Membasmi Brute Force Attack pada Mikrotik yang dial PPPoE ke ADSL Speedy bermode Bridge

Pada Log RouterBoard terlihat jelas sekali peringatan-peringatan berwarna merah yang muncul bertubi-tubi.

"system error critical, login failure for user root from (sebuah alamat ip) via ssh"

Ini bukti terjadinya serangan ke ip publik account Speedy Anda yang tentunya juga terjadi pada hampir semua pelanggan Speedy, bedanya karena Anda memiliki RouterBoard yang catatan kejadian (log)nya mudah di akses dari winbox/webbox sehingga memudahkan monitoring terhadap apa yang dialami RouterBoard ketika berhadapan langsung dengan dunia luar.

Wajar ini terjadi pada Router yang melakukan dial PPPoE ke modem ADSL bermode Bridge, karena satu-satunya pintu terluar di jaringan kita adalah RouterBoard, bukan modem ADSL seperti umumnya pelanggan Speedy.

Berikut ini sedikit script firewall sederhana yang saya sadur dari manual Mikrotik untuk membasmi serangan brutal dari ip-ip tidak jelas terhadap RouterBoard Anda.

/ip firewall filter add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="drop ftp brute forcers by khusni.freeiz.com" add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers by khusni.freeiz.com" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=add-src-to-address-list

Selamat mencoba, semoga menjadi referensi bermanfaat :)