Assalamualaikum, Pada kali ini saya akan membagikan ilmu tentang mengantisipasi serangan bruteforce terhadap keamanan router. Bruteforce adalah suatu aktifitas akses login secara paksa tanpa henti untuk menyerang dan membobol router tersebut. Biasanya bruteforce menyerang pada service ssh dan telnet pada mikrotik namun hal ini tidak menutup kemungkinan bisa terjadi di port service yang lain. Bisa dilihat pada gambar dibawah ini :
Untuk mengantisipasi hal tersebut ada beberapa langkah yang bisa kalian lakukan diantaranya :1. Upgrade versi OS terbaru yang stable2. Hapus default user dan password ganti dengan user dan password baru3. Matikan ip service yang tidak digunakan dengan cara klik menu ip –> services, seperti gambar berikut :
Terlihat dari gambar diatas merupakan default ip service mikrotik ada api, api-ssl, ftp, ssh, telnet, winbox, www, dan www-ssl. Disini saya akan mematikan beberapa service yang tidak digunakan seperti api, api-ssl, ftp, dan www-ssl dengan cara pilih servicenya lalu tekan tombol X merah.4. Merubah default port service, dengan cara klik name servicenya lalu ganti port sesuka hati kalian. Seperti gambar dibawah ini :
Terlihat pada gambar diatas port ssh saya ganti dengan 2220, telnet menjadi 2320, www menjadi 802.5. Menambahkan available form jika kalian memiliki ip publik tetap, apa fungsinya ? Available form berfungsi sebagai hak akses port service pada ip yang sudah didaftarkan. Kalau menambahkan available form sepertinya rumit untuk kita remote dimanapun dan kapanpun karena lebih spesifik.6. Bagi kalian yang tidak mau repot mematikan dan mengganti pada ip services seperti tahapan 3 s/d 5, kalian bisa menggunakan firewall filter.
drop ftp brute forcers
ip firewall filter add chain=input action=drop protocol=tcp src-address-list=ftp_blacklist dst-port=21
ip firewall filter add chain=output action=accept protocol=tcp content=530 Login incorrect dst-limit=1/1m,9,dst-address/1m
ip firewall filter add chain=output action=add-dst-to-address-list protocol=tcp address-list=ftp_blacklist address-list-timeout=3h content=530 Login incorrect
Konfigurasi diatas digunakan untuk memblokir akses login dengan menggunakan service ftp dengan catatan jika ip yang melakukan bruteforce sudah melakukan 10 kali maka otomatis akan terblacklist pada address list ftp_blacklist selama kurang lebih 3 jam.
drop ssh dan telnet brute forcers
ip firewall filter add chain=input action=drop protocol=tcp src-address-list=ssh_telnet_blacklist
dst-port=22-23 log=no log-prefix=""
ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=ssh_stage3 address-list=ssh_telnet_blacklist address-list-timeout=1w3d dst-port=22-23 log=no log-prefix=""
ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=ssh_stage2 address-list=ssh_telnet_stage3 address-list-timeout=1m dst-port=22-23 log=no log-prefix=""
ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=ssh_stage1 address-list=ssh_telnet_stage2 address-list-timeout=1m dst-port=22-23 log=no log-prefix=""
ip firewall filter add chain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=ssh_telnet_stage1 address-list-timeout=1m dst-port=22-23 log=no log-prefix=""
Konfigurasi diatas digunakan untuk memblokir akses login dengan menggunakan service ssh dan telnet dengan 3 proses dimana pada awal user mencoba akses ke router maka akan masuk address list ssh_telnet_stage1 dengan kurun waktu 1 menit dan selanjutnya jika ip tersebut melakukan akses kembali maka akan masuk ssh_telnet_stage2 dengan kurun waktu 1 menit begitu sampai 3 kali melakukan akses tanpa izin makan ip tersebut akan di blacklist pada address list ssh_telnet_blacklist selama kurang lebih 10 hari.
drop ssh dan telnet brute downstream
ip firewall filter add chain=forward action=drop protocol=tcp src-address-list=ssh_blacklist dst-port=22-23 time=0s-23h59m59s,sun,tue,wed,thu,fri,sat log=no log-prefix=""
Konfigurasi diatas digunakan untuk meneruskan ke client dibawahnya jika terjadi bruteforce ssh maka akan masuk pada address list ssh_telnet_blacklist pada waktu 24 jam setiap hari senin sampai minggu.
Sumber : Dprasit Solutions
3 Responses
What a stuff of un-ambiguity and preserveness of precious knowledge on the topic of unexpected feelings. Augustus Doble
Thanks for discussing the issues and covering them in a well written format. Charley Sings
You ought to be a part of a contest for one of the greatest websites online. Haywood Redenbaugh