Banyak hal yang ingin di ketahui orang lain ketika kita tengah membuat sebuah sistem jaringan yang terbuka dan tersambung ke Internet. Mulai dari pencobaan penetrasi sampai melakukan brute force. Dari hal tersebut coba ambil sebuah langkah untuk melakukan blok terhadap beberapa port yang tidak di perlukan, namun ketika lebih dalam lagi, ternyata bukan hanya hal tersebut saja. Yang perlu di pikirkan ternyata adalah langkah pertama saat para “orang usil” tadi untuk mencoba masuk ke router kita adalah melakukan scan terhadap router kita. Nah berangkat dari sini, coba coba mencari alternatif untuk membuat router kita tidak bisa di scan oleh orang lain. Ternyata tidak terlalu sulit.. berikut adalah langkah langkah praktisnya.
Tentunya bicara tentang hal diatas tentu bicara soal Firewall, nah untuk itu kita masuk ke /ip firewall buat rantai berikut untuk aturannya.
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="Port scanners to list " disabled=no
Artinya router akan mencatat semua IP para scanner tersebut dan kemudian di masukan kedalam daftar IP Address dan di namakan dalam grup “port scanners” setelah itu kita buat satu rule untuk menindaklanjutinya. Berikut rule untuk mendropkannya :
add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no
Nah secara otomatis Mikrotik akan memainkan rule tersebut, namun beberapa alternatif port scanner bisa juga menggunakan beberapa metode, untuk itu coba tambahkan rule berikut ini sebelum menggunakan aturan 2 :
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="NMAP FIN Stealth scan"
add chain=input protocol=tcp tcp-flags=fin,syn
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="SYN/FIN scan"
add chain=input protocol=tcp tcp-flags=syn,rst
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="SYN/RST scan"
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="FIN/PSH/URG scan"
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="ALL/ALL scan"
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
action=add-src-to-address-list address-list=”port scanners”
address-list-timeout=2w comment=”NMAP NULL scan”
Nah sedikit banyak anda sudah melakukan tindakan pertama pengamanan untuk router anda, coba sekarang anda melakukan scan terhadap router anda. Jadi langkah ini adalah langkah pertama pertolongan pada keamanan router anda.
taken from multisolusi.com
No comments:
Post a Comment