Escolar Documentos
Profissional Documentos
Cultura Documentos
Author : anjees | Posted at 18.57 | File Under : ☻ Jaringan, ☻ Mikrotik | comments (0)
Dokumen ini dirancang untuk perangkat RouterOs tapi yang tidak mempunyai konfigurasi,
konfigurasi yang dijelaskan dalam tutorial ini dapat bekerja untuk router sudah dikonfigurasi
tetapi harus hati-hati semoga yang diambil konfigurasi ini tidak mempengaruhi perangkat.
Harap membaca dan memahami seluruh dokumen sebelum mendaftar ke perangkat ini,
kegagalan untuk melakukan hal ini dapat menyebabkan Anda tidak dapat mengakses perangkat.
Maksud dari dokumen ini untuk mengambil langkah-langkah yang diperlukan untuk
mengamankan akses ke perangkat RouterOs sambil mempertahankan kemampuan untuk
perangkat lain untuk berkomunikasi dan menggunakan layanan tertentu.
Tutorial ini bekerja pada konsep 'hanya cukup-akses, yaitu layanan atau orang yang
membutuhkan akses ke router ada' hanya-cukup 'istimewa pada router untuk melakukan
pekerjaan mereka - dan tidak ada lagi. Tidak ada alasan lain bahwa hanya akses router dari BGP
pada perangkat untuk memiliki akses penuh dan juga pengguna yang masuk ke dalam memantau
sambungan nirkabel harus mempunyai akses tulis atau kemampuan untuk reboot / shutdown etc
etc Dengan ini dalam pikiran Anda harus melihat area lain pada jaringan Anda dan bagaimana
mereka asses setup / dikonfigurasi - mereka mungkin memerlukan perhatian untuk sepenuhnya
aman jaringan anda secara keseluruhan.
Ini adalah paket untuk menginstal sistem dasar di mana Anda dapat menyimpan jam dalam
sinkro dengan sumber eksternal, sebuah suite alat canggih yang memungkinkan pemantauan,
pelaporan dan memungkinkan Anda untuk berbicara dengan router aman.
Anda harus berpikir tentang peranan yang tepat akan memiliki router sebelum anda mulai
mengaktifkan lagi paket pada router, "it's a simple" nirkabel pemancar maka mengapa perlu
diaktifkan DHCP atau tidak? Jika router adalah menjadi Ethernet berbasis firewall maka
mengapa tidak perlu nirkabel diaktifkan. Hanya memungkinkan paket router perlu untuk
melakukan pekerjaannya, jadi yang kita fikirkan adalah keadaan cukup aman pada router kita.
Secara default router bisa diakses mengguanakan :
• Telnet
• SSH
• HTTP
• Winbox
• FTP
• Mac-Telnet
Untuk itu maka gunakanlah 1 cara dengan cara menonaktifkan semuanya dan gunakan salah satu
cara saja untuk masuk ke sebuah router, itu adalah cara yang aman.
Anda telah mengkonfigurasi layanan yang Anda sukai sekarang saatnya untuk melihat cara lain
untuk antarmuka dengan router, pertama adalah atas SNMP yang digunakan oleh banyak
program untuk memonitor perangkat (Ie The Dude). SNMP dimatikan secara default dan jika
anda memiliki cara lain monitoring perangkat ini aman untuk meninggalkan dinonaktifkan. Saya
lebih suka menggunakan The Dude untuk memonitor jaringan, jadi saya akan pergi ke depan dan
memungkinkan akses dan membantu mengatur beberapa bidang.
gunakalah hanya satu jalur masuk, contohnya gunakan winbox, dan matikan semua layanan yang
berjalan diatas, ini berguna untuk melindungi diri dari attacker yang menggunakan ssh brute
force, maupun telnet, dan ftp begitu juga menggunakan browser untuk masuk ke router anda.
yang berikutnya adalah gunakan 1 komputer di jaringan lokal anda yang hanya bisa masuk
router. ini mencegah dari banyak client yang ingin menggunakan router anda dari client
menggunakan winbox, jadi meskipun client menginstall winbox dan mengetahui user dan
password admin maka tidak akan bisa diijinkan masuk karena hanya IP anda yang bisa anda
gunakan untuk masuk.
3. Port Knocking
Di firewall kita akan meload ke router nanti kita bahas dibagi menjadi 2 bagian :
1. daftar alamat device yang bisa diakses router.
2. semua device yang lain punya batas waktu untuk akses ke router.
Satu hal bahwa semua perangkat lain yang hanya terbatas bagi mereka yang tidak memiliki
Winbox / SSH / telnet akses ke router, yang kadang-kadang berarti Anda tidak bisa
memasukinya. Salah satu cara untuk sementara membolehkan akses penuh ke router adalah port
ketukan.
port knocking RouterOs adalah salah satu cara untuk menambahkan alamat IP dinamis ke dalam
daftar alamat untuk jumlah waktu yang ditentukan. Cara kerjanya adalah seperti ini.
Jadi dengan ini client dibatasi waktu aksesnya ke router. ini membuat router lebih aman.
bagi yang belum punya softwarenya silahkan didownload di
http://www.zeroflux.org/proj/knock/files/knock-cygwin.zip
Knock.exe port:protocol port:protocol port:protocol…
Knock.exe 192.168.0.2 1337:tcp 7331:tcp
Meskipun fitur ini berguna namun dalam keamanan, dalam aturan firewall saya akan
menunjukkan aturan yang digunakan untuk membuat sebuah port knocking, jika Anda keluar
dari aturan ini maka tidak ada port knocking di router anda.
4. Loading A Firewall
Yups sekarang saatnya kita membahas tentang firewall, sekarang router Anda sudah aman dari
akses oleh password, tetapi password merupakan salah satu lapisan keamanan - bukan hanya
lapisan. Script ini berdasarkan firewall digunakan pada router MT demo tetapi memiliki
beberapa perubahan disana, hanya melindungi router dan tidak 'foward' dalam aturan firewall.
/ ip firewall filter
add chain=input protocol=tcp dst-port=1337 action=add-src-to-address-list address-list=knock \
address-list-timeout=15s comment="" disabled=no
add chain=input protocol=tcp dst-port=7331 src-address-list=knock action= add-src-to-address-
list \ address-list=safe address-list-timeout=15m comment="" disabled=no
Pada peraturan setup port knocking, setup diatas digunakan pada contoh kami akan gunakan
untuk menambahkan alamat IP agar 'aman'-daftar alamat ini adalah alamat yang digunakan
dalam daftar ini firewall untuk mengizinkan penuh akses ke router.
Aturan ini merupakan aturan yang memungkinkan akses penuh ke router untuk alamat IP
tertentu, ini berisi daftar IP statis untuk masukan dari Anda akan selalu memiliki akses dan juga
berisi IP dinamis dari orang-orang ditambah port knocking jika digunakan.
add chain=input protocol=tcp psd=21,3s,3,1 action=drop comment="detect and drop port scan
connections" disabled=no
add chain=input protocol=tcp connection-limit=3,32 src-address-list=black_list action=tarpit \
comment="suppress DoS attack" disabled=no
add chain=input protocol=tcp connection-limit=10,32 action= add-src-to-address-list \ address-
list=black_list address-list-timeout=1d comment="detect DoS attack" disabled=no
Ini adalah aturan dari sedikit reaktif ke DoS dan yang mencoba untuk menggunakan port
scanner, port scan adalah menurun tetapi serangan DoS adalah 'tarpitted' dalam bahwa semua
koneksi yang diperlambat bawah untuk meningkatkan penggunaan sumber daya pada perangkat
penyerang.
add chain=input protocol=icmp action=jump jump-target=ICMP comment="jump to chain
ICMP" disabled=no
add chain=input action=jump jump-target=services comment="jump to chain services"
disabled=no
2 peraturan ini beralih ke rantai kita akan membuat, jumping adalah berguna karena
memungkinkan Anda untuk kembali aturan yang sama di berbagai rantai (Ie Input dan Forward
dapat beralih ke rantai yang sama dan menjalankan peraturan yang sama)
Dan ini merupakan aturan yang menolak semua akses ke router, lalu lintas jika belum diterima
oleh aturan-aturan di atas maka akan drop.
Aturan-aturan ini membentuk 'ICMP' rantai yang kami melompat dari prediksi, ia terbatas
berbagai paket ICMP untuk menghentikan orang-orang yang ping flooding oleh attacker.
Ini adalah layanan yang kami Izinkan setiap mengakses, karena Anda dapat melihat kebanyakan
mereka dinonaktifkan secara default. Satu-satunya adalah layanan yang memungkinkan pribadi
saya merasa harus selalu dapat diakses.
• Mac-Telnet
• Bandwidth Test Server
• MT Discovery
Semua layanan lainnya hanya boleh diaktifkan bila mereka merasa diperlukan, menjalankan
script ini pada produksi router yang sudah dikonfigurasi akan menyebabkan ia terjatuh ke IPSec,
BGP, dan EOIP a bunch dari layanan lainnya, jadi harus diperiksa aturan2 tersebut, jangan asal
copy paste. Sekali lagi baca dengan teliti, dan seksama untuk menerapkan aturan ini.
sekarang tinggal mau diset berapa, klo saya 300 baris log untuk memori tapi klo hardisk saya
kasih 1000 baris log.
/system logging action print
/system logging action set 0 disk-lines=XXX
/system logging action set 1 disk-lines=XXX
atau sekarang bisa juga kita buat aturan bahwa log tidak di memori namun langsung tersimpan di
hardisk, caranya adalah seperti dibawah ini :
/system logging action add target=disk disk-lines=XXX name=FirewallHits
Kemudian kita mengubah logging tindakan untuk menghentikan firewall clogging up log
/system logging print
/system logging set 0 topics=info,!firewall
Dan sekarang kita atur agar semua firewall hits mendapatkan dikirim ke sasaran baru.
/system logging add topics=firewall action=FirewallHits
Jangan lupa untuk menambahkan ': 514' di bagian akhir alamat IP seperti ini menentukan port
yang digunakan.
Setelah kami telah mengatur IP kita dapat maju dan menambahkan sebuah aturan untuk masuk
ke semua daemon
/system logging add action=remote topics=info,warning,critical,firewall,error prefix="RouterId"
setelah itu periksalah tiap hari log tersebut, jangan hanya akan menjadi file sampah ya...
1. vi /etc/rc.conf
syslogd_enable="YES" # Run syslog daemon (or NO). syslogd_program="/usr/sbin/syslogd" #
path to syslogd, if you want a different o syslogd_flags="" # Flags to syslogd (if enabled).
(By default into "syslogd_flags" set "-s" option. Don't forget remove it. The "-a" options are
ignored if the "-s" option is also specified. See man syslogd. )
2. vi /etc/syslog.conf
+@ # syslog settings of current system +* # + *.* /var/log/mikrotik.log +*
3. /etc/rc.d/syslogd restart