencanakan untuk itu: sertakan kebijakan device-mode dalam checklist staging Anda, putuskan flag mana yang diizinkan sebelum pengiriman, dan dokumentasikan bagaimana konfirmasi fisik akan terjadi di setiap situs. Untuk konteks keamanan terkait, lihat panduan praktik terbaik keamanan Winbox dan manajemen jarak jauh WireGuard kami.
Checklist pasca-upgrade
Setelah setiap upgrade RouterOS atau saat menerima perangkat keras baru: konfirmasi mode saat ini cocok dengan kebijakan; validasi tooling yang Anda andalkan (fetch, scheduler); periksa allowed-versions di lingkungan yang diregulasi; inspeksi attempt-count dan status flagged untuk anomali; dokumentasikan situs mana yang memerlukan konfirmasi fisik dan bagaimana.
Ambil langkah selanjutnya
Device-mode adalah infrastruktur keamanan esensial tetapi menambah overhead operasional dalam skala besar, di mana konfirmasi fisik di situs jarak jauh tidak dapat diimprovisasi. MKController memusatkan inventaris, tata kelola akses, dan visibilitas sehingga Anda hanya menyentuh device-mode ketika dibenarkan, dan langkah fisik direncanakan alih-alih reaktif.