Sign in Subscribe
jaringan

🛡️Menghalangi Interface CCTV Mengakses Internet di MikroTik

Adrianus Aransina Tukan

3 min read
🛡️Menghalangi Interface CCTV Mengakses Internet di MikroTik

Pendahuluan

Dalam membangun jaringan homelab dan jaringan desa, saya belajar bahwa tidak semua perangkat perlu akses internet. Salah satu contoh paling jelas adalah jaringan CCTV. Awalnya, saya membiarkan interface CCTV bisa mengakses internet seperti jaringan lain. Namun, seiring waktu, saya menyadari bahwa ini adalah risiko keamanan dan pemborosan bandwidth.

Dari pengalaman tersebut, saya akhirnya memutuskan untuk memblokir akses internet dari interface CCTV, tanpa mengganggu fungsi utama CCTV itu sendiri (rekaman lokal, akses dari server, dan monitoring internal).

Artikel ini saya tulis sebagai dokumentasi pengalaman saya, sekaligus panduan praktis bagaimana cara mengimplementasikannya di MikroTik.

Kenapa Interface CCTV Tidak Perlu Akses Internet?

1. CCTV Tidak Membutuhkan Internet untuk Fungsi Utama

CCTV pada dasarnya berfungsi untuk:

  • Merekam video
  • Mengirim stream ke NVR / server
  • Menyimpan rekaman lokal

Semua fungsi ini berjalan di jaringan lokal, bukan internet. Memberi akses internet ke CCTV tidak menambah manfaat, justru menambah risiko.

2. Risiko Keamanan Perangkat CCTV

Banyak perangkat CCTV dan IoT:

  • Menggunakan firmware lama
  • Jarang mendapatkan update keamanan
  • Memiliki port terbuka dan service tersembunyi

Jika CCTV bisa mengakses internet:

  • Perangkat bisa dikontrol dari luar tanpa disadari
  • Bisa menjadi pintu masuk malware ke jaringan
  • Bisa digunakan sebagai bagian dari botnet

3. Menghemat Bandwidth Jaringan Desa

Di jaringan desa, bandwidth adalah sumber daya yang sangat berharga. Jika CCTV:

  • Melakukan update otomatis
  • Mengirim telemetry ke cloud vendor

maka bandwidth akan terbuang untuk hal yang tidak berkontribusi langsung ke pengguna.

4. Prinsip Least Privilege

Saya menerapkan prinsip:

Perangkat hanya boleh mendapatkan akses yang benar-benar dibutuhkan.

CCTV hanya perlu:

  • Akses ke NVR / server
  • Akses internal monitoring

Tidak lebih dari itu.

Studi Kasus Jaringan Saya

Pembagian interface di MikroTik yang saya gunakan:

  • ether1 : ISP / Internet
  • ether2 : Server (Proxmox, VM, LXC)
  • ether3 : PPPoE Client
  • ether4 : CCTV
  • ether5 : Access Point / User

Target konfigurasi:

  • Interface CCTV tidak bisa akses internet
  • CCTV tetap bisa berkomunikasi dengan server dan NVR
  • Segmentasi jaringan tetap terjaga

Konsep Teknis Pemblokiran Internet

Di MikroTik, akses internet biasanya keluar melalui:

  • Interface WAN (ether1)
  • NAT masquerade

Strategi saya:

  1. Identifikasi subnet CCTV
  2. Blokir trafik dari subnet CCTV ke interface WAN
  3. Pastikan trafik internal tetap diizinkan

Implementasi: Memblokir Internet untuk Interface CCTV

1. Pastikan Subnet CCTV

Contoh subnet CCTV yang saya gunakan:

  • CCTV Network: 192.168.40.0/24

Jika interface CCTV belum diberi IP:

/ip address add address=192.168.40.1/24 interface=ether4 comment="CCTV Network"

2. (Opsional) Tambahkan Address List CCTV

Agar rule lebih rapi dan mudah dikelola:

/ip firewall address-list add \
    list=cctv_network \
    address=192.168.40.0/24 \
    comment="CCTV Subnet"

3. Blokir Akses Internet dari CCTV (Forward Chain)

Rule utama ada di forward chain, karena ini trafik melewati router menuju internet.

/ip firewall filter add \
    chain=forward \
    src-address-list=cctv_network \
    out-interface=ether1 \
    action=drop \
    comment="Block CCTV access to Internet"

Dengan rule ini:

  • Semua trafik dari CCTV
  • Yang menuju interface WAN

akan langsung diblokir.

4. Pastikan Akses Internal Tetap Jalan

Jika sebelumnya sudah ada rule:

Allow established, related
Allow trusted full access

maka komunikasi CCTV ke server internal tetap berjalan normal.

Urutan Rule Sangat Penting

Urutan rule yang saya gunakan:

  1. Allow established, related
  2. Allow trusted
  3. Block CCTV to Internet
  4. Rule forward lainnya

Jika urutan salah:

  • CCTV bisa lolos ke internet
  • Atau malah tidak bisa akses server internal

Hasil Setelah Implementasi

Setelah saya menerapkan konfigurasi ini:

  • CCTV tidak bisa ping internet
  • CCTV tidak bisa update ke cloud vendor
  • Server dan NVR tetap bisa mengakses CCTV
  • Penggunaan bandwidth lebih stabil

Yang paling penting: jaringan jadi lebih aman dan terkontrol.

Penutup

Menghalangi interface CCTV untuk mengakses internet adalah langkah kecil, tapi berdampak besar. Dari pengalaman saya:

  • Keamanan meningkat
  • Bandwidth lebih efisien
  • Risiko dari perangkat IoT berkurang drastis

Router bukan hanya alat penghubung jaringan, tapi juga penjaga gerbang keamanan. Dengan memahami fungsi setiap interface, kita bisa membuat jaringan yang jauh lebih sehat dan profesional.

Semoga pengalaman saya ini bisa membantu kamu yang sedang membangun homelab atau jaringan desa 🤝