Wednesday, 27 June 2012

Cara mencegah NetCut di jaringan hotspot mikrotik


1. pake winbox aja biar gampang.2. masuk ke IP > DHCP Server3. pilih konfigurasi DHCP yang digunakan untuk hotspot anda, kalo' saya, menggunakan settingan default DHCP aja4. di sini saya cuma mengganti waktu sewa IP menjadi 1 hari5. dan yang paling penting, aktifkan opsi Add ARP for Leases, opsi ini untuk mencegah ARP Spoofing oleh NetCutlebih aman lagi, drop semua paket ICMP pada firewall, jadi tambahin aja (soalnya pernah baca, kalo NetCut itu menggunakan ICMP untuk apanyaaa gitu, eh satu lagi, kalo rule ini diterapkan, jangan bingung ya, soalnya ping pasti ga bisa !!!!)


/ip firewall filteradd action=accept chain=input protocol=icmp disabled=no comment="default 
 configuration anti netcut, defaultnya accept" 

anti confliker

/ ip firewall filter 
add chain=forward protocol=udp src-port=135-139 action=drop comment=";;Block W32.Kido - Conficker" disabled=no 
add chain=forward protocol=udp dst-port=135-139 action=drop comment="" disabled=noadd chain=forward protocol=udp src-port=445 action=drop comment="" disabled=no 
add chain=forward protocol=udp dst-port=445 action=drop comment="" disabled=no 
add chain=forward protocol=tcp src-port=135-139 action=drop comment="" disabled=no 
add chain=forward protocol=tcp dst-port=135-139 action=drop comment="" disabled=no 
add chain=forward protocol=tcp src-port=445 action=drop comment="" disabled=no 
add chain=forward protocol=tcp dst-port=445 action=drop comment="" disabled=no 
add chain=forward protocol=tcp dst-port=4691 action=drop comment="" disabled=no 
add chain=forward protocol=tcp dst-port=5933 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=5355 action=drop comment="Block LLMNR" disabled=no 
add chain=forward protocol=udp dst-port=4647 action=drop comment="" disabled=no 
add action=drop chain=forward comment="SMTP Deny" disabled=no protocol=tcp src-port=25add action=drop chain=forward comment="" disabled=no dst-port=25 protocol=tcp 


--------------------------------------------------------------------------#
Melindungi FTP Server Mikrotik Anda

/ ip firewall filteradd chain=input in-interface=hotspot protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="FTP Blacklist"

/ ip firewall filteradd chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m comment="accept 10 incorrect logins per minute"


/ ip firewall filteradd chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h comment="add to blacklist"




Ingat, urutan diatas harus tepat...tidak boleh tertukar-tukar...Mari kita bahas satu persatu dari rule-rule diatas...

/ ip firewall filter add chain=input in-interface=ether1 protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop


Rule pertama ini akan melakukan filtering untuk traffik yang berasal dari ether1(silahkan dirubah sesuai kebutuhan), protocol TCP dengan port 21...dan IP asal traffik dicocokkan dengan addr-list ftp_blacklist (yang akan dicreate di rule berikutnya)....bila cocok / positif maka action drop akan dilakukan...Bila ada yang melakukan brute force attack untuk pertama kalinya,rule pertama ini tidak melakukan apa2...Namun apabila IP-nya telah tercatat,maka akan langsung di Drop.


-------------------------------------
accept 10 incorrect logins per minute
/ ip firewall filter add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m


Rule ini bertindak sebagai pengawas,apakah dari IP tertentu telah melakukan Login secara Incorrect sebanyak 9 kalidalam jangka waktu 1 menit....Jadi bila masih dalam batasan 9 kali dalam 1 menit maka masih akan diaccept...Nah apabila telah melampaui 9 kali,maka rule ini tidak akan apply dan akan lanjut ke rule setelahnya yakni...


-------------------------------------#
add to blacklist 
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=blacklist address-list-timeout=3h


Rule ini akan menambahkan IP sang penyerang ke dalam addr-list bernama ftp_blacklist...hanya itu yang dilakukan rule ini...

Nah, pada saat percobaan yang ke-11 serangan ini akan di Drop oleh Rule yang Pertama....

dapet dari forum juga.... moga bermanfaat

No comments:

Post a Comment