Pernahkan sobat ketika login mikrotik dan membuka New Terminal atau membuka /log ada pesan error login failure for user root from 43.255.x.x via ssh ? log seperti itu muncul dikarenakan sedang ada attacker yang berusaha login ke mikrotik sobat dengan metode brute forces baik itu melalui FTP, Telnet maupun SSH yang bertujuan menebak username dan password router mikrotik.
Biasa nya router mikrotik yang memilik IP Public yang sering terkena serangan brute force attack ini, lalu apa impact nya terhadap keamanan router kita ? tentu saja apabila si attacker berhasil login maka dia akan mengambil alih router kita dan tentu nya itu sangat merugikan bagi seorang administrator jaringan. Adakah cara menghindari serangan ini ? tentu saja tidak ada, namun kita bisa me-minimalisir serangan ini dengan memasang filter untuk mendrop semua aktifitas brute forces.
Cara Mengamankan Router Mikrotik Dari Hacker
Bagi seorang admin jaringan tentunya menutup port dari beberapa service seperti FTP, SSH & Telnet bukan pilihan yang tepat dikarenakan seringkali kita membutuhkan service-service tersebut tetap berjalan, alangkah baiknya sobat mengganti default port dengan port number yang susah ditebak oleh attacker tapi mudah di ingat, masuk ke IP ~> Service lalu ganti dengan port number yang di kehendaki.
Drop FTP Brute Forces
Setelah kita mengganti default port dari ketiga service tadi, sekarang kita coba memasang filter yang berguna untuk mendrop aktifitas brute forces yang terjadi terhadap router mikrotik kita. Login ke mikrotik via winbox atau ssh, masuk ke terminal dan paste syntax dibawah ini
/ip firewall filter
add chain=output comment="Drop FTP Brute Forcers" content=\
"530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=FTP_BlackList \
address-list-timeout=1d chain=output content="530 Login incorrect" \
protocol=tcp
add action=drop chain=input dst-port=21 protocol=tcp src-address-list=\
FTP_BlackList
Fungsi rule firewall diatas yaitu untuk menangkal serangan FTP Brute Force dengan cara menangkap IP address yang gagal login sebanyak 10x atau FTP Login incorrect sehingga selanjutnya akan masuk ke address list dan di drop oleh rule yang terakhir
Drop SSH dan Telnet Brute Forces
Selanjutnya kita harus memasang rule untuk menangkal serangan SSH dan Telnet brute forces di router mikrotik kita, login ke mikrotik dan paste syntax berikut
/ip firewall filter
add action=add-src-to-address-list address-list=SSH_BlackList_1 \
address-list-timeout=1m chain=input comment=\
"Drop SSH&TELNET Brute Forcers" connection-state=new dst-port=22-23 \
protocol=tcp
add action=add-src-to-address-list address-list=SSH_BlackList_2 \
address-list-timeout=1m chain=input connection-state=new dst-port=\
22-23 protocol=tcp src-address-list=SSH_BlackList_1
add action=add-src-to-address-list address-list=SSH_BlackList_3 \
address-list-timeout=1m chain=input connection-state=new dst-port=\
22-23 protocol=tcp src-address-list=SSH_BlackList_2
add action=add-src-to-address-list address-list=IP_BlackList \
address-list-timeout=1d chain=input connection-state=new dst-port=\
22-23 protocol=tcp src-address-list=SSH_BlackList_3
add action=drop chain=input dst-port=22-23 protocol=tcp \
src-address-list=IP_BlackList
Fungsi rule tersebut yaitu untuk menangkal setiap koneksi yang masuk ke router mikrotik dengan protocol tcp dan destination port 22-23 sehingga akan masuk ke address list dan selanjutnya di drop. Implementasi dari rule-rule diatas hasil nya akan seperti ini
Berikut list IP nakal yang masuk ke address list dan berhasil di drop
Sebagai seorang administrator kita tidak bisa begitu saja membiarkan sisi keamanan router yang rentan terlebih ketika router yang kita kelola adalah router backbone atau router utama yang memiliki peran sangat vital dalam mengatur setiap lalu lintas baik yang masuk maupun keluar dari network kita. Akhir kata semoga tutorial sederhana ini bisa membantu sobat untuk mengamankan router dari attacker yang tidak bertanggung jawab, semoga bermanfaat.
