critical error login via ssh ip x.x.x.x invalid login,
inilah kalimat yang paling sering saya temui pada log mikrotik setiap
harinya, berbagai cara diterapkan, berbagai tutorial sudah di coba,
sampai otak-atik firewall nat filter ternyata tetap gagal. beberapa
model firewall untuk menangkal serangan-serangan seperti diatas (BruteForce),
disini saya ingin berbagi pengalaman untuk menangkal serangan-serangan
tersebut, salah satunya adalah mematkan semua service yang membahyakan,
atau mengganti semua port-port termasuk SSH demi keamanan. contoh :
dari gambar tersebut saya telah mematikan beberapa service yang menurut saya terlalu rentan terhadap serangan bruteforce / dDos :
port shh disable disini sangat memungkinkan keamanan ssh 100%
sehingga dDos atau brutefoce tidak lagi mengakses ssh, selain anda
matikan sevice port ssh anda juga bisa mengganti nomor port sesuai
keinginan anda.
port telnet disable port tersebut juga akan menutup kegiatan dDos
maupun bruteforce dalam aksinya, Namun kita pemilik router juga tidak
bisa melakukan remote mechine dari jaringan, selain anda matikan sevice
port telnet anda juga bisa mengganti nomor port sesuai keinginan anda.
Port winbox enable pada port ini masih tetap enable, karna dDos
dan Bruteforse tidak mengenal port winbox, jika port ini di disable maka
administrator akan kesulitan untuk masuk kedalam system mikrotik.
dan beberapa port lain yang saya anggap masih aman tetap dalam kondisi
enable. pada port winbox defaulnya adalah 8291, jika anda masih
meragukan kemanan nya mungkin sebaiknya anda mengganti nomor port
tersebut sesuai keinginan anda (seperti : 101010, 9901, dll) dan anda
harus menambahkan nomor port ketika anda ingin masuk kedalam system via
winbox.
Cara lain dalam menangkal serangan pada mesin mikrotik yang disinyalir menggunakan bruteforce ataupun dDos adalah melakukan konfigurasi pada filter firewall, dan anda bisa copasus statemen dibawah ini dan sesuaikan dengan ip pada jaringan anda :
[admin@route_Mikrotik_AMIK] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 X ;;; place hotspot rules here
chain=unused-hs-chain action=passthrough
1 chain=input action=accept protocol=icmp
2 chain=forward action=drop protocol=udp src-port=135-139
3 chain=forward action=drop protocol=udp dst-port=135-139
4 chain=forward action=drop protocol=udp src-port=445
5 chain=forward action=drop protocol=udp dst-port=445
6 chain=forward action=drop protocol=tcp src-port=135-139
7 chain=forward action=drop protocol=tcp dst-port=135-139
8 chain=forward action=drop protocol=tcp src-port=445
9 chain=forward action=drop protocol=tcp dst-port=445
10 chain=forward action=drop protocol=tcp dst-port=4691
11 chain=forward action=drop protocol=tcp dst-port=5933
12 chain=forward action=drop protocol=udp dst-port=5355
13 chain=forward action=drop protocol=udp dst-port=4647
14 chain=forward action=drop protocol=tcp src-port=25
15 chain=forward action=drop protocol=tcp dst-port=25
16 chain=forward action=drop protocol=tcp dst-port=135-139
17 chain=forward action=drop protocol=udp dst-port=135-139
18 chain=forward action=drop protocol=tcp dst-port=445
19 chain=forward action=drop protocol=udp dst-port=445
20 chain=forward action=drop protocol=tcp dst-port=593
21 chain=forward action=drop protocol=tcp dst-port=4444
22 chain=forward action=drop protocol=tcp dst-port=5554
23 chain=forward action=drop protocol=tcp dst-port=9996
24 chain=forward action=drop protocol=udp dst-port=995-999
25 chain=forward action=drop protocol=tcp dst-port=53
26 chain=forward action=drop protocol=tcp dst-port=55
27 ;;; ANTI NETCUT
chain=input action=accept protocol=tcp src-address=192.168.1.0-192.168.1.254
dst-port=0-65535
28 ;;; ANTI NETCUT
chain=input action=accept protocol=tcp src-address=192.168.99.0-192.168.99.254
dst-port=0-65535
29 chain=input action=add-src-to-address-list protocol=tcp psd=21,3s,3,1
address-list=port scanners address-list-timeout=20s
30 chain=input action=add-src-to-address-list tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
protocol=tcp address-list=port scanners address-list-timeout=2w
31 chain=input action=add-src-to-address-list tcp-flags=fin,syn protocol=tcp
address-list=port scanners address-list-timeout=2w
32 chain=input action=add-src-to-address-list tcp-flags=syn,rst protocol=tcp
address-list=port scanners address-list-timeout=2w
33 chain=input action=add-src-to-address-list tcp-flags=fin,psh,urg,!syn,!rst,!ack
protocol=tcp address-list=port scanners address-list-timeout=2w
34 chain=input action=add-src-to-address-list tcp-flags=fin,syn,rst,psh,ack,urg
protocol=tcp address-list=port scanners address-list-timeout=2w
35 chain=input action=add-src-to-address-list tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
protocol=tcp address-list=port scanners address-list-timeout=2w
36 chain=input action=drop src-address-list=port scanners
37 chain=input action=drop protocol=tcp src-address-list=ftp_blacklist in-interface=ether1
dst-port=21,22,23
38 chain=output action=accept protocol=tcp content=530 Login incorrect
dst-limit=10,9,dst-address/1m
39 chain=output action=add-dst-to-address-list protocol=tcp address-list=ftp_blacklist
address-list-timeout=23h content=530 Login incorrect
Pastikan urutan jangan sampai salah terutama pada baris 36 s/d 39
dari kedua model mengamankan jaringan tersebut diatas mungkin anda lebih mudah jika mencoba cara pertama pada postingan ini.
No comments:
Post a Comment