Tuesday, April 12, 2016

Mencegah Bruteforce Attack di Mikrotik

Sebenarnya tutorial ini ada di website resmi wiki mikrotik, tapi kalau di wiki bahasanya masih bahasa inggris. Intinya sih, tutorial ini versi bahasa Indonesia nya dari wiki mikrotik. Ituh !

Secara garis besar bruteforce attack ini adalah tehnik mencoba masuk ke perangkat orang lain (ex : mikrotik)  dengan cara mencoba secara acak kemungkinan user dan password yang ada di perangkat tersebut. Dan ini sangat sering terjadi jika di mikrotik terdapat “IP Publik

Setiap orang pasti punya keamanan sendiri untuk menjaga perangkatnya agar orang lain tidak dapat masuk, dan pasti dengan password yang hanya dia dan orang sekitarnya yang tau. Tapi secara tidak langsung bruteforce attack ini sangat mengganggu.

Bisa dilihat gambar dibawah ini, terdapat banyak sekali percobaan masuk. Biar tidak terjadi seperti ini lagi, di mikrotik bisa ditambahkan beberapa filter.


Filter yang pertama, drop ftp. Samakan saja seperti gambar ini


Filter diatas intinya, jika ada yang IP yang mencoba masuk tapi gagal (503 Login Incorrect) akan dimasukkan ke dalam address list dengan nama ftp_blacklist, dan jika ada yang masuk menggunakan ip yang ada di addres list (ftp_blacklist) melalui port 21/ftp  actionnya akan di drop

Yang kedua drop ssh.


Intinya sama dengan filter FTP, tapi ini menggunakan stage. Jika ada yang masuk menggunakan ip yang ada di addres list (ssh_blacklist) melalui port 22/ssh  actionnya akan di drop
Dan in hasil dari kedua filter tersebut


Untuk melihat IP berapa saja yang digunakan bruteforce attacker, bisa dilihat di Address list.
Ini contoh yang terjadi di router saya sendiri, padahal baru sehari menggunakan filter ini tapi sudah ada 13 IP yang masuk address list


Cukup ini dulu pambahasan tentang bruteforce attack. Untuk sumbernya bisa langsung lihat disini (sumur : Bruteforce logi prevention)
Selamat mencoba dan semoga bermanfaat

2 comments:

  1. Jooss yat !!!
    Podo tenan eee :D
    add action=drop chain=input comment="drop FTP Brute Forcers" disabled=no dst-port=21 protocol=tcp src-address-list=FTP_BlackList
    add action=drop chain=input comment="" disabled=no dst-port=21 protocol=tcp src-address-list=FTP_BlackList
    add action=accept chain=output comment="" content="530 Login incorrect" disabled=no dst-limit=1/1m,9,dst-address/1m protocol=tcp
    add action=add-dst-to-address-list address-list=FTP_BlackList address-list-timeout=1d chain=output comment="" content="530 Login incorrect" disabled=no protocol=tcp
    add action=drop chain=input comment="drop SSH&TELNET Brute Forcers" disabled=no dst-port=22-23 protocol=tcp src-address-list=IP_BlackList
    add action=add-src-to-address-list address-list=IP_BlackList address-list-timeout=1d chain=input comment="" connection-state=new disabled=no dst-port=22-23 protocol=tcp src-address-list=SSH_BlackList_3
    add action=add-src-to-address-list address-list=SSH_BlackList_3 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22-23 protocol=tcp src-address-list=SSH_BlackList_2
    add action=add-src-to-address-list address-list=SSH_BlackList_2 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22-23 protocol=tcp src-address-list=SSH_BlackList_1
    add action=add-src-to-address-list address-list=SSH_BlackList_1 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22-23 protocol=tcp

    ReplyDelete
    Replies
    1. Kwkwkw .. beda bahasa mas :v
      Cuma FTP karo SSH kui

      Delete