Brute Force

Untuk menangkal serangan brute force di atas, saya mencoba untuk memasukkan beberapa rules firewall simple yang saya dapatkan di forum mikrotik. Berikut saya tulis ulang rules nya dengan sedikit penjelasan :

/ip firewall filter
add chain=forward in-interface=pppoe-speedy out-interface=CLIENT dst-address=10.10.10.0/27 action=accept comment="Allow all Internet access to CLIENT"
add chain=input in-interface=pppoe-speedy protocol=tcp dst-port=8291 action=accept comment="Allow Remote WinBOX from Public"
add chain=input in-interface=pppoe-speedy protocol=udp src-port=53 action=accept comment="Allow DNS Traffic"
add chain=input in-interface=pppoe-speedy protocol=icmp action=accept comment="Allow Ping Traceroute Traffic"
add chain=input in-interface=pppoe-speedy connection-state=new action=add-src-to-address-list address-list=block address-list-timeout=30m comment="Log denied IP"
add chain=input in-interface=pppoe-speedy action=drop comment="DROP all access" disabled=no

pppoe-speedy: Interface out ke publik
client: Interface out ke client
IP range: 10.10.10.0/27

Setelah apply rules di atas dalam router board, berikut ini hasilnya

Block port

Address List

Posisi routerboard saya sebagai dial-out, dan modem dari ISP (Speedy) saya dalam posisi bridging. Jika posisi router Anda tidak seperti dalam tutorial ini, kemungkinan Anda tidak memerlukan tutorial ini, hehehe.. Sekian tutorial kali ini, semoga bermanfaat, dan terima kasih untuk Anda yang sudah membaca

• 2 ISP + 2 Gateway dalam satu Router Mikrotik
• DynDNS Mikrotik Script
• Mikrotik Script Maker [KotjokDjaja Team]

Topologinya kira-kira seperti ini :

    ISP GAME
(172.21.138.1/30)
       |       (172.21.138.2/30)
       |------------- RB ---------- CLIENT (192.168.69.0/24)
       |       (172.22.138.2/30)
(172.22.138.1/30)
  ISP BROWSING

ISP Game menggunakan eth0 (172.21.138.1/30), ISP Browsing menggunakan eth1(172.22.138.1/30) dan CLIENT (192.168.69.0/24) menggunakan eth3. Dan untuk default gatewaynya, kita tentukan untuk ISP Game. Kenapa ? Karena port untuk game sangat bervariasi dan kemungkinan besar kita akan repot ke depannya kalau harus listing listen port pada game-game yang berbeda, jadi untuk memudahkan, kita buat default gateway ke ISP Game.

Sekarang kita setting untuk IP Route terlebih dahulu, kira-kira seperti di bawah ini :

/ip route
add dst-address=0.0.0.0/0 gateway=172.21.138.2 comment="Default Gateway"
add dst-address=0.0.0.0/0 gateway=172.21.138.2 routing-mark="Jalur ISP Game"
add dst-address=0.0.0.0/0 gateway=172.22.138.2 routing-mark="Jalur ISP Browsing"

Kemudian kita Setting Rule di mangle supaya masing-masing dari koneksi kita bisa di akses dari luar

/ip firewall mangle
add chain=input connection-state=new in-interface="eth0" dst-address-type="!local" action=mark-connection new-connection-mark="gateway-game-conn"
add chain=input connection-state=new in-interface="eth1" dst-address-type="!local" action=mark-connection new-connection-mark="gateway-browsing-conn"
add chain=output connection-mark="gateway-game-conn" action=mark-routing routing-mark="jalur-game"
add chain=output connection-mark="gateway-browsing-conn" action=mark-routing routing-mark="jalur-browsing"

Konfigurasi Forward rules pada bagian NAT

/ip firewall nat
add chain=dstnat protocol=tcp dst-port=!21,80,443,5050 in-interface=eth0 action=dst-nat to-addresses=192.168.69.0/24 to-ports=!21,80,443,5050
add chain=dstnat protocol=tcp dst-port=21,80,443,5050 in-interface=eth1 action=dst-nat to-addresses=192.168.69.0/24 to-ports=21,80,443,5050

Selesai! Silakan di koreksi kalau ada kesalahan di penulisan format di atas Terima kasih dan selamat mencoba

• Prevent bruteforcing on Mikrotik Router Board
• DynDNS Mikrotik Script
• Mikrotik Script Maker [KotjokDjaja Team]

Setelah melakukan create script DOTA menggunakan tools MSM (Mikotik Script Maker) di v1 di atas, sebagai contoh, berikut ini contoh script hasil generate dari MSM.

{
:local ipnya
:set ipnya "192.168.79."
:local iprouternya
:set iprouternya 1
:local publicnya
:set publicnya "127.0.0.1"
:local portnya
:set portnya 6112
:local startipnya
:set startipnya 1
:local endipnya
:set endipnya 14
:for i from=$startipnya to=$endipnya do={
	/ip firewall nat add chain=srcnat src-address=($ipnya . "0/28") dst-address=($ipnya . $i) protocol=tcp dst-port=($portnya) action=src-nat to-addresses=($ipnya . $iprouternya) to-ports=0-65535 comment="$portnya"
	/ip firewall nat add chain=dstnat dst-address=($publicnya) protocol=tcp dst-port=($portnya) action=dst-nat to-addresses=($ipnya . $i) to-ports=$portnya comment="IP Public Dota"
:set portnya ($portnya + 1)}
}

Paste script di atas ke terminal RB Anda, kemudian lihatlah /ip firewall nat

Winbox

Script BNet Dota

Mungkin beberapa dari Anda bertanya kenapa IP Public di atas saya set terlebih dahulu 127.0.0.1 ? Iya, karena hanya untuk inisialisasi saja Bisa diganti apa pun, asalkan format-nya ip.ad.dr.es, kemudian setelah semua dasar-dasar script BNet dota di atas sudah masuk ke dalam rules Anda, sekarang saatnya membuat script untuk update IP Publicnya

Sebelum masuk ke Scripts, requirements yang dibutuhkan untuk melakukan tutorial ini adalah posisi RB atau Router mikrotik Anda sebagai dial ke ISP Anda (saya menggunakan speedy). Selanjutnya, masuk ke bagian System | Scripts pada Winbox Anda, kemudian tambahkan new scripts :

Add Script

Kemudian akan muncul window seperti di bawah ini :

dotaScript

Beri nama sesuai keinginan Anda, pada contoh kali ini, saya memberikan nama script ini adalah dotaScript.

Paste script di bawah ini, pada bagian text area Source pada window di atas :

:local addr [/ip address get [/ip address find interface=pppoe-speedy] address]
/ip firewall nat set [/ip firewall nat find comment="IP Public Dota"] dst-address=[ick $addr 0 ([:len $addr]-3)]

Pada baris pertama, ganti dengan nama pppoe dial Anda, dalam contoh tutorial ini, nama dial pppoe saya adalah pppoe-speedy. Kemudian fungsi baris kedua adalah untuk mencari baris mana yang IP nya akan diganti dengan bermodalkan (halah bahasanya) comment yang sudah di inisialisasi sebelumnya. Setelah itu, klik OK.

Langkah kedua, adalah membuat system scheduler dengan cara masuk ke System | Scheduler, klik tombol add, dan lihat contoh gambar di bawah ini :

dotaSchedule

Pada bagian start date dan start time, cocokan dengan time pada mikrotik Anda. Isi terserah dengan kemauan Anda, intinya, schedule ini akan di jalankan pada jam dan waktu kapan. Kemudian pada bagian interval, saya memasukkan angka 10 pada baris kedua, yang artinya tiap 10 menit, schedule ini akan dijalankan

10 Menit berikutnya, mari kita lihat apakah script dan schedule nya berjalan dengan benar

Match!

Voila!

Greetz :

[+] Mikrotik Forum
[+] Antihackerlink
[+] Kocok Jaya Team
[+] ISN Forum #183 Kaskus
[+] TKP Crew
[+] lirva32, LucuBRB, movzx, reges, dllsb yg ga cukup kalo disebut di sini, hehe
[+] and YOU!

Sssst:

Kemungkinan prototype ini bakalan di release pada MSM versi berikutnya, beserta DynDNS Mikrotik script yang pernah saya posting sebelumnya

:local addr [/ip address get [/ip address find interface=pppoe-speedy] address]
/ip firewall nat set [/ip firewall nat find comment="IP Public Dota"] dst-address=[ick $addr 0 ([:len $addr]-3)]

• No Related Post

Bandwidth Tester

Di bagian address-nya, isi dengan IP Mikrotik Router, kemudian pilih protocolnya (TCP/UDP). Pilih apa yang ingin dilakukan testing para troughput-nya, apakah send atau receive ataukah kedua-duanya dalam waktu yang bersamaan, dalam contoh di atas saya memilih both, artinya pengujian send/receive dilakukan secara bersamaan.

Jangan lupa masukkan username dan password untuk login ke mikrotik router Anda. Untuk melakukan pengujian besar troughput yang Anda dapatkan (dari router ke pc Anda), tinggal klik start jika semua konfigurasi di atas sudah benar. Dan hasilnya akan keluar seperti di bawah ini :

Troughput

Dari hasil pengujian di atas, maka saya mendapatkan informasi, bahwa troughput yang saya dapatkan apabila saya melakukan pengiriman dan/atau penerimaan data secara bersamaan, maka kecepatan data yang saya dapatkan adalah 25.6Mbps untuk transfer data dari Mikrotik ke PC saya, dan 10.7 Mbps dari PC saya ke mikrotik.

Cukup sekian dan semoga bermanfaat

• No Related Post

Tanpa panjang lebar, dikarenakan bridged mode itu lah, untuk fitur vNAT dan DDNS nya pasti amburadul. Berikut di bawah ini script asli dari wiki mikrotik yang saya tulis ulang dan saya sesuaikan dengan mikrotik saya (RB750 OS 3.30) :

:local ddnsuser "dewanggaba"
:local ddnspass "anggaganteng"
:local theinterface "pppoe-speedy"
:local ddnshost "inmy.mine.nu"
:local ipddns [:resolve $ddnshost];
:local ipfresh [ /ip address get [/ip address find interface=$theinterface ] address ]
:if ([ :typeof $ipfresh ] = nil ) do={
 :log info ("DynDNS: No ip address on $theinterface .")
} else={
 :for i from=( [:len $ipfresh] - 1) to=0 do={
 :if ( [ick $ipfresh $i] = "/") do={
 :set ipfresh [ick $ipfresh 0 $i];
 }
}

:if ($ipddns != $ipfresh) do={
 :log info ("DynDNS: IP-DynDNS = $ipddns")
 :log info ("DynDNS: IP-Fresh = $ipfresh")
 :log info "DynDNS: Update IP needed, Sending UPDATE...!"
 :local str "/nic/update?hostname=$ddnshost&myip=$ipfresh&wildcard=NOCHG&mx=NOCHG&backmx=NOCHG"
 /tool fetch address=members.dyndns.org src-path=$str mode=http user=$ddnsuser password=$ddnspass dst-path=("/DynDNS.".$ddnshost)
 elay 1
 :local str [/file find name="DynDNS.$ddnshost"];
 /file remove $str
 :global ipddns $ipfresh
 :log info "DynDNS: IP alterado para $ipfresh!"
 } else={
 :log info "DynDNS: Nao Necessita Ser Alterado";
 }
}

Untuk memasukkan script di atas, cukup login ke Winbox, kemudian ke /system/scripts :

Mikrotik DDNS Script

Kemudian, supaya script ini berjalan secara continue untuk ke depannya, maka perlu ditambahkan schedule Berikut script tinggal copas ke terminal

/system scheduler add name=dynDns interval=00:01 on-event="/system  script run dynDNS\r\n"

Voila!

• Prevent bruteforcing on Mikrotik Router Board
• 2 ISP + 2 Gateway dalam satu Router Mikrotik
• Mikrotik Script Maker [KotjokDjaja Team]

Demo : http://www.antituhan.com/dev/nginx-modules/
How to install module :

./configure --add-module=../nginx-fancyindex-0.1_beta5

Patch : http://www.antituhan.com/dev/nginx-modules/extra-patch-ngx_http_fancyindex_module.txt

--- ../nginx-fancyindex-0.1_beta5/ngx_http_fancyindex_module.c.orig	2007-09-29 01:02:05.000000000 +0400
+++ ../nginx-fancyindex-0.1_beta5/ngx_http_fancyindex_module.c	2009-06-03 16:41:36.000000000 +0400
@@ -290,12 +290,12 @@
     ngx_http_fancyindex_entry_t *entry;

     off_t        length;
-    size_t       len, root, copy, allocated;
+    size_t       len, root, utf_len, allocated;
     u_char      *filename, *last, scale;
     ngx_tm_t     tm;
     ngx_array_t  entries;
     ngx_time_t  *tp;
-    ngx_uint_t   i;
+    ngx_uint_t   i, utf8;
     ngx_int_t    size;
     ngx_str_t    path;
     ngx_str_t    readme_path;
@@ -355,6 +355,15 @@
     filename = path.data;
     filename[path.len] = '/';

+    if (r->headers_out.charset.len == 5
+        && ngx_strncasecmp(r->headers_out.charset.data, (u_char *) "utf-8", 5)
+           == 0)
+    {
+        utf8 = 1;
+    } else {
+        utf8 = 0;
+    }
+
     /* Read directory entries and their associated information. */
     for (;;) {
         ngx_set_errno(0);
@@ -425,8 +434,8 @@
         entry->dir     = ngx_de_is_dir(&dir);
         entry->mtime   = ngx_de_mtime(&dir);
         entry->size    = ngx_de_size(&dir);
-        entry->utf_len = (r->utf8)
-            ?  ngx_utf_length(entry->name.data, entry->name.len)
+        entry->utf_len = utf8
+            ?  ngx_utf8_length(entry->name.data, entry->name.len)
             : len;
     }

@@ -563,12 +572,13 @@

         if (entry[i].name.len - len) {
             if (len > NGX_HTTP_FANCYINDEX_NAME_LEN) {
-                copy = NGX_HTTP_FANCYINDEX_NAME_LEN - 3 + 1;
+                utf_len = NGX_HTTP_FANCYINDEX_NAME_LEN - 3 + 1;
             } else {
-                copy = NGX_HTTP_FANCYINDEX_NAME_LEN + 1;
+                utf_len = NGX_HTTP_FANCYINDEX_NAME_LEN + 1;
             }

-            b->last = ngx_utf_cpystrn(b->last, entry[i].name.data, copy);
+            b->last = ngx_utf8_cpystrn(b->last, entry[i].name.data,
+                                       utf_len, entry[i].name.len + 1);
             last = b->last;

         } else {

• No Related Post

Pada file /etc/csf/csf.conf, rubah value :

[-] ETH_DEVICE_SKIP = ""
[+] ETH_DEVICE_SKIP = "tun0"

Kemudian buka file /etc/csf/csfpre.sh, isikan value di bawah ini dan simpan :

[+] iptables -t nat -A POSTROUTING -s 10.22.53.0/24 -o eth0 -j MASQUERADE
[+] iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
[+] iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT

Asumsikan bahwa interface eth0 sebagai interface public dan tun0 sebagai interface virtual (VPN). Kemudian untuk sourcenya, silakan disesuaikan dengan config VPN Server yang sudah Anda buat.

Sekarang buka file /etc/csf/csfpost.sh, isikan value di bawah ini dan simpan :

[+] service openvpn stop
[+] service openvpn start

Setelah semuanya selesai, sekarang restart csf Anda.

$ service csf restart

Done, NAT untuk VPN sudah di skip dari rules csf

• No Related Post

Setelah semua setup selesai kita lakukan (WebServer Daemon, FTP Daemon, dan beberapa service yang dibutuhkan lainnya), sekarang kita melakukan basic server hardening dimulai dari local. Yang pertama, mungkin men-disable beberapa function critical dari PHP. Apa saja yang perlu saya disable ? Masuk ke file php.ini, kalau belum ada silakan dibuat di /usr/local/lib/php.ini kemudian masukkan value ini :

disable_functions = closelog,debugger_off,debugger_on,define_syslog_variables,escapeshellarg,escapeshellcmd,exec,ini_restore,openlog,passthru,pclose,pcntl_exec,popen,proc_close,proc_get_status,proc_nice,proc_open,proc_terminate,shell_exec,syslog,system,url_exec
register_globals = 0
expose_php = 0

Setelah config php.ini selesai, kita lanjut ke hardening server menggunakan CSF (ConfigServer Firewall). Sesuai namanya, CSF ini bertugas untuk membatasi akses yang masuk dari luar ke server. Sebenarnya, firewall standar linux itu menggunakan iptables (untuk bsd biasa disebut pf). CSF ini tetap menggunakan rules iptables, namun penggunaannya dipermudah. Mari kita lanjutkan ke instalasi sampai konfigurasi-nya :

$ cd /usr/local/src
$ wget http://www.configserver.com/free/csf.tgz
$ tar xzf csf.tgz
$ mv csf ../; cd ../csf
$ sh install.sh1
$ perl /etc/csf/csftest.pl2

Setelah proses checking iptables modules yang dibutuhkan oleh CSF, sekarang kita check apakah sebelumnya di box ini sudah terinstall CSF apa belum. Caranya masukkan perintah di bawah ini :

sh /etc/csf/remove_apf_bfd.sh

Selesai instalasi di atas, sekarang kita lakukan configurasi standard supaya csf enabled dan running. Berikut backup csf.conf saya, silakan dipergunakan dan disesuaikan sendiri Jangan lupa backup konfigurasi Anda terlebih dahulu!

Kemudian coba jalankan csf dengan cara :

$ service csf start

Dan jangan lupa untuk melakukan instalasi ClamAV pada server Anda (jika server Anda digunakan untuk public), fungsi ini hanya optional jika memang hanya Anda yang menggunakan box ini.

Mungkin hanya sedikit yang bisa saya tuliskan, jika ada kritik dan saran, silakan disampaikan di bagian comments.

¹$ sh install.sh

$ ./install.sh
Checking for perl modulesfailed
You need to install the LWP perl module (libwww-perl) and then install csf

Kalau muncul error di atas, berarti libwww-perl di box belum terinstall, kita harus menginstall-nya terlebih dahulu. Mudahnya, kita hanya butuh download dari repository CentOS ajah Masukkan perintah ini :

yum install perl-libwww-perl

Kemudian jalankan kembali perintah install.

²$ perl /etc/csf/csftest.pl

[root@ctf xnitro]# perl /etc/csf/csftest.pl
Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing ipt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK

RESULT: csf should function on this server

*jika tidak ada error, lanjutkan!

• No Related Post

Intel(R) Xeon(R) X3220 @ 2.4GHz
4 x 2GB of RAM
230GB SATA2 HDD
100Mbps OpenIXP, 256Kbps IX
OS : CentOS Linux 5.4

Semua perangkat dan jaringan disupport penuh oleh Maxindo Mitra Solusi & Indowebster. Thanks juga untuk Blackberry Corner, #antihackerlink, DraCoola Multimedia, TKP Crew.

• No Related Post

• aplikasi yang mendukung TCP dan DNS tunneling melaui proxy
• aplikasi yang mendukung proxy HTTP, SOCKS4 dan SOCKS 5
• mendukung penggunaan proxy dengan tipe berbeda pada rantai yang sama
• membuat rantai proxy: menggabungkan beberapa proxy dalam satu rantai

pemanfaatan proxychains :

• menjalankan aplikasi melalui proxy server
• mengakses internet dari jaringan yang dibatasi oleh firewall
• menyembunyikan IP
• menjalankan SSH, telnet, wget, ftp, apt, vnc, nmap, dan lain-lain melalui proxy
• mengakses intranet (192.168.x.x/10.x.x.x) dari luar melalui reverse proxy

proses instalasi dari source :

• download source dari situsnya
• unpack dengan perintah (ganti x sesuai versi)

  tar -xzvf proxychains-x.x.tar.gz

• masuk ke direktori hasil unpacking (ganti x sesuai versi)

  cd proxychains-x.x

• configure, make (menggunakan lebih dari 1 thread biar cepat) dan install

  ./configure && make -j3 && sudo make install-strip

• edit file konfigurasi proxychains yaitu "/etc/proxychains.conf" sesuai kebutuhan

contoh penggunaan proxychains untuk SSH tunneling :

• buat tunnel menggunakan ssh (*nix) atau putty (Win32)

  ssh -fNC -D 8888 someone@somewhere.net

• check apakah tunnel sudah aktif

  netstat -an | grep 8888

• edit file konfigurasi proxychain (/etc/proxychains.conf), tambahkan baris berikut setelah "[ProxyList]"

  socks5    127.0.0.1 8888

• jalankan aplikasi yang ingin dilewatkan melalui proxy menggunakan perintah "proxychains nama_aplikasi" , misalnya

  proxychains lynx http://www.checkip.org/

• dengan cara di atas, maka lynx akan berjalan dengan menggunakan SSH tunnel yang sudah diaktifkan sebelumnya

Terima kasih :

Tuhan Yang Maha Esa, TKP Crew, Anya, Pinczakko, D3L and you

• No Related Post