Port Scan Detection (PSD) Mikrotik

Port Scanner merupakan aplikasi yang digunakan untuk melihat informasi atau status dari protocol dan port yang terbuka (open) dari sebuah perangkat. Dengan aplikasi ini bisa jadi merupakan sebuah awal dari dimulainya serangan terhadap sebuah resource di jaringan. Ketika informasi protocol/port sudah didapat maka ‘Hacker’ bisa memanfaatkan untuk melakukan eksploitasi dari protocol/port tersebut. Misal, salah satu contoh untuk serangan Distributed Denial of Service (DDoS). Banyak aplikasi yang bisa digunakan untuk melakukan port scanner yang umumnya seperti nmap, netcut, unicornscan.

Kali ini kita akan mencoba bagaimana mengamankan perangkat jaringan khususnya router dari port scanner. Di Mikrtoik sendiri sudah disediakan fitur untuk hal tersebut yaitu dengan Port Scan Detetction (PSD). Konfigurasinya bisa dilakukan pada menu firewall filter di Tab ‘Extra’.

Langkah awal, kita gunakan rule dengan pengaturan PSD untuk menangkap trafik port scanner dan memasukkan ‘Source IP Address‘ ke menu Address-list dengan nama port scanners, dengan waktu timeout 14 Hari.

/ip firewall filter 
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="Port scanners to list " \
protocol=tcp psd=5,3s,3,1

Setelah Source IP port scanners Berhasil datambahkan pada Address-list secara dinamic kita akan lakukan Drop menggunakan firewal RAW dengan script berikut

/ip firewall raw
add action=drop chain=prerouting src-address-list="port scanners"

*) Catatan:

Pada parameter PSD terdapat beberapa konfigurasi yang perlu di setting:

  • Weight Threshold : Nilai total dari ‘LowPortWeight’ dan ‘HighPortWeight’ untuk paket-paket TCP/UDP dengan tujuan port yang berbeda ynag berasal dari host/Source IP Address yang sama. Rule PSD akan berjalan ketika sudah mencapai nilai Weight Threshold ini. (Secara default nilainya adalah 21).
  • Delay Threshold : Merupakan nilai waktu jeda (delay) dari trafik/paket yang dikirimkan oleh aplikasi port sacnner dari sebuah host/Source IP Address yang sama dengan tujuan berbeda port. (Default adalah 00:00:03)
  • Low Port Weight : Sebuah nilai yang diberikan oleh system ketika terdapat trafik/paket dari Port Scanner yang memiliki destinasi ke ‘Low Port’. Disini yang dimaksud dari low port adalah port dibawah 1024 atau yang masuk dalam kategori System/Well-Known Port. Seperti port 80 (HTTP), 443 (HTTPS), 53 (DNS), 22 (SSH), 23 (Telnet), 110 (POP3), SMTP (25), dll.
  • High Port Weight : Sebuah nilai yang diberikan oleh system ketika terdapat trafik/paket dari Port Scanner yang memiliki destinasi ke ‘High Port’. Disini yang dimaksud dari high port adalah port yang diatas 1024 atau yang masuk dalam kategori registered port dan dynamic/private port. Seperti 3128 (Squid web-Proxy), 1080 (SOCKS Proxy), 1701 (L2TP), 1723 (PPTP), dll.
Secara garis besar mekanismenya adalah rule akan membaca trafik dari port scanner dan memberikan nilai dari port yang di-scan sesuai dengan nilai LOW PORT atau HIGH PORT WEIGHT. Setelah total ‘WEIGHT” mencapai nilai sesuai yang didefinisikan pada ‘Weight Threshold’ maka rule PSD akan dijalankan.

 

Referensi:  Mikrotik.co.id