Drop Brute Force FTP,SSH,Telnet Mikrotik

Bloking Brute Force Mikrotik ~ Yo apa kabs? Pada artkel kali ini saya akan membahas cara mengamankan mikrotik dari hacker khususnya dengan hacker dengan teknik penyerangan brute force ,brute force adalah suatu metode cracking password yang mana mencoba seluruh kemungkinan kombinasi password pada wordlist atau istilah gampang nya sih mencoba kombinasi password pada wordlist terus di tes satu persatu pada login page nya. Brute force pada mikrotik sendiri pun yang biasanya saya alami pada mikrotik kantor saya pada service ftp,ssh,telnet , ini yang paling sering saya alami ya tidak menutup kemungkinan terjadi pada service lain. Biasanya brute force pada mikrotik terjadi pada mikrotik yang memakai ip address public.

Drop Brute Force Mikrotik

Untuk Mengamankan mikrotik dari serangan hacker sendiri sebenarnya bisa dengan mengganti port service tersebut namun cara tersebut masih kurang ampuh karna masih bisa terscan jika hacker menggunakan nmap atau scanner port lainnya , maka untuk mengatasi masalah tersebut kita menggunakan drop dari filter rules.

Drop Brute Force FTP 

/ip firewall filter

add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \

comment="drop ftp brute forcers"

add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m

add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \

address-list=ftp_blacklist address-list-timeout=3h
Masukan command di atas pada terminal jika kalian menggunakan menggunakan winbox jika kalian menggunakan ssh kalian bisa langsung tempelkan command diatas, dengan filter rules tersebut maka jika ada yang mencoba login FTP sampai 10x gagal maka ip tersebut akan di masukan ke address list dan akan di drop akses ke service FTP mikrotik nya

Drop Brute Force SSH

/ip firewall filter
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute forcers" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=10d comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \
address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no
fungsi rule di atas adalah jika ada yang memaksa masuk melalui ssh dan login nya salah maka ip address nya akan di masukan ke address list dan di drop aksesnya

Drop Brute Force Telnet

/ip firewall filter
add action=add-src-to-address-list address-list=Telnet_BlackList_1 \
    address-list-timeout=1m chain=input comment=\
    "Drop TELNET Brute Forcers" connection-state=new dst-port=23 \
    protocol=tcp
add action=add-src-to-address-list address-list=Telnet_BlackList_2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=\
    23 protocol=tcp src-address-list=Telnet_BlackList_1
add action=add-src-to-address-list address-list=Telnet_BlackList_3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=\
    23 protocol=tcp src-address-list=Telnet_BlackList_2
add action=add-src-to-address-list address-list=IP_BlackList \
    address-list-timeout=1d chain=input connection-state=new dst-port=\
    23 protocol=tcp src-address-list=Telnet_BlackList_3
add action=drop chain=input dst-port=23 protocol=tcp \
    src-address-list=IP_BlackList 
Fungsi rule tersebut masih sama dengan yang lainnya jika ada hacker mencoba memaksa masuk via telnet maka ip hacker tersebut akan di masukan ke address list dan di drop aksesnya.
untuk hasil akhirnya maka akan seperti gambar dibawah ini
untuk lebih aman nya lagi disarankan untuk mengganti port setiap service jangan dibiarkan default dan juga jika service tersebut tidak dibutuhkan maka di disable saja untuk menghindari  dari penyalahgunaan oleh pihak tertentu. oh iya berikut juga saya perlihatkan di bagian address list jika ada yang mencoba brute force di service yang sudah di berikan rule

Nah ini juga tampilan yang akan terjadi dari sisi si penyerang
Yup segitu saja sepertinya dari artikel mengamankan mikrotik dari serangan brute force, keep secure your device keamanan perangkat merupakan hal yang penting maka perhatikan setiap hal-hal kecil ya mulai dari username dan passwordnya sendiri sampe yang rumit sekalipun. jika masih ada yang salah-salah mohon untuk di koreksi ya dikolom komentar  see you next time.

referensi : wiki mikrotik

Berlangganan update artikel terbaru via email:

0 Response to "Drop Brute Force FTP,SSH,Telnet Mikrotik"

Post a Comment

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel