Sebenarnya tutorial ini ada di website resmi wiki mikrotik,
tapi kalau di wiki bahasanya masih bahasa inggris. Intinya sih, tutorial ini
versi bahasa Indonesia nya dari wiki mikrotik. Ituh !
Secara garis besar bruteforce attack ini adalah tehnik mencoba
masuk ke perangkat orang lain (ex : mikrotik) dengan cara mencoba secara acak kemungkinan
user dan password yang ada di perangkat tersebut. Dan ini sangat sering terjadi
jika di mikrotik terdapat “IP Publik”
Setiap orang pasti punya keamanan sendiri untuk menjaga
perangkatnya agar orang lain tidak dapat masuk, dan pasti dengan password yang
hanya dia dan orang sekitarnya yang tau. Tapi secara tidak langsung bruteforce
attack ini sangat mengganggu.
Bisa dilihat gambar dibawah ini, terdapat banyak sekali
percobaan masuk. Biar tidak terjadi seperti ini lagi, di mikrotik bisa
ditambahkan beberapa filter.
Filter yang pertama, drop
ftp. Samakan saja seperti gambar ini
Filter diatas intinya, jika ada yang IP yang mencoba masuk
tapi gagal (503 Login Incorrect) akan dimasukkan ke dalam address list dengan
nama ftp_blacklist, dan jika ada
yang masuk menggunakan ip yang ada di addres list (ftp_blacklist) melalui port
21/ftp actionnya akan di drop
Yang kedua drop ssh.
Intinya sama dengan filter FTP, tapi ini menggunakan stage.
Jika ada yang masuk menggunakan ip yang ada di addres list (ssh_blacklist)
melalui port 22/ssh actionnya akan di
drop
Dan in hasil dari kedua filter tersebut
Untuk melihat IP berapa saja yang digunakan bruteforce
attacker, bisa dilihat di Address list.
Ini contoh yang terjadi di router saya sendiri, padahal baru
sehari menggunakan filter ini tapi sudah ada 13 IP yang masuk address list
Cukup ini dulu pambahasan tentang bruteforce attack. Untuk sumbernya
bisa langsung lihat disini (sumur : Bruteforce logi prevention)
Selamat mencoba dan semoga bermanfaat
Jooss yat !!!
ReplyDeletePodo tenan eee :D
add action=drop chain=input comment="drop FTP Brute Forcers" disabled=no dst-port=21 protocol=tcp src-address-list=FTP_BlackList
add action=drop chain=input comment="" disabled=no dst-port=21 protocol=tcp src-address-list=FTP_BlackList
add action=accept chain=output comment="" content="530 Login incorrect" disabled=no dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=FTP_BlackList address-list-timeout=1d chain=output comment="" content="530 Login incorrect" disabled=no protocol=tcp
add action=drop chain=input comment="drop SSH&TELNET Brute Forcers" disabled=no dst-port=22-23 protocol=tcp src-address-list=IP_BlackList
add action=add-src-to-address-list address-list=IP_BlackList address-list-timeout=1d chain=input comment="" connection-state=new disabled=no dst-port=22-23 protocol=tcp src-address-list=SSH_BlackList_3
add action=add-src-to-address-list address-list=SSH_BlackList_3 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22-23 protocol=tcp src-address-list=SSH_BlackList_2
add action=add-src-to-address-list address-list=SSH_BlackList_2 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22-23 protocol=tcp src-address-list=SSH_BlackList_1
add action=add-src-to-address-list address-list=SSH_BlackList_1 address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22-23 protocol=tcp
Kwkwkw .. beda bahasa mas :v
DeleteCuma FTP karo SSH kui