Firewall-Mikrotik
Firewall-Mikrotik
Beberapa hari ini mikrotik di jaringan kami sering ada log merah yang tulisannya seperti berikut.
echo: system,error,critical login failure for user master from 67.225.209.238 via ssh
[admin@Sumo] >
echo: system,error,critical login failure for user apache from 67.225.209.238 via ssh
[admin@Sumo] >
echo: system,error,critical login failure for user root from 67.225.209.238 via ssh
[admin@Sumo] >
echo: system,error,critical login failure for user root from 67.225.209.238 via ssh
[admin@Sumo] >
echo: system,error,critical login failure for user root from 67.225.209.238 via ssh
[admin@Sumo] >
echo: system,error,critical login failure for user root from 67.225.209.238 via ssh
[admin@Sumo] >
echo: system,error,critical login failure for user root from 67.225.209.238 via ssh
[admin@Sumo] >
echo: system,error,critical login failure for user admin from 67.225.209.238 via ssh
[admin@Sumo] >
echo: system,error,critical login failure for user admin from 67.225.209.238 via ssh
[admin@Sumo] >
echo: system,error,critical login failure for user admin from 67.225.209.238 via ssh
[admin@Sumo] >
echo: system,error,critical login failure for user admin from 67.225.209.238 via ssh
kalau di cek IP adressnya ternyata dari luar negri. Namun setelah googling kesana kemari
ternyata katanya log itu adalah log penyusup atau bisa di bilang ada yang coba hack mikrtoik
kita. Dari forum mikrotik ternyata ada solusi ampuh untuk mengatasi hal ini. Berikut Rulenya
yang bisa anda pasang di mikrotik anda untuk mengamankan mikrotik anda dari penyusup.
Ini adalah rule yang saya dapat dari forum mikrotik.
in /ip firewall filter
Sumber
http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention_%28FTP_%26_SSH%29
Semoga bermanfaat
Khusus buat temen-temen yang mempunyai network server menggunakan MikroTik, bagaimana
kalian mencegah user yang mencoba login mikrotik, metode ini biasa dikenal dengan istilah
bruteforce yaitu metode mencoba menebak username dan password sampai berulang-ulang.
Bruteforce login mengkombinasikan beberapa karakter, yang telah di ambil dari database dan
mencoba login pada server mikrotik anda, metode ini tidak hanya bisa dilakukan pada mikrotik
tapi hampir semua jenis authentication baik website atau sejenisnya yang tidak dilindungi oleh
firewall khusus Bruteforce.
Langsung aja, untuk mencegah Bruteforce login pada server mikrotik silahkan copy configurasi
berikut :
Spoiler:
/ip firewall filter
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
comment="drop ftp brute forcers"
Spoiler:
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute forcers" disabled=no
Spoiler:
add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute downstream" disabled=no
Cara mencegah NetCut di jaringan hotspot mikrotik
lebih aman lagi, drop semua paket ICMP pada firewall, jadi tambahin aja (soalnya pernah
baca, kalo NetCut itu menggunakan ICMP untuk apanyaaa gitu, eh satu lagi, kalo rule ini
diterapkan, jangan bingung ya, soalnya ping pasti ga bisa !!!!)
anti confliker
/ ip firewall filter
add chain=forward protocol=udp src-port=135-139 action=drop comment=";;Block
W32.Kido - Conficker" disabled=no
add chain=forward protocol=udp dst-port=135-139 action=drop comment="" disabled=no
add chain=forward protocol=udp src-port=445 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=445 action=drop comment="" disabled=no
add chain=forward protocol=tcp src-port=135-139 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=135-139 action=drop comment="" disabled=no
add chain=forward protocol=tcp src-port=445 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=445 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=4691 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=5933 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=5355 action=drop comment="Block LLMNR"
disabled=no
add chain=forward protocol=udp dst-port=4647 action=drop comment="" disabled=no
add action=drop chain=forward comment="SMTP Deny" disabled=no protocol=tcp src-
port=25
add action=drop chain=forward comment="" disabled=no dst-port=25 protocol=tcp
/ ip firewall filter
add chain=input in-interface=hotspot protocol=tcp dst-port=21 src-address-
list=ftp_blacklist action=drop comment="FTP Blacklist"
/ ip firewall filter
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-
limit=1/1m,9,dst-address/1m comment="accept 10 incorrect logins per minute"
/ ip firewall filter
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login
incorrect" address-list=ftp_blacklist address-list-timeout=3h comment="add to blacklist"
/ ip firewall filter
add chain=input in-interface=ether1 protocol=tcp dst-port=21 src-address-list=ftp_blacklist
action=drop
Rule pertama ini akan melakukan filtering untuk traffik yang berasal dari ether1
(silahkan dirubah sesuai kebutuhan), protocol TCP dengan port 21...dan IP asal traffik
dicocokkan dengan addr-list ftp_blacklist (yang akan dicreate di rule berikutnya)....
bila cocok / positif maka action drop akan dilakukan...
Bila ada yang melakukan brute force attack untuk pertama kalinya,
rule pertama ini tidak melakukan apa2...Namun apabila IP-nya telah tercatat,
maka akan langsung di Drop.
-------------------------------------
# accept 10 incorrect logins per minute
/ ip firewall filter
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-
limit=1/1m,9,dst-address/1m
-------------------------------------
#add to blacklist
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login
incorrect" address-list=blacklist address-list-timeout=3h
Dalam artikel kali akan membahas terkait sistem firewall dalam mikrotik terkhusus untuk
menangkal virus dan netcut dalam jaringan lokal (local network). Berbagai serangan baik dari
jaringan lokal maupun global merupakan sesuatu hal yang mengganggu sistem dan informasi
yang sifatnya privacy, olehnya para administrator jaringan dituntut lebih memahami bagaimana
memanagement keamanan sistem dalam perangkat jaringannya.
Terkhusus pada perangkat jaringan yang satu ini, mikrotik dalam sistemnya memberikan fasilitas
firewall dalam menangkal berbagai serangan. Bagaimana melakukan hal tersebut, berikut listing
kode untuk setting firewall menangkal virus dan netcut :
Untuk melindungi jaringan pelanggan, kita harus memeriksa semua traffic yang melewati router
dan blok yang tidak diinginkan. Untuk lalu lintas udp icmp, tcp, kita akan menciptakan rantai,
dimana semua paket yang tidak diinginkan akan dicabut. Untuk awal, kita bisa copy dan paste
perintah berikut ke RouterOS terminal konsol:
Selanjutnya, kita harus menyaring dan drop semua paket yang tidak diinginkan yang terlihat
seperti berasal dari host yang terinfeksi virus
Block SSH FTP Brute Force MikroTik, tehnik setting mikrotik bwt block SSH FTP Brute Force.
Apaan tuh gan ? itu kyk ada yg coba untuk masuk / menebak username password mikrotik agan.
Dia nyoba secara ngacak buat nemuin username password mikrotik agan, biasanya target
username yg biasanya dipake ngasal kyk username: admin password:123456.
Gimana cara liat or taunya gan ? liat gambar Log mikrotik di bawah :
Itu indikasi bahwa ada yg mao coba2 login pake username ngacak via SSH mikrotik agan.
Biasanya kejadian gini kalo router mikrotik agan punya IP Public / di cloud internet.
Buat yg coba hack via FTP bruteforce, setting mikrotik ini nangkep by IP yang 10x salah login /
FTP login incorrect per menit. IP yg ketangkep dimasukin di address-list=ftp_blacklist dan
semuanya akan di drop.
Yg coba hack via SSH bruteforce, setting mikrotik ini nangkep IP yang coba login dan salah
terus. IP yg ketangkep dimasukin di address-list=ssh_blacklist dan semuanya akan di drop.
http://www.datautama.net.id
Thursday, 09 November 2006
Untuk mengamankan router mikrotik dari traffic virus dan excess ping dapat digunakan skrip
firewall berikut
Pertama buat address-list "ournetwork" yang berisi alamat IP radio, IP LAN dan IP WAN atau IP
lainnya yang dapat dipercaya
Dalam contoh berikut alamat IP radio adalah = 10.0.0.0/16, IP LAN = 192.168.2.0/24 dan IP
WAN = 203.89.24.0/21 dan IP lainnya yang dapat dipercaya = 202.67.33.7
Untuk membuat address-list dapat menggunakan contoh skrip seperti berikut ini tinggal
disesuaikan dengan konfigurasi jaringan Anda.
/ ip firewall address-list
add list=ournetwork address=203.89.24.0/21 comment="Datautama Network" \
disabled=no
add list=ournetwork address=10.0.0.0/16 comment="IP Radio" disabled=no
add list=ournetwork address=192.168.2.0/24 comment="LAN Network" disabled=no
/ ip firewall filter
add chain=forward connection-state=established action=accept comment="allow \
established connections" disabled=no
add chain=forward connection-state=related action=accept comment="allow \
related connections" disabled=no
add chain=virus protocol=udp dst-port=135-139 action=drop comment="Drop \
Messenger Worm" disabled=no
add chain=forward connection-state=invalid action=drop comment="drop invalid \
connections" disabled=no
add chain=virus protocol=tcp dst-port=135-139 action=drop comment="Drop \
Blaster Worm" disabled=no
add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment="Worm" \
disabled=no
add chain=virus protocol=tcp dst-port=445 action=drop comment="Drop Blaster \
Worm" disabled=no
add chain=virus protocol=udp dst-port=445 action=drop comment="Drop Blaster \
Worm" disabled=no
add chain=virus protocol=tcp dst-port=593 action=drop comment="________" \
disabled=no
add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment="________"
\
disabled=no
add chain=virus protocol=tcp dst-port=1080 action=drop comment="Drop MyDoom" \
disabled=no
add chain=virus protocol=tcp dst-port=1214 action=drop comment="________" \
disabled=no
add chain=virus protocol=tcp dst-port=1363 action=drop comment="ndm requester"
\
disabled=no
add chain=virus protocol=tcp dst-port=1364 action=drop comment="ndm server" \
disabled=no
add chain=virus protocol=tcp dst-port=1368 action=drop comment="screen cast" \
disabled=no
add chain=virus protocol=tcp dst-port=1373 action=drop comment="hromgrafx" \
disabled=no
add chain=virus protocol=tcp dst-port=1377 action=drop comment="cichlid" \
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Bagle Virus" \
disabled=no
add chain=virus protocol=tcp dst-port=2283 action=drop comment="Drop Dumaru.Y"
\
disabled=no
add chain=virus protocol=tcp dst-port=2535 action=drop comment="Drop Beagle" \
disabled=no
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Drop \
Beagle.C-K" disabled=no
add chain=virus protocol=tcp dst-port=3127 action=drop comment="Drop MyDoom" \
disabled=no
add chain=virus protocol=tcp dst-port=3410 action=drop comment="Drop
Backdoor \
OptixPro" disabled=no
add chain=virus protocol=tcp dst-port=4444 action=drop comment="Worm" \
disabled=no
add chain=virus protocol=udp dst-port=4444 action=drop comment="Worm" \
disabled=no
add chain=virus protocol=tcp dst-port=5554 action=drop comment="Drop Sasser" \
disabled=no
add chain=virus protocol=tcp dst-port=8866 action=drop comment="Drop Beagle.B"
\
disabled=no
add chain=virus protocol=tcp dst-port=9898 action=drop comment="Drop \
Dabber.A-B" disabled=no
add chain=virus protocol=tcp dst-port=10000 action=drop comment="Drop \
Dumaru.Y, sebaiknya di didisable karena juga sering digunakan utk vpn atau
\
webmin" disabled=yes
add chain=virus protocol=tcp dst-port=10080 action=drop comment="Drop \
MyDoom.B" disabled=no
add chain=virus protocol=tcp dst-port=12345 action=drop comment="Drop
NetBus" \
disabled=no
add chain=virus protocol=tcp dst-port=17300 action=drop comment="Drop
Kuang2" \
disabled=no
add chain=virus protocol=tcp dst-port=27374 action=drop comment="Drop \
SubSeven" disabled=no
add chain=virus protocol=tcp dst-port=65506 action=drop comment="Drop PhatBot,
\
Agobot, Gaobot" disabled=no
add chain=forward action=jump jump-target=virus comment="jump to the virus \
chain" disabled=no
add chain=input connection-state=established action=accept comment="Accept \
established connections" disabled=no
add chain=input connection-state=related action=accept comment="Accept related
\
connections" disabled=no
add chain=input connection-state=invalid action=drop comment="Drop invalid \
connections" disabled=no
add chain=input protocol=udp action=accept comment="UDP" disabled=no
add chain=input protocol=icmp limit=50/5s,2 action=accept comment="Allow \
limited pings" disabled=no
add chain=input protocol=icmp action=drop comment="Drop excess pings" \
disabled=no
add chain=input protocol=tcp dst-port=21 src-address-list=ournetwork \
action=accept comment="FTP" disabled=no
add chain=input protocol=tcp dst-port=22 src-address-list=ournetwork \
action=accept comment="SSH for secure shell" disabled=no
add chain=input protocol=tcp dst-port=23 src-address-list=ournetwork \
action=accept comment="Telnet" disabled=no
add chain=input protocol=tcp dst-port=80 src-address-list=ournetwork \
action=accept comment="Web" disabled=no
add chain=input protocol=tcp dst-port=8291 src-address-list=ournetwork \
action=accept comment="winbox" disabled=no
add chain=input protocol=tcp dst-port=1723 action=accept comment="pptp-server"
\
disabled=no
add chain=input src-address-list=ournetwork action=accept comment="From \
Datautama network" disabled=no
add chain=input action=log log-prefix="DROP INPUT" comment="Log everything \
else" disabled=no
add chain=input action=drop comment="Drop everything else" disabled=no
1. router mikrotik hanya dapat diakses FTP, SSH, Web dan Winbox dari IP yang
didefinisikan dalam address-list "ournetwork" sehingga tidak bisa diakses dari
sembarang tempat.
2. Port-port yang sering dimanfaatkan virus di blok sehingga traffic virus tidak
dapat dilewatkan, tetapi perlu diperhatikan jika ada user yang kesulitan
mengakses service tertentu harus dicek pada chain="virus" apakah port
yang dibutuhkan user tersebut terblok oleh firewall.
Selain itu yang perlu diperhatikan adalah: sebaiknya buat user baru dan password dengan group
full kemudian disable user admin, hal ini untuk meminimasi resiko mikrotik Anda di hack orang.
Selamat mencoba