Cara Drop FTP, SSH & Telnet Brute Force di Mikrotik

- 6/14/2016
Cara Blokir Brute Force FTP, SSH dan Telnet di Mikrotik - Apakah kamu pernah ketika login ke router mikrotik dan membuka New Terminal atau membuka /log ada pesan error login failure for user root from 43.255.x.x via ssh? log seperti itu muncul dikarenakan sedang ada attacker yang berusaha login ke mikrotik dengan metode brute force, baik itu melalui FTP, Telnet maupun SSH yang bertujuan menebak username dan password router  dan melakukan percobaan login ke dalam router secara paksa.
Biasanya router mikrotik yang memilik IP Public lah yang sering terkena serangan brute force ini, lalu apa impactnya terhadap keamanan router kita? Tentu saja apabila si attacker berhasil login maka dia akan mengambil alih router kita dan tentunya itu sangat merugikan bagi seorang administrator jaringan.

Lalu apa ada cara untuk menghindari serangan brute force ini? Tentu saja tidak ada, namun kita bisa meminimalisir serangan ini dengan memasang filter rule untuk mendrop semua aktifitas brute force yang masuk ke dalam router.

Cara Blokir Brute Force Attack di Router Mikrotik

Bagi seorang admin jaringan, tentunya menutup port dari beberapa service  penting seperti FTP, SSH & Telnet bukan pilihan yang tepat dikarenakan seringkali kita membutuhkan service-service tersebut tetap berjalan, alangkah baiknya kamu mengganti default port dengan port number yang susah ditebak oleh attacker, tapi mudah kamu ingat, untuk mengubah default port pada service yang berjalan di routeros mikrotik caranya masuk ke menu IP > Service, lalu ganti dengan port number yang dikehendaki.
 Cara mengganti port telnet di router mikrotik

Blok Serangan Brute Force Dengan Filter Rule di Mikrotik

Setelah kita mengganti default port dari ketiga service tadi, sekarang kita coba memasang filter yang berguna untuk mendrop aktifitas brute forcesyang terjadi terhadap router mikrotik kita. Login ke mikrotik via winbox, klik New Terminal lalu paste script berikut ini.
/ip firewall filter
add chain=output comment="Drop FTP Brute Forcers" content=\
    "530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=FTP_BlackList \
    address-list-timeout=1d chain=output content="530 Login incorrect" \
    protocol=tcp
add action=drop chain=input dst-port=21 protocol=tcp src-address-list=\
    FTP_BlackList
Fungsi rule firewall di atas yaitu untuk menangkal serangan FTP Brute Force dengan cara menangkap IP address yang gagal login sebanyak 10x atau FTP Login incorrect, sehingga selanjutnya akan masuk ke dalam address list dan akan didrop oleh rule yang terakhir.

Selanjutnya kita harus memasang rule filter untuk menangkal serangan brute force terhadap service SSH dan Telnet, silahkan paste syntax di bawah ini di New Terminal.
/ip firewall filter
add action=add-src-to-address-list address-list=SSH_BlackList_1 \
    address-list-timeout=1m chain=input comment=\
    "Drop SSH&TELNET Brute Forcers" connection-state=new dst-port=22-23 \
    protocol=tcp
add action=add-src-to-address-list address-list=SSH_BlackList_2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=\
    22-23 protocol=tcp src-address-list=SSH_BlackList_1
add action=add-src-to-address-list address-list=SSH_BlackList_3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=\
    22-23 protocol=tcp src-address-list=SSH_BlackList_2
add action=add-src-to-address-list address-list=IP_BlackList \
    address-list-timeout=1d chain=input connection-state=new dst-port=\
    22-23 protocol=tcp src-address-list=SSH_BlackList_3
add action=drop chain=input dst-port=22-23 protocol=tcp \
    src-address-list=IP_BlackList
Fungsi rule tersebut yaitu untuk menangkal setiap percobaan login (brute force) ke dalam router mikrotik yang melalui protocol TCP dan port 22 (SSH) & 23 (Telnet), jika ada percobaan login melalui kedua port tersebut, maka IP peneyerang akan dimasukkan ke dalam address-list dan selanjutnya akan diblok oleh router.

Untuk memastikan rule filter sudah terpasang atau belum? Silahkan kamu cek di menu IP > Firewall > Filter Rules, berikut contohnya rule yang sudah terpasang pada router saya.
Membuat rule anti brute force attack di mikrotik
Berikut list IP nakal yang masuk ke address list dan berhasil didrop oleh router.
Cara drop FTP, SSH & Telnet brute force di router mikrotik
Sampai disini, setidaknya router kita sudah aman dari serangan brute force yang sangat mengganggu dan berpotensi mengancam kemanan jaringan.

Kesimpulan

Sebagai seorang administrator jaringan, kita tidak bisa begitu saja membiarkan sisi keamanan router yang rentan, terlebih ketika router yang kita kelola adalah router backbone atau router utama yang memiliki peran sangat vital dalam mengatur setiap lalu lintas baik yang masuk maupun keluar dari network kita.

Akhir kata semoga tutorial sederhana ini bisa membantu kamu untuk mengamankan router mikrotik dari attacker yang tidak bertanggung jawab, semoga bermanfaat dan terimakasih.

Advertisement
 

Start typing and press Enter to search