Hardware and Software Solutions

LightBlog
Responsive Ads Here

Sabtu, 14 Januari 2012

Cegah NetCUT di Mikrotik

NetCut v2
Untung ada siswa yang lapor jika ada pengguna HOTSPOT yang berani macem - macem yaitu maen NetCut..... hmmm buat berang juga karena sistem NetCut adalah memotong jaringan dan menjadikan sebagai gateway......

Untung mbah google masih buka, dan akhirnya aku tanya.... alhamdulillah aku baca di forum ketemu deh..... nih tutorial nya
  • pake winbox aja biar gampang.
  • masuk ke IP > DHCP Server
  • pilih konfigurasi DHCP yang digunakan untuk hotspot anda, kalo' saya, menggunakan settingan default DHCP aja
  • di sini saya cuma mengganti waktu sewa IP menjadi 1 hari
  • dan yang paling penting, aktifkan opsi Add ARP for Leases, opsi ini untuk mencegah ARP Spoofing oleh NetCut
lebih aman lagi, drop semua paket ICMP pada firewall, jadi tambahin aja (soalnya pernah baca, kalo NetCut itu menggunakan ICMP untuk apanyaaa gitu, eh satu lagi, kalo rule ini diterapkan, jangan bingung ya, soalnya ping pasti ga bisa !!!!)

 Anti NETCUT
add action=accept chain=input comment="ANTI NETCUT" disabled=no dst-port=\ 0-65535 protocol=tcp src-address=67.195.134.1-67.195.134.254
add action=accept chain=input comment="ANTI NETCUT" disabled=no dst-port=\ 0-65535 protocol=tcp src-address=68.142.233.1-68.142.233.254
add action=accept chain=input comment="ANTI NETCUT" disabled=no dst-port=\ 0-65535 protocol=tcp src-address=68.180.217.1-68.180.217.254
add action=accept chain=input comment="ANTI NETCUT" disabled=no dst-port=\ 0-65535 protocol=tcp src-address=203.84.204.1-203.84.204.254
add action=accept chain=input comment="ANTI NETCUT" disabled=no dst-port=\ 0-65535 protocol=tcp src-address=69.63.176.1-69.63.176.254
add action=accept chain=input comment="ANTI NETCUT" disabled=no dst-port=\ 0-65535 protocol=tcp src-address=69.63.181.1-69.63.181.254
add action=accept chain=input comment="ANTI NETCUT" disabled=no dst-port=\ 0-65535 protocol=tcp src-address=63.245.209.1-63.245.209.254
add action=accept chain=input comment="ANTI NETCUT" disabled=no dst-port=\ 0-65535 protocol=tcp src-address=63.245.213.1-63.245.213.254
add action=accept chain=input comment="ANTI NETCUT" disabled=no dst-port=\ 0-65535 protocol=tcp src-address=173.203.196.1-173.203.196.254


anti confliker

/ ip firewall filter
add chain=forward protocol=udp src-port=135-139 action=drop comment=";;Block W32.Kido - Conficker" disabled=no
add chain=forward protocol=udp dst-port=135-139 action=drop comment="" disabled=no
add chain=forward protocol=udp src-port=445 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=445 action=drop comment="" disabled=no
add chain=forward protocol=tcp src-port=135-139 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=135-139 action=drop comment="" disabled=no
add chain=forward protocol=tcp src-port=445 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=445 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=4691 action=drop comment="" disabled=no
add chain=forward protocol=tcp dst-port=5933 action=drop comment="" disabled=no
add chain=forward protocol=udp dst-port=5355 action=drop comment="Block LLMNR" disabled=no
add chain=forward protocol=udp dst-port=4647 action=drop comment="" disabled=no
add action=drop chain=forward comment="SMTP Deny" disabled=no protocol=tcp src-port=25
add action=drop chain=forward comment="" disabled=no dst-port=25 protocol=tcp

Melindungi FTP Server Mikrotik Anda

/ ip firewall filter
add chain=input in-interface=hotspot protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="FTP Blacklist"

/ ip firewall filter
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m comment="accept 10 incorrect logins per minute"

/ ip firewall filter
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h comment="add to blacklist"

Ingat, urutan diatas harus tepat...tidak boleh tertukar-tukar...
Mari kita bahas satu persatu dari rule-rule diatas...


/ ip firewall filter
add chain=input in-interface=ether1 protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop

Rule pertama ini akan melakukan filtering untuk traffik yang berasal dari ether1
(silahkan dirubah sesuai kebutuhan), protocol TCP dengan port 21...dan IP asal traffik
dicocokkan dengan addr-list ftp_blacklist (yang akan dicreate di rule berikutnya)....
bila cocok / positif maka action drop akan dilakukan...
Bila ada yang melakukan brute force attack untuk pertama kalinya,
rule pertama ini tidak melakukan apa2...Namun apabila IP-nya telah tercatat,
maka akan langsung di Drop.

-------------------------------------
# accept 10 incorrect logins per minute
/ ip firewall filter
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m

Rule ini bertindak sebagai pengawas,
apakah dari IP tertentu telah melakukan Login secara Incorrect sebanyak 9 kali
dalam jangka waktu 1 menit....Jadi bila masih dalam batasan 9 kali dalam 1 menit
maka masih akan diaccept...Nah apabila telah melampaui 9 kali,
maka rule ini tidak akan apply dan akan lanjut ke rule setelahnya yakni...


-------------------------------------
#add to blacklist
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=blacklist address-list-timeout=3h

Rule ini akan menambahkan IP sang penyerang ke dalam addr-list bernama ftp_blacklist...hanya itu yang dilakukan rule ini...
Nah, pada saat percobaan yang ke-11 serangan ini akan di Drop oleh Rule yang Pertama....


dapet dari forum juga.... moga bermanfaat

Tidak ada komentar: