Konnichiwa minna-san, pernah ngga sih log di router Mikrotik kalian mengalami hal seperti ini?
Itu adalah hasil logging dari Mikrotik yang terkena Brute-force attack. Brute-force Attack itu sendiri adalah serangan untuk mencoba akses ke Server/Router dengan menggunakan username/password secara acak. Dari log tersebut terlihat beberapa kali ada percobaan menebak user/password dengan aplikasi FTP.
Kali ini kita akan membahas bagaimana cara untuk mengatasi Brute-froce attack selama 4 kali percobaan menebak user/passwod FTP, SSH dan Telnet di Mikrotik
Disini kita akan menggunakan Firewall Filter Rule untuk mencegah Brute-force attack, perintah Firewall yang digunakan adalah seperti berikut :
ip firewall filter add chain=input src-address-list=blacklist action=drop
ip firewall filter add chain=input protocol=tcp dst-port=21,22,23 connectionstate=new src-address-list=stage3 action=add-src-to-address-list addresslist=blacklist address-list-timeout=7d
ip firewall filter add chain=input protocol=tcp dst-port=21,22,23 connection-state=new srcaddress-list=stage2 action=add-src-to-address-list address-list=stage3 address-list-timeout=1m
ip firewall filter add chain=input protocol=tcp dst-port=21,22,23 connection-state=new srcaddress-list=stage1 action=add-src-to-address-list address-list=stage2 address-list-timeout=1m
ip firewall filter add chain=input protocol=tcp dst-port=21,22,23 connection-state=new
action=add-src-to-address-list address-list=stage1 address-list-timeout=1m
Cara kerja firewall diatas adalah ketika ada IP yang mencoba akses mikrotik dan gagal pada percobaan pertama, maka IP tersebut akan masuk ke address list Stage1
Jika dalam waktu kurang dari 1 menit IP tersebut mencoba login dan gagal, maka IP tersebuat akan masuk ke address list Stage2, tapi jika sudah lebih dari 1 menit dan kemudian dia mencoba login kembali, IP tersebut akan masuk ke Stage1 tidak ke Stage selanjutanya
Tak sampai disitu, IP tersebut terus mencoba login untuk ke 3 kalinya dan gagal, maka akan masuk ke address list Stage3, dan jika dia mencoba satu kali lagi kemudian gagal, IP tersebut akan masuk ke address list Blacklist dan akan terblokir selama 7hari.
Lama IP tersebut diblokir bisa kita atur sesuai keinginan kita di rule tersebut:
"address-list-timeout=7d"
Sekian pembahasan kali,ini, sayonara minna-san!
ouh begitu ya mas,,, makasih infonya mas.... Kebalikan dari port knocking ini mas
ReplyDelete