Sabtu, 29 Oktober 2016

Teknik Setting Pengalihan / Forwarding DNS di Mikrotik

Seven - Ada solusi di dalam Mikrotik Router yang dapat digunakan untuk “memaksa” request DNS dari client untuk menggunakan DNS yang kita inginkan. Caranya dengan menambahkan rules di IP > Firewall > NAT seperti berikut ini:
/ip firewall nat add action=redirect chain=dstnat comment="" disabled=no dst-port=53 protocol=tcp to-ports=53 
/ip firewall nat add action=redirect chain=dstnat comment="" disabled=no dst-port=53 protocol=udp to-ports=53
Rules diatas akan memaksa / meredirect permintaan DNS (Port 53) dari komputer client ke DNS Mikrotik. Meskipun client mengganti DNS akan tetap menggunakan DNS yang kita setting pada IP > DNS Mikoritk Router Anda.

Blok Traceroute Mikrotik

Seven - Blok Traceroute Mikrotik

Rules Blok Traceroute Mikrotik
/ip firewall filter add chain=forward protocol=icmp icmp-options=11:0 action=drop comment="Drop Traceroute from client"
/ip firewall filter add chain=forward protocol=icmp icmp-options=3:3 action=drop comment="Drop Traceroute from client"

Drop Port Scanners Mikrotik

Seven - Sebagai administrator jaringan, kita wajib menjaga keamanan jaringan yang kita tangani.
Artikel kali ini saya ingin berbagi tutorial tentang bagaimana menghindari Port Scanner dari hacker/cracker pada mikrotik router.

Untuk melindungi mikrotik router dari port scanner, kita dapat mencatat ip dari hacker/cracker yang mencoba menscan router Anda. Menggunakan address list ini kita dapat men drop koneksi dari ip tersebut.

Pada tutorial ini menggunakan CLI, bagi pembaca yang menggunakan winbox/web config bisa menyesuaikan.

Pada /ip firewall filter
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Port scanners to list " disabled=no
Chain ini digunakan untuk mencatat ip ke black-list address list, dan akan disimpan selama 2 minggu.

Chain berikutnya berfungsi untuk mendeteksi apakah ada indikasi aktifitas post scanner:
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP FIN Stealth scan"
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/FIN scan"
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/RST scan"
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="FIN/PSH/URG scan"
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="ALL/ALL scan"
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP NULL scan"
Jika ada tanda-tanda dari kejadian diatas, maka harus didrop scanning IPnya menggunakan perintah berikut ini:
add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no
Anda juga dapat mendrop port scanner ini pada chain forward, tapi menggunakan rule diatas dengan "chain=forward".

Semoga artikel ini bisa membantu. Meskipun tidak ada jaringan yang 100% aman, tapi setidaknya kita sudah berusaha untuk mengamankannya. Terimakasih

Referensi: http://wiki.mikrotik.com/wiki/Drop_port_scanners

Sabtu, 04 Juni 2016

Cara Mengatasi DNS Attack Di Mikrotik


dns cache mikrotik - mirzamedia.net
DNS Cache

Seven - DNS Attack - FreeDNS. Teman-teman ada yang pernah mengalami kejadian seperti digambar??? Jika pernah kita senasib :-D . Akhir-akhir ini network di tempat saya agak terasa berat koneksinya, walau tidak banyak yang menggunakan tapi bandwidth terasa sesak dan sering DNS not resolved serta penggunaan resource hardware yang tidak wajar.

Setelah mencoba mencari tahu penyebabnya, muncul kecurigaan adanya DNS Attack. Karena dalam cache DNS server terdapat record yang aneh seperti pada gambar diatas. Mencoba cari-cari informasi dengan googling dan bertanya pada teman. Alhamdulillah akhirnya ketemu solusinya. Terimakasih Mr RS yang telah membantu :-D .

Ternyata masalahnya karena terkena free DNS, dari pemahaman saya sih network saya dijadikan orang lain sebagai DNS server. Berhubung IP nya IP Publik hal itu sangat mungkin terjadi. Setelah berbincang dengan Mr RS dan di beri arahan untuk menanganinya, kemudian saya coba praktekkan dan ternyata benar work 100%. Alkisah ternyata Mr RS pernah mengalami hal yang serupa juga.

Cara untuk menanganinya adalah dengan memblok input protocol UDP port 53 (domain) dari interface WAN. Berhubung saya menggunakan mikrotik, jadi cara yang saya berikan adalah memblok input protokol UDP port 53 (domain) di mikrotik.

Berikut ini caranya:

1. Via command line

Setelah login ke mikrotik console, ketikkan command berikut:

ip firewall filter add chain=input protocol=udp dst-port=53 in-interface=Publik action=drop

NB: Sesuaikan in-interface dengan interface WAN Anda.

2. Via winbox

Setelah login, Klik menu IP > Firewall

ip firewall mikrotik - mirzamedia.net
IP Firewall


3. Kemudian di Tab Filter Rules tambahkan rule baru dengan klik tombol plus berwarna merah di pojok kiri atas.

filter rule mikrotik - mirzamedia.net
Filter Rule


4. Lalu set Chain ke input, protocol ke UDP, Dst port ke 53, dan in-interface ke interface WAN Anda.

add filter rule mikrotik - mirzamedia.net


5. Kamudian di tab Action pilih drop dan klik Ok untuk menyimpan.

add filter rule mikrotik - mirzamedia.net


Nah, sekarang request DNS resolved dari luar sudah berhasil di blok. Semoga artikel ini bisa membantu teman-teman yang mengalami masalah yang sama. Mohon koreksinya jika ada yang salah. Terimakasih