Follow us on...
Follow us on G+ Follow us on Twitter Follow us on Facebook Watch us on YouTube
Register
Page 1 of 3 123 LastLast
Results 1 to 15 of 33
  1. #1
    Status
    Offline
    [a]
    [a]'s Avatar
    Administrator
    Join Date
    Jun 2007
    Location
    Jakarta, Indonesia, Indonesia
    Posts
    1,729
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    1 (100%)

    Post How To : Melindungi FTP Server Mikrotik Anda

    How To : Melindungi FTP Server Mikrotik Anda


    Artikel singkat ini akan menjelaskan cara untuk melindungi FTP Server Mikrotik anda dari serangan Brute Force.



    Service FTP Server pada Router Mikrotik kita kadang2 tentunya kita perlu jalankan untuk keperluan-keperluan administrasi.

    Tapi, bagaimana bila jika FTP sedang running, ada pihak-pihak yang ingin memanfaatkan FTP pada Router Mikrotik untuk mencoba hal-hal yang membahayakan Jaringan kita. Cara yang paling umum dilakukan untuk hal ini biasanya adalah dengan menggunakan metode Brute Force Attack.

    Brute force attack adalah sebuah teknik serangan terhadap sebuah sistem keamanan komputer yang menggunakan percobaan terhadap semua kunci yang mungkin. Pendekatan ini pada awalnya merujuk pada sebuah program komputer yang mengandalkan kekuatan pemrosesan komputer dibandingkan kecerdasan manusia. (Source : )

    Hal yang harus dilakukan untuk mencegah hal diatas sebenarnya cukup sederhana. Hanya butuh 3 rule di firewall.

    Code:
    / ip firewall filter
    add chain=input in-interface=ether1 protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop
    
    # accept 10 incorrect logins per minute
    / ip firewall filter
    add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
    
    #add to blacklist
    add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h
    Ingat, urutan diatas harus tepat...tidak boleh tertukar-tukar...


    Mari kita bahas satu persatu dari rule-rule diatas...



    Code:
    / ip firewall filter
    add chain=input in-interface=ether1 protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop


    Rule pertama ini akan melakukan filtering untuk traffik yang berasal dari ether1 (silahkan dirubah sesuai kebutuhan), protocol TCP dengan port 21...dan IP asal traffik dicocokkan dengan addr-list ftp_blacklist (yang akan dicreate di rule berikutnya)....bila cocok / positif maka action drop akan dilakukan...

    Bila ada yang melakukan brute force attack untuk pertama kalinya, rule pertama ini tidak melakukan apa2...Namun apabila IP-nya telah tercatat, maka akan langsung di Drop.



    Code:
    # accept 10 incorrect logins per minute
    / ip firewall filter
    add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m

    Rule ini bertindak sebagai pengawas, apakah dari IP tertentu telah melakukan Login secara Incorrect sebanyak 9 kali dalam jangka waktu 1 menit....Jadi bila masih dalam batasan 9 kali dalam 1 menit maka masih akan diaccept...Nah apabila telah melampaui 9 kali, maka rule ini tidak akan apply dan akan lanjut ke rule setelahnya yakni...




    Code:
    #add to blacklist
    add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=blacklist address-list-timeout=3h


    Rule ini akan menambahkan IP sang penyerang ke dalam addr-list bernama ftp_blacklist...hanya itu yang dilakukan rule ini...

    Nah, pada saat percobaan yang ke-11 serangan ini akan di Drop oleh Rule yang Pertama....


    Sekian artikel singkat ini...Selamat mencoba Click here to enlarge

  2. The Following 22 Users Say Thank You to [a] For This Useful Post:

    + Show/Hide list of the thanked


  3. #2
    Status
    Offline
    r0t0r's Avatar
    Newbie
    Join Date
    Aug 2007
    Location
    Padang
    Posts
    53
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Thanks Bro Click here to enlarge

    Selain FTP, itu scanning port 80 sering juga, dan itu ada tool scanning, Dengan sedikit modifikasi, lumayan danger, yang pernah dicoba, setahu saya enggak ke detek oleh Firewall serta enggak masuk Log di server. Pake Brute Force juga metodenya.

    FYI:

    Kalau kek gini, saya mah biasanya di Allow blok ip Network kita aja, yang lainnya di Drop. Kadang Ekstrimnya port 80 nya di Disable.
    CMIIW
    Last edited by r0t0r; 24-08-2007 at 02:54.

  4. The Following 4 Users Say Thank You to r0t0r For This Useful Post:


  5. #3
    Status
    Offline
    [a]
    [a]'s Avatar
    Administrator
    Join Date
    Jun 2007
    Location
    Jakarta, Indonesia, Indonesia
    Posts
    1,729
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    1 (100%)
    yups...dengan allow blok IP network tertentu ajah memang solusi paling baik...

    namun ini kan bila ada keadaan2 tertentu yang menyebabkan akses kita buka umum sementara...

    Rule diatas juga bisa dimodif sesuai kebutuhan kita juga kok bro...

  6. The Following 2 Users Say Thank You to [a] For This Useful Post:


  7. #4
    Status
    Offline
    r0t0r's Avatar
    Newbie
    Join Date
    Aug 2007
    Location
    Padang
    Posts
    53
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Keknya perlu di tambah content="530 Login incorrect" bro, pake tandai ""

  8. #5
    Status
    Offline
    [a]
    [a]'s Avatar
    Administrator
    Join Date
    Jun 2007
    Location
    Jakarta, Indonesia, Indonesia
    Posts
    1,729
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    1 (100%)
    thanks for the notice bro...Click here to enlarge

  9. The Following User Says Thank You to [a] For This Useful Post:


  10. #6
    Status
    Offline
    sone's Avatar
    Member
    Join Date
    Aug 2007
    Posts
    266
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    TQ bos guide nya, sangat berguna banget

    soalnya di log mikrotik aku sering ada beberapa login failure dari ip via FTP dgn username n password yg berbeda2, mungkin itu salah 1 brute force

    BTW, dimana ya saya bisa download tuh program brute force nya

    TQ
    Click here to enlargeClick here to enlargeClick here to enlarge

  11. #7
    Status
    Offline
    Akangage's Avatar
    Administrator
    Join Date
    Aug 2007
    Location
    Daerah Khusus Ibukota Jakarta, Indonesia
    Posts
    4,188
    Reviews
    Read 0 Reviews
    Downloads
    210
    Uploads
    87
    Feedback Score
    0
    SEP Abis tutorial-nya It's indeed help me so muchClick here to enlarge

  12. #8
    Status
    Offline
    usrox's Avatar
    Baru Gabung
    Join Date
    Jul 2007
    Posts
    11
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Halo, kenapa harus menggunakan in-interface apa lebih baik di kosongkan saja gimana jika interface publicnya lebih dari satu, apa harus buat satu-satu rulenya untuk tiap interface ngga efisien bro...

  13. #9
    Status
    Offline
    brain_devil2006's Avatar
    Newbie
    Join Date
    Jul 2007
    Posts
    35
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge th@nks bro !

  14. #10
    Status
    Offline
    dfx27's Avatar
    Baru Gabung
    Join Date
    Oct 2007
    Posts
    1
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    seephhh, thanks..... Click here to enlarge

  15. #11
    Status
    Offline
    diditnya's Avatar
    Baru Gabung
    Join Date
    Dec 2007
    Posts
    4
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    maaf om om semuanya.. baru kmaren ane kenalan ama mikrotik ini.. tapi kaget juga hari ini dah ada yang nyoba masuk ...kayak di abwah ini...

    (105 messages not shown)
    dec/01/2007 01:39:24 system,error,critical login failure for user judy from 125.
    46.64.247 via ssh
    dec/01/2007 01:39:26 system,error,critical login failure for user anita from 125
    .46.64.247 via ssh
    dec/01/2007 01:39:28 system,error,critical login failure for user oracle from 12
    5.46.64.247 via ssh
    dec/01/2007 01:39:29 system,error,critical login failure for user marketing from
    125.46.64.247 via ssh
    dec/01/2007 01:39:37 system,error,critical login failure for user gay from 125.4
    6.64.247 via ssh
    dec/01/2007 01:39:39 system,error,critical login failure for user boy from 125.4
    6.64.247 via ssh
    dec/01/2007 01:39:43 system,error,critical login failure for user daemon from 12
    5.46.64.247 via ssh
    dec/01/2007 01:39:53 system,error,critical login failure for user lp from 125.46
    .64.247 via ssh
    Terminal ansi detected, using single line input mode


    yang ane tanyain.. apa bener asumsi ane.. kalo mikrotik ane lagi ada yang nyoba "kenalan"?... trus apa bener sikap ane apabila diliat diatas itu?.. "don't speak with strangers"?

    makasih banyak sebelomnya...

  16. #12
    Status
    Offline
    blue_apple's Avatar
    Baru Gabung
    Join Date
    Dec 2007
    Posts
    16
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0

    Buat liat log nya dmn ya??

    Buat liat log nya dmn ya?? maap masih bener2 cupu.

  17. #13
    Status
    Offline
    t4mp4h's Avatar
    Baru Gabung
    Join Date
    Apr 2008
    Posts
    6
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by blue_apple Click here to enlarge
    Buat liat log nya dmn ya?? maap masih bener2 cupu.
    /log print
    atau langsung liat "Log" di winbox

    sesama cupu bro..

  18. #14
    Status
    Offline
    t4mp4h's Avatar
    Baru Gabung
    Join Date
    Apr 2008
    Posts
    6
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    Click here to enlarge Originally Posted by diditnya Click here to enlarge
    maaf om om semuanya.. baru kmaren ane kenalan ama mikrotik ini.. tapi kaget juga hari ini dah ada yang nyoba masuk ...kayak di abwah ini...

    (105 messages not shown)
    dec/01/2007 01:39:24 system,error,critical login failure for user judy from 125.
    46.64.247 via ssh
    Terminal ansi detected, using single line input mode


    yang ane tanyain.. apa bener asumsi ane.. kalo mikrotik ane lagi ada yang nyoba "kenalan"?... trus apa bener sikap ane apabila diliat diatas itu?.. "don't speak with strangers"?

    makasih banyak sebelomnya...
    iya, itu dia penjahatnya, saya juga kena kaya gituan bro. Paling sebel karena koneksi pake sapidih, kadang mbikin down juga. Perlu kasih rule seperti ini atau seperti

  19. The Following User Says Thank You to t4mp4h For This Useful Post:


  20. #15
    Status
    Offline
    donipermono1982's Avatar
    Moderator
    Join Date
    Feb 2008
    Location
    Jakarta Selatan
    Posts
    2,810
    Reviews
    Read 0 Reviews
    Downloads
    0
    Uploads
    0
    Feedback Score
    0
    nannya donk

    seperti pertanyaan gw yang ada di threaad begineer

    jika ip terdeteksi masuknya ke ftp_blacklist kan

    nah ftp blacklist itu di buat manual apa automatis ada.. koq gw bisa ya tulis scriptnya di terminal,, bisanya lewat winbox tapi ngga ada bagian ftp_blacklist

    mohon pencerahannya Click here to enlarge

 

 
Page 1 of 3 123 LastLast

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •