Filter Rule Mikrotik Firewall

Firewall yakni suatu system yang dirancang untuk mencegah kanal yang tidak diinginkan baik yang berasal dari luar (internet)  maupun dari client (local). Firewall menginplementasikan penyaringan paket  dengan demikian menawarkan fungsi keamanan yang digunakan untuk mengelolah ajaran data yang melalui Router. Firewall menertibkan jalannya data serta menetapkan agresi untuk melewatkan (pass), menjatuhkan(drop), menolak(reject), mengenkripsi atau melakukan pencatan log data. Firewall menjamin akan data sesuai denga hukum (rule) yang terdapat dalam kebijakan keamanannya (security policy). Firewall beroperasi dengan hukum firewall. Setiap aturan berisikan dua bagian yaitu pencocokan pedoman lalu lintas dengan keadaan yang diputuskan dan melaksanakan langkah-langkah terhadapa paket yang sesuai.

Aturan penyaringan firewall dikelompokkan bersama dalam rantai (chain). Ini memungkinkan sebuah paket untuk dicocokkan dengan satu patokan biasa dalam satu rantai (chain), dan kemudian diteruskan untuk diproses kepada beberapa kriteria umum lainnya ke rantai (chain) lain.

Secara default ada 3 chain yaitu input, forward, output.

input – dipakai untuk memproses paket yang memasuki router melalui salah satu antarmuka dengan alamat IP tujuan yang merupakan salah satu alamat router. Paket yang melewati router tidak diproses sesuai hukum rantai input

forward – digunakan untuk memproses paket yang melewati router

output – digunakan untuk memproses paket yang berasal dari router dan meninggalkannya lewat salah satu antarmuka. Paket yang melewati router tidak diproses sesuai aturan rantai keluaran

 

Firewall Filter Rule

Prinsip yang digunakan IF…THEN…

IF (bila) paket menyanggupi syarat pada rule yang kita buat

THEN (maka) action yang mau dikerjakan pada paket tersebut

Firewall-IF (syarat)

Src. Address = IP address dari sumber sebuah paket

Dst.address = IP address tujuan sebuah paket

Protocol = protocol seperti (ICMP,HTTP,TCP,UDP,Dll)

Src.port = port sumber suatu paket

Dst.port = port tujuan sebuah paket

Any port = cocok dengan dst port atau src port bukan hanya satu

In. interface = data yang masuk lewat interface

Out. Interface = data yang keluar lewat interface

In. interface list = list interface masuk

Out. Interface list = list interface keluar

Packet mark = paket yang ditandai dengan fitur mangle

Connection mark = paket yang ditandai fitur mangle dengan koneksi tertentu

Routing mark = paket yang ditandai fitur mangle dengan rute tertentu

Routing table = Paket yang tepat dengan alamat tujuan yang diatasi dalam tabel routing tertentu

Connection type = koneksi terkait berdasarkan informasi dari pelacakan koneksi. Koneksi yang relevan harus diaktifkan di IP->firewall-> service-port

Connection state = Menafsirkan data analisis pelacakan koneksi untuk paket tertentu (established, invalid, new, related, untracked)

Connection NAT state = Dapat mencocokkan koneksi yang srcnatted, dstnatted atau keduanya.

Dan masih banyak lagi teman-sobat dapat membaca pada wiki mikrotik

Firewall-THEN (Action)

Tindakan yang harus diambil bila paket dicocokkan dengan aturan:

accept = terima paket. Paket tidak diteruskan ke hukum firewall berikutnya.

add-dst-to-address-list = tambahkan alamat tujuan ke daftar alamat yang diputuskan oleh parameter daftar-alamat

add-src-to-address-list = tambahkan alamat sumber ke daftar alamat yang diputuskan oleh parameter daftar-alamat

drop = diam-membisu menjatuhkan paket

fasttrack-connection = memproses paket dari koneksi menggunakan FastPath dengan mengaktifkan FastTrack untuk koneksi

jump = lompat ke rantai yang diputuskan pengguna yang diputuskan oleh nilai parameter target-jump

log = tambahkan pesan ke log sistem yang berisi data berikut: in-interface, out-interface, src-mac, protokol, src-ip: port-> dst-ip: port dan panjang paket. Setelah paket dicocokkan itu dilewatkan ke hukum berikutnya dalam daftar, seperti dengan passthrough

passthrough – bila paket cocok dengan hukum, tingkatkan counter dan lanjutkan ke aturan selanjutnya (memiliki kegunaan untuk statistik)

reject – jatuhkan paket dan kirim pesan tolak ICMP

return – melalui kontrol kembali ke rantai dari mana lompatan itu terjadi

tarpit – menangkap dan menahan koneksi TCP (akibat dengan SYN / ACK ke paket TCP SYN inbound)

Strategi Firewall

Banyak data yang mesti difilter dan dipilah mana yang mesti diperbolehkan (accept) dan mana yang mesti di buang (drop). Ada dua sistem yang dipakai untuk menderhanankan rule firewall yang akan kita buat : buang beberapa lainya diterima dan terima beberapa lainya dibuang.

Pada pola ini kita akan merapkan metode terima beberapa lainya buang, dimisalkan router sobat-teman cuma boleh menerima data dari IP address laptop sahabat-teman. Teman-sobat harus mengenali berapa IP address laptop sahabat-sahabat, pada bahan DHCP kita telah pelajari cara memeriksa IP address. IP address laptop aku yaitu 192.168.1.254 IP ini nanti yang akan digunakan selaku IF (syarat) yang mesti tercukupi. Chain = Input dan Action=accept

Buatkan rule untuk menolak semua data

Akan ada dua rule

Dengan konfigurasi tersebut router hanya menerima paket dari IP address 192.168.1.254 untuk mengevaluasi apakah rule firewall yang dibentuk tadi berfungsi dengan baik teman-sobat dapat mengubah IP address laptop sahabat-sahabat dan lakukan jalan masuk Router Mikrotik. Ini yakni salah satu contoh inmplementasi firewall filter rule pada mikrotik. teman-sahabat mampu mengamankan router dari pihak yang tidak bertanggung jawab. Silahkan sobat-sahabat melakukan ekplorasi. 

Apa Itu Brute Force?

Brute force adalah suatu cara atau teknik untuk menjajal login terhadap suatu system dengan melakukan percobaan variasi huruf hingga memperoleh karakter yang tepat. Metode yang dipakai dalam brute force memang lebih sederhana dibandingkan dengan jenis serangan yang lain seperti SQL Injection, Malware, Phising dan masih banyak serangan-serangan cyber lainnya.  

Serangan brute force juga biasa ditemukan di perangkat jaringan mirip halnya di mikrotik. Serangan ini bermaksud untuk menerima username dan password yang mampu dipakai untuk login ke perangkat mikrotik.

Metode serangan brute force

Beberapa metode atau teknik yang sering digunakan untuk menebak username dan password diantanya yaitu

Dictionary attacks

Penyerang mempunyai daftar username dan password yang dapat digunakan untuk menebak user login dari sebuah system atau akun.

Reverse brute force attacks

Metode ini penyerang menggunakan satu password atau kata sandi dengan multiple username atau sebaliknya sampai memperoleh kombinasi username dan password yang sempurna.

Credential Stuffing (Credential recycling)

Banyak user memakai username dan password yang sama untuk beberapa akun. Alasanya biar lebih mudah untuk mengenang username dan password yang dipakai untuk berbagai akun. Melihat kebiasaan ini, penyerang menggunakan metode ini untuk bisa masuk ke akun korban yang yang lain. Makara, saat penyerang telah berhasil mengenali satu username dan password, mereka akan menjajal untuk login ke akun lainnya dengan password yang serupa.

Serangan brute force selain mampu menebak user login juga dapat mengembangkan penggunaan resource dari  suatu perangkat. Untuk meminimalkan resiko dari serangan ini kita dapat menerapkan beberapa rule firewall di mikrotik.

Baca juga Konsep Firwall Filter Rule di Mikrotik

Cara block brute force di mikrotik

Pada artikel ini aku ambil pola cara block brute force pada service SSH, sahabat-sobat juga dapat menerapkan diservice-service yang lain. Ok eksklusif saja cara block brute force service SSH

Tambahkan rule firewall pada menu IP->Firewall->Tab Filter rule

chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment=”drop ssh brute forcers” disabled=no

mirip pada rule diatas mikrotik akan melaksanakan block terhadap paket yang masuk ke router memakai IP yang ada dilist ssh_blocklist.

Selanjutnya buat rule untuk menambahkan IP address kedalam list

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment=”” disabled=no

rule diatas akan menambahkan IP kedalam list stage1

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=”” disabled=no

rule diatas akan menyertakan IP kedalam list stage2 kalau IP address tersebut sudah ada dalam list IP stage1

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment=”” disabled=no

begitu pula dengan rule diatas menyertakan IP address kedalam stage3 jika IP tersebut sudah ada dalam list stage2

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment=”” disabled=no

rule diatas akan menyertakan IP Address kedalam list ssh_blocklist bila IP yang di list stage3

Blok ssh bruteforce downstream

add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \

comment=”drop ssh brute downstream” disabled=no

rule diatas akan melaksanakan blocking brute force ke jaringan yang melalui router seperti acuan penyerang melakukan brute force pada server yang ada dijaringan local router mikrotik

 

Sekian terimakasih materi Cara Block Brute Force di Mikrotik. Semoga mampu berguna bagi sobat-sahabat yang gres berguru mikrotik, sampai jumpa lagi dimateri-materi berikutnya, kalau ada pertanyaan silahkan tinggalkan di kolom komentar, wassalam…….

Referensi dan Sumber

Bruteforce login prevention – MikroTik Wiki