Konfigurasi Port Scan Detection untuk Mengamankan Router Mikrotik

Pada tutorial ini kita akan membahas tentang Port Scan Detection.

Port Scanning adalah indikasi awal akan adanya serangan pada router kita. Cara kerja dari port scan sendiri adalah digunakan untuk mengetahui port-port mana saja yang terbuka pada sebuah router. Meskipun port yang terbuka ini tidak bisa langsung di eksploitasi oleh pihak-pihak yang tidak bertanggung jawab, port yang terbuka ini bisa jadi berbahaya jika ada kesalahan konfigurasi, security yang lemah atau terdapat bug pada servicenya.

Daftar isi
Apa itu Port Scanning?
Setting IP Firewall
Port Scan Detection dan Cara Kerjanya
Membuat Rule Drop Connection
Pengujian Port Scan Detection
Script Port Scan Detection
Kesimpulan

Untuk menangani port scanning ini, router mikrotik sudah menyediakan fitur yang bernama Port Scan Detection. Fitur ini bisa kalian akses pada tab Extra pada menu Filter Rules dan disini kita akan membahas bagaimana cara untuk konfigurasi dari fitur Port Scan Detection ini.

Skema jaringan yang kita gunakan pada tutorial ini cukup simpel, kita menggunakan router RB750gr3 yang dimana ether1 terhubung ke ISP dan ether2 terhubung ke laptop yang digunakan untuk melakukan konfigurasi. Karena ether1 atau interface yang terhubung ke internet memerlukan keamanan ekstra, maka disini kita akan melakukan konfigurasi port scan detection ini pada ether1.

Baca juga :
Konfigurasi Dasar Router Mikrotik
Security Dasar Router Mikrotik
Melakukan Blocking Trafik Data Menggunakan Firewall Mikrotik

1. Buka Menu IP-Firewall
Pertama buka menu IP-Firewall, kemudian pada tab Filter Rules klik tombol + untuk menambahkan rule baru.

konfigurasi-port-scan-detection-untuk-mengamankan-router-mikrotik-1

Filter Rules Firewall untuk Konfirguasi Port Scan Detection

Untuk parameter yang diubah, pada bagian Chain pilih Input karena kita akan mengamankan router kita sendiri. Pada bagian Protocol pilih TCP karena sebagian service-service yang berjalan pada router kita menggunakan protocol TCP, tapi ini bergantung pada kondisi di lapangan atau kondisi masing-masing router kalian ya. Kemudian pada In Interface pilih interface yang terhubung ke Internet, pada tutorial ini kita pilih ether1.

Selanjutnya pindah ke tab Extra, kemudian klik pada parameter PSD untuk mengaktifkan konfigurasinya.

konfigurasi-port-scan-detection-untuk-mengamankan-router-mikrotik-2

Pindah ke Tab Extra untuk mengakses fitur Port Scan Detection

Pada gambar diatas terdapat 4 parameter :

Weight Threshold : Nilai total dari Low Port Weight dan Hight Port Weight untuk paket data yang dikirimkan oleh aplikasi Port Scanner ke port yang berbeda-beda. Rule PSD ini akan berjalan jika sudah mencapai nilai Weight Threshold. Defaultnya adalah 21.
Delay Threshold : Jeda waktu dari trafik/paket data yang dikirimkan oleh aplikasi port scanner dari sebuah host dengan tujuan port yang berbeda-beda. Defaultnya adalah 3 detik.
Low Port Weight : Nilai yang diberikan oleh sistem ketika ada trafik dari port scanner menuju Low Port atau Port dibawah 1024. Defaultnya adalah 3.
High Port Weight : Nilai yang diberikan oleh sistem ketika ada trafik dari port scanner menuju High Port atau Port diatas 1024. Defaultnya adalah 1.

Cara kerja dari fitur Port Scan Detection ini adalah router akan memberikan point setiap ada host yang mengirimkan request ke port yang berbeda-beda dalam rentang waktu yang sudah kita tentukan pada Delay Threshold yaitu 3 detik. Poin yang diberikan jika host mengirimkan request dari port 1 sampai 1024 akan sesuai dengan point yang sudah ditentukan pada Low Port Weight yaitu 3. Kemudian poin juga akan diberikan jika host mengirimkan request dari port diatas 1024 maka poin yang akan diberikan akan sesuai dengan High Port Weight yaitu 1.

Sebuah Host akan dianggap melakukan port scanning jika total pointnya sudah mencapai Weight Threshold yaitu 21 atau lebih dari 21.

Selanjutnya kita akan menambahkan host atau ip address yang melakukan port scanning ke dalam address list bernama Port Scanner, tujuannya untuk memudahkan kita dalam membuat rule lanjutan untuk para pelaku port scanner ini.

Caranya masuk ke tab Action, pada parameter Action pilih Add src to Address List, lalu pada parameter Address List kita beri nama port-scanner, kemudian untuk Timeout kita atur selama 1 jam. Selanjutnya klik Apply lalu OK.

konfigurasi-port-scan-detection-untuk-mengamankan-router-mikrotik-3

Menambahkan IP pelaku Port Scanning ke dalam Address List Port Scanner

2. Drop Connection

Selanjutnya untuk menangani agar tidak banyak port yang terbanyak dan host dari pelaku port scanner ini tidak bisa melakukan scan lebih lanjut, kita bisa melakukan drop koneksi dari jaringan kita. Kita membutuhkan 1 rule lagi untuk melakukan blocking koneksi yang bersumber dari address list Port Scanner yang sudah kita buat tadi.

Caranya pada kita tambahkan rule baru pada tab Filter Rules, klik tombol +. Pada parameter Chain pilih Input, lalu pindah ke tab Advanced pada parameter src Address List pilih address list yang sudah kita buat tadi yaitu port-scanner. Terakhir pindah ke tab Action dan pilih action Drop. Selanjutnya klik Apply lalu OK.

konfigurasi-port-scan-detection-untuk-mengamankan-router-mikrotik-4

Rule untuk melakukan block koneksi pada address list port scanner

Dengan konfigurasi Port Scan Detection ini, ketika ada host atau ip address yang melakukan port scanning, maka secara otomatis host atau ip address tersebut akan masuk ke address list port scanner.

konfigurasi-port-scan-detection-untuk-mengamankan-router-mikrotik-5

IP Address dari pelaku port scanning

Kemudian pada Jendela Filter Rules juga sudah menandakan terdapat counter paket dari rule Port Scan Detection yang tadi sudah kita buat.

konfigurasi-port-scan-detection-untuk-mengamankan-router-mikrotik-6

Counter Paket pada rule Port Scan Detection

Artinya rule Port Scan Detection ini sudah berjalan dan host atau Ip address pelaku port scanner ini sudah terblokir dan tidak bisa lagi terhubung ke jaringan kita.

Selain menggunakan cara diatas, kalian juga bisa menggunakan script untuk menambahkan rule PSD ini pada router kalian. Silahkan copy script dibawah ini dan pastekan pada terminal winbox kalian.

/ip firewall filter
add action=add-src-to-address-list address-list=port_scanners \
address-list-timeout=4w2d chain=input comment=\
"Add TCP Port Scanners to List" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=port_scanners \
address-list-timeout=4w2d chain=input comment="TCP FIN Stealth scan" \
protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=port_scanners \
address-list-timeout=4w2d chain=input comment="TCP SYN/RST scan" \
protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list=port_scanners \
address-list-timeout=4w2d chain=input comment="TCP FIN/PSH/URG scan" \
protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=port_scanners \
address-list-timeout=4w2d chain=input comment="ALL/ALL TCP Scan" \
protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=port_scanners \
address-list-timeout=4w2d chain=input comment="TCP NULL scan" protocol=\
tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="Drop All Port Scanners" \
src-address-list=port_scanners

Kesimpulan :
Selain menerapkan keamanan dasar pada router mikrotik, kita bisa menambahkan keamanan Port Scan Detection ini agar router kita bisa lebih aman dan memperkecil resiko router kita terkena serangan dari pihak-pihak yang tidak bertanggung jawab.

Sekian untuk tutorial kali ini, semoga ilmu yang kalian dapat dari tutorial ini bisa bermanfaat untuk kalian semua. Terima kasih.

Sumber & Referensi : Mikrotik Indonesia