Artikel ini akan menjelaskan cara untuk melindungi FTP Server Mikrotik anda dari serangan Brute Force.Service FTP Server pada Router Mikrotik kita kadang2 tentunya kita perlu jalankan untuk keperluan-keperluan administrasi.Tapi, bagaimana bila jika FTP sedang running, ada pihak-pihak yang ingin memanfaatkan FTP pada Router Mikrotik untuk mencoba hal-hal yang membahayakan Jaringan kita. Cara yang paling umum dilakukan untuk hal ini biasanya adalah dengan menggunakan metode Brute Force Attack.Brute force attack adalah sebuah teknik serangan terhadap sebuah sistem keamanan komputer yang menggunakan percobaan terhadap semua kunci yang mungkin. Pendekatan ini pada awalnya merujuk pada sebuah program komputer yang mengandalkan kekuatan pemrosesan komputer dibandingkan kecerdasan manusia. (Source : Wikipedia )Hal yang harus dilakukan untuk mencegah hal diatas sebenarnya cukup sederhana. Hanya butuh 3 rule di firewall.
...
Codenya :
...
Codenya :
/ ip firewall filter
add chain=input in-interface=ether1 protocol=tcp dst-port=21
src-address-list=ftp_blacklist action=drop
# accept 10 incorrect logins per minute
/ ip firewall filter
add chain=output action=accept protocol=tcp content="530 Login incorrect"
dst-limit=1/1m,9,dst-address/1m
#add to blacklist
/ip firewall filter
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login"
incorrect address-list=ftp_blacklist address-list-timeout=3h
add chain=input in-interface=ether1 protocol=tcp dst-port=21
src-address-list=ftp_blacklist action=drop
# accept 10 incorrect logins per minute
/ ip firewall filter
add chain=output action=accept protocol=tcp content="530 Login incorrect"
dst-limit=1/1m,9,dst-address/1m
#add to blacklist
/ip firewall filter
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login"
incorrect address-list=ftp_blacklist address-list-timeout=3h
Pembahasan
Code:
--------------------------------------------------------------------------------
/ ip firewall filter
add chain=input in-interface=ether1 protocol=tcp dst-port=21
src-address-list=ftp_blacklist action=drop
--------------------------------------------------------------------------------
Rule pertama ini akan melakukan filtering untuk traffik yang berasal dari
ether1 (silahkan dirubah sesuai kebutuhan), protocol TCP dengan port 21...
dan IP asal traffik dicocokkan dengan addr-lisFt ftp_blacklist (yang akan dicreate
di rule berikutnya)....bila cocok / positif maka action drop akan dilakukan...
Bila ada yang melakukan brute force attack untuk pertama kalinya, rule pertama
ini tidak melakukan apa2...Namun apabila IP-nya telah tercatat, maka akan
langsung di Drop.
--------------------------------------------------------------------------------
/ ip firewall filter
add chain=input in-interface=ether1 protocol=tcp dst-port=21
src-address-list=ftp_blacklist action=drop
--------------------------------------------------------------------------------
Rule pertama ini akan melakukan filtering untuk traffik yang berasal dari
ether1 (silahkan dirubah sesuai kebutuhan), protocol TCP dengan port 21...
dan IP asal traffik dicocokkan dengan addr-lisFt ftp_blacklist (yang akan dicreate
di rule berikutnya)....bila cocok / positif maka action drop akan dilakukan...
Bila ada yang melakukan brute force attack untuk pertama kalinya, rule pertama
ini tidak melakukan apa2...Namun apabila IP-nya telah tercatat, maka akan
langsung di Drop.
Code:
--------------------------------------------------------------------------------
# accept 10 incorrect logins per minute
/ ip firewall filter
add chain=output action=accept protocol=tcp content="530 Login incorrect"
dst-limit=1/1m,9,dst-address/1m
--------------------------------------------------------------------------------
Rule ini bertindak sebagai pengawas, apakah dari IP tertentu telah melakukan
Login secara Incorrect sebanyak 9 kali dalam jangka waktu 1 menit....Jadi bila
masih dalam batasan 9 kali dalam 1 menit maka masih akan diaccept...Nah apabila
telah melampaui 9 kali, maka rule ini tidak akan apply dan akan lanjut ke rule
setelahnya yakni...
Code:
--------------------------------------------------------------------------------
#add to blacklist
add chain=output action=add-dst-to-address-list protocol=tcp
content="530 Login incorrect" address-list=blacklist address-list-timeout=3h
--------------------------------------------------------------------------------
Rule ini akan menambahkan IP sang penyerang ke dalam addr-list bernama
ftp_blacklist...hanya itu yang dilakukan rule ini...
Nah, pada saat percobaan yang ke-11 serangan ini akan di Drop oleh Rule yang
Pertama....
www.forummikrotik.com
Documentation,Editing,Optimization by baratev.sourceforge.net
