Drop Brute Force FTP,SSH,Telnet Mikrotik

Drop Brute Force FTP,SSH,Telnet Mikrotik

Drop Brute Force FTP,SSH,Telnet Mikrotik ~ Yo apa kabs? Pada artkel kali ini saya akan membahas cara mengamankan mikrotik dari hacker khususnya dengan hacker dengan teknik penyerangan brute force ,brute force adalah suatu metode cracking password yang mana mencoba seluruh kemungkinan kombinasi password pada wordlist atau istilah gampang nya sih mencoba kombinasi password pada wordlist terus di tes satu persatu pada login page nya. Brute force pada mikrotik sendiri pun yang biasanya saya alami pada mikrotik kantor saya pada service ftp,ssh,telnet , ini yang paling sering saya alami ya tidak menutup kemungkinan terjadi pada service lain. Biasanya brute force pada mikrotik terjadi pada mikrotik yang memakai ip address public.

Drop Brute Force FTP,SSH,Telnet Mikrotik

Untuk Mengamankan mikrotik dari serangan hacker sendiri sebenarnya bisa dengan mengganti port service tersebut namun cara tersebut masih kurang ampuh karna masih bisa terscan jika hacker menggunakan nmap atau scanner port lainnya , maka untuk mengatasi masalah tersebut kita menggunakan drop dari filter rules.

Drop Brute Force FTP 

/ip firewall filter

add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop

comment=”drop ftp brute forcers”

add chain=output action=accept protocol=tcp content=”530 Login incorrect” dst-limit=1/1m,9,dst-address/1m

add chain=output action=add-dst-to-address-list protocol=tcp content=”530 Login incorrect”

address-list=ftp_blacklist address-list-timeout=3h

Masukan command di atas pada terminal jika kalian menggunakan menggunakan winbox jika kalian menggunakan ssh kalian bisa langsung tempelkan command diatas, dengan filter rules tersebut maka jika ada yang mencoba login FTP sampai 10x gagal maka ip tersebut akan di masukan ke address list dan akan di drop akses ke service FTP mikrotik nya

Drop Brute Force SSH

/ip firewall filter

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop

comment=”drop ssh brute forcers” disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new

src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist

address-list-timeout=10d comment=”” disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new

src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3

address-list-timeout=1m comment=”” disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1

action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=”” disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list

address-list=ssh_stage1 address-list-timeout=1m comment=”” disabled=no

fungsi rule di atas adalah jika ada yang memaksa masuk melalui ssh dan login nya salah maka ip address nya akan di masukan ke address list dan di drop aksesnya

Drop Brute Force Telnet

/ip firewall filter

add action=add-src-to-address-list address-list=Telnet_BlackList_1

address-list-timeout=1m chain=input comment=

“Drop TELNET Brute Forcers” connection-state=new dst-port=23

protocol=tcp

add action=add-src-to-address-list address-list=Telnet_BlackList_2

address-list-timeout=1m chain=input connection-state=new dst-port=

23 protocol=tcp src-address-list=Telnet_BlackList_1

add action=add-src-to-address-list address-list=Telnet_BlackList_3

address-list-timeout=1m chain=input connection-state=new dst-port=

23 protocol=tcp src-address-list=Telnet_BlackList_2

add action=add-src-to-address-list address-list=IP_BlackList

address-list-timeout=1d chain=input connection-state=new dst-port=

23 protocol=tcp src-address-list=Telnet_BlackList_3

add action=drop chain=input dst-port=23 protocol=tcp

src-address-list=IP_BlackList

Fungsi rule tersebut masih sama dengan yang lainnya jika ada hacker mencoba memaksa masuk via telnet maka ip hacker tersebut akan di masukan ke address list dan di drop aksesnya.
untuk hasil akhirnya maka akan seperti gambar dibawah ini

untuk lebih aman nya lagi disarankan untuk mengganti port setiap service jangan dibiarkan default dan juga jika service tersebut tidak dibutuhkan maka di disable saja untuk menghindari  dari penyalahgunaan oleh pihak tertentu. oh iya berikut juga saya perlihatkan di bagian address list jika ada yang mencoba brute force di service yang sudah di berikan rule

Nah ini juga tampilan yang akan terjadi dari sisi si penyerang

Yup segitu saja sepertinya dari artikel mengamankan mikrotik dari serangan brute force, keep secure your device keamanan perangkat merupakan hal yang penting maka perhatikan setiap hal-hal kecil ya mulai dari username dan passwordnya sendiri sampe yang rumit sekalipun. jika masih ada yang salah-salah mohon untuk di koreksi ya dikolom komentar  see you next time.

referensi : wiki mikrotik

Tinggalkan Balasan

Close Menu