SN Blog - Sebagai administrator jaringan, kita wajib menjaga keamanan jaringan yang kita tangani.
Artikel kali ini saya ingin berbagi tutorial tentang bagaimana menghindari Port Scanner dari hacker/cracker pada mikrotik router.Untuk melindungi mikrotik router dari port scanner, kita dapat mencatat ip dari hacker/cracker yang mencoba menscan router Anda. Menggunakan address list ini kita dapat men drop koneksi dari ip tersebut.
Pada tutorial ini menggunakan CLI, bagi pembaca yang menggunakan winbox/web config bisa menyesuaikan.
Pada /ip firewall filter
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Port scanners to list " disabled=noChain ini digunakan untuk mencatat ip ke black-list address list, dan akan disimpan selama 2 minggu.
Chain berikutnya berfungsi untuk mendeteksi apakah ada indikasi aktifitas post scanner:
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP FIN Stealth scan"
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/FIN scan"
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/RST scan"
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="FIN/PSH/URG scan"
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="ALL/ALL scan"
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP NULL scan"Jika ada tanda-tanda dari kejadian diatas, maka harus didrop scanning IPnya menggunakan perintah berikut ini:
add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=noAnda juga dapat mendrop port scanner ini pada chain forward, tapi menggunakan rule diatas dengan "chain=forward".
Semoga artikel ini bisa membantu. Meskipun tidak ada jaringan yang 100% aman, tapi setidaknya kita sudah berusaha untuk mengamankannya. Terimakasih
Referensi: http://wiki.mikrotik.com/wiki/Drop_port_scanners
Mohon gunakan bahasa yang sopan dan santun. Terimakasih
EmoticonEmoticon