Sunday, 3 March 2019

Cara Drop FTP, SSH, dan Telnet Brute Force di MikroTik

Hello World; Selamat Malam menjelang sayang gengs, Nue disini .-. wkkwk baru bisa update lagi gua :'D
btw pernah gak sih lu ketika login MikroTik dan membuka New Terminal atau Cek /log aktivitas ada pesan error login failure for user root from 43.255.x.x via ssh ? log seperti itu muncul karena sedang ada attacker yang berusaha login ke MikroTik Lu sob, metode Brute Forces baik itu melalui FTP, Telnet maupun SSH yang bertujuan menebak username dan password Router Mikrotik.

biasanya router MikroTik yang memiliki IP Public yang sering terkena serangan brute forces ini, lalu apa impact nya terhadap keamanan router kita ? tentu saja apabila attacker berhasil login maka dia akan mengambil alih router kita dan tentu nya itu sangat merugikan bagi seorang Administrator Jaringan.
adakah cara menghindari seragan ini? tentu saja tidak ada, namun kita bisa me-minimalisir serangan ini dengan memasang filter untuk mendrop semua aktifitas Brute Forces Attack.


Mengamankan Router MikroTik dari serangan Attacker
 

Bagi seorang admin jaringan tentunya menutup port dari beberapa service seperti FTP, SSH, & Telnet bukan pilihan yang tepat dikarenakan seringkali kita membutuhkan service-service tersebut tetap berjalan, alangkah baiknya sobat mengganti default port dengan port number yang susah ditebak oleh attacker dan yang penting mudah untuk Lu ingat, masuke ke IP > Service lalu ganti dengan port number yang lu inginkan .

Drop FTP Brute Forces

setelah kita mengganti default port dari ketiga service tadi, sekarang kita coba memasang filter yang berguna untuk mendrop aktifitas brute forces yang terjadi terhadap router MikroTik kita. Login di MikroTik via WinBox atau ssh, masuk ke terminal dan paste syntax di bawah ini:
/ip firewall filter
add chain=output comment="Drop FTP Brute Forcers" content=\
    "530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=FTP_BlackList \
    address-list-timeout=1d chain=output content="530 Login incorrect" \
    protocol=tcp
add action=drop chain=input dst-port=21 protocol=tcp src-address-list=\
    FTP_BlackList
Fungsi rule firewall diatas yaitu untuk menangkal serangan FTP Brute Force dengan cara menangkap IP Address yang gagal login sebanyak 10x atau FTP Login incorrect sehingga selanjutnya akan masuk ke address list dan di drop oleh rute yang terakhir.

Drop SSH dan Telnet Brute Forces

selanjutnya kita harus memasang rule untuk menangkal serangan SSH & Telnet brute forces di Router MikroTik kita, Login ke MikroTik dan paste Syntax berikut:

/ip firewall filter
add action=add-src-to-address-list address-list=SSH_BlackList_1 \
    address-list-timeout=1m chain=input comment=\
    "Drop SSH&TELNET Brute Forcers" connection-state=new dst-port=22-23 \
    protocol=tcp
add action=add-src-to-address-list address-list=SSH_BlackList_2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=\
    22-23 protocol=tcp src-address-list=SSH_BlackList_1
add action=add-src-to-address-list address-list=SSH_BlackList_3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=\
    22-23 protocol=tcp src-address-list=SSH_BlackList_2
add action=add-src-to-address-list address-list=IP_BlackList \
    address-list-timeout=1d chain=input connection-state=new dst-port=\
    22-23 protocol=tcp src-address-list=SSH_BlackList_3
add action=drop chain=input dst-port=22-23 protocol=tcp \
    src-address-list=IP_BlackList
Fungsi rule tersebut yaitu untuk menangkal setiap koneksi yang masuk ke router mikrotik dengan protocol tcp dan destination port 22-23 sehingga akan masuk ke address list dan selanjutnya di drop.
Implementasi dari rule-rule diatas hasilnya akan seperti ini:

Berikut List IP Nakal yang masuk ke address list dan berhasil di Drop

sebagai seorang administrator kita tidak bisa begitu saja membiarkan sisi keamanan router yang rentan terlebih ketika router yang kita kelola adalah router Backbone atau router Utama yang memiliki peran sangat vital dalam mengatur setiap lalu lintas baik yang masuk maupun keluar dari network kita. 

owh iya, Bila ada Link atau gambar pada Artikel Blog ini ada yang rusak/Mati, harap lapor disini

Stay Cool and Keep ./Crotz , gaes <(")
bila ada kesalahan mohon di maafkan dan dibenarkan di kolom komentar kak.
bila ada kritik, dan pertanyaan langsung aja kak ke wall fanspage kami: TKJ CYBER ART
Nue cuma niat untuk Share Tutorial, yg bertujuan utk membantu para pemula kek Nue :')
Sekian dan semoga bermanfaat .. terimakasih


./Nuenomaru

Indonesia sedang tahap Proses, DIAMLAH !, Jika Bhakti mu hanya PROTES .



Visit and follow :

FP         : TKJ Cyber Art

G+         : TKJ Cyber Art
youtube : TKJ Cyber Art
BBM      : C0018D1A2
Line       : http://line.me/ti/p/%40hjl8740i



EmoticonEmoticon