Strategi Mengatasi Port Scanning dengan Tarpit di Firewall MikroTik

Dalam dunia keamanan siber, port scanning adalah teknik yang sering digunakan oleh penyerang untuk mengidentifikasi layanan yang berjalan pada sebuah sistem. Meskipun port scanning dapat digunakan untuk tujuan yang sah, seperti mengaudit keamanan jaringan, ia juga memiliki banyak bahaya yang perlu diwaspadai. Dalam artikel ini, kita akan membahas apa itu port scanning, bagaimana cara kerjanya, dan risiko yang dapat ditimbulkannya.

Apa itu Port Scanning?

Port scanning adalah proses mengirimkan paket data ke berbagai port pada sebuah sistem untuk menentukan port mana yang terbuka dan mendengarkan permintaan. Setiap port pada sistem memiliki nomor yang berbeda, dan setiap nomor dapat menunjukkan jenis layanan yang berjalan. Misalnya, port 80 biasanya digunakan untuk HTTP, sedangkan port 443 digunakan untuk HTTPS. Dengan mengetahui port mana yang terbuka, penyerang dapat mengidentifikasi potensi celah keamanan yang bisa dieksploitasi.

Cara Kerja Port Scanning

Ada beberapa teknik port scanning yang umum digunakan, antara lain:

1. TCP Connect Scan: Metode ini mencoba untuk membangun koneksi penuh ke port yang ditargetkan. Jika koneksi berhasil, port tersebut dianggap terbuka.

2. SYN Scan: Teknik ini hanya mengirimkan paket SYN untuk memulai koneksi. Jika port terbuka, sistem target akan merespons dengan paket SYN-ACK. Jika port tertutup, sistem akan mengirimkan paket RST.

3. UDP Scan: Berbeda dengan TCP, UDP tidak melakukan handshaking. Oleh karena itu, teknik ini lebih kompleks dan dapat memerlukan waktu lebih lama untuk mendapatkan hasil.
   

Bahaya Port Scanning

1. Identifikasi Kerentanan: Dengan melakukan port scanning, penyerang dapat dengan mudah menemukan layanan yang rentan dan berpotensi mengeksploitasi celah tersebut. Misalnya, jika mereka menemukan versi perangkat lunak yang usang, mereka dapat menggunakan exploit yang dikenal untuk menyerang sistem tersebut.

2. Serangan Berantai: Jika satu sistem dalam jaringan berhasil diserang, penyerang dapat menggunakan informasi yang diperoleh dari port scanning untuk menargetkan sistem lain dalam jaringan yang sama.

3. Deteksi dan Pemantauan: Meskipun port scanning adalah langkah awal dalam serangan, aktivitas ini juga bisa menimbulkan alarm di sistem keamanan. Namun, penyerang yang mahir dapat melakukan teknik yang lebih canggih untuk menghindari deteksi, membuat port scanning semakin berbahaya.

4. Risiko Hukum: Melakukan port scanning tanpa izin dianggap sebagai tindakan ilegal di banyak yurisdiksi. Hal ini dapat berujung pada tuntutan hukum, denda, atau bahkan penjara.

5. Penggunaan Sumber Daya: Port scanning dapat menghabiskan sumber daya jaringan dan perangkat, mengganggu operasi bisnis yang normal. Ini juga dapat menyebabkan penurunan kinerja sistem, yang mungkin memengaruhi layanan yang disediakan.

Cara Mengatasi Port Scanning

    Port scanning adalah teknik yang digunakan untuk menemukan layanan yang berjalan di suatu host. Untuk mengatasi ini, Anda bisa menggunakan fitur tarpit di MikroTik. Tarpit dapat memperlambat atau menghentikan upaya pemindai dengan menjebak koneksi yang tidak diinginkan. Caranya adalah dengan mengonfigurasi firewall untuk mengidentifikasi koneksi mencurigakan dan mengarahkan mereka ke tarpit. Dengan ini, Anda dapat mencegah akses tidak sah sambil mengumpulkan informasi tentang pemindai, yang membantu Anda memahami pola serangan dan meningkatkan keamanan jaringan Anda.Berikut adalah perintah menambahkan firewall tarpit:

 /ip firewall filter
add action=accept chain=input disabled=yes dst-port=21,22,23,80 protocol=tcp \
    src-address-list=accept
add action=tarpit chain=input dst-port=21,22,23,80 in-interface=bridge1 \
    protocol=tcp

Berikut adalah penjelasan dari masing-masing bagian:

/ip firewall filter: Ini adalah konteks di mana Anda mengatur aturan firewall.

add action=accept chain=input disabled=yes dst-port=21,22,23,80 protocol=tcp src-address-list=accept:

• action = accept: Menetapkan tindakan untuk menerima koneksi.
• chain = input: Menunjukkan bahwa aturan ini berlaku untuk koneksi yang masuk ke router.
• disabled = yes: Aturan ini saat ini dinonaktifkan (tidak berfungsi).
• dst-port = 21,22,23,80: Menentukan port tujuan yang akan diterima (FTP, SSH, Telnet, HTTP).
• protocol = tcp: Mengatur aturan ini hanya untuk protokol TCP.
• src-address-list = accept: Mengizinkan koneksi hanya dari alamat yang terdaftar dalam daftar yang disebut "accept".

add action=tarpit chain=input dst-port=21,22,23,80 in-interface=bridge1 protocol=tcp:

• action = tarpit: Menetapkan tindakan untuk menjebak koneksi yang masuk.
• chain = input: Aturan ini juga berlaku untuk koneksi yang masuk.
• dst-port = 21,22,23,80: Menerapkan aturan ini pada port tujuan yang sama (FTP, SSH, Telnet, HTTP).
• in-interface = bridge1: Menunjukkan bahwa aturan ini berlaku untuk antarmuka yang disebut "bridge1".
• protocol = tcp: Mengatur aturan ini hanya untuk protokol TCP.

Setelah menambahkan perintah di atas ketika ip target ketika kita scan akan muncul port 21,23,80,22 terdiscover seperti gambar di bawah ini.

Namun akses remot akan drop sehinggan tidak bisa masuk melalui service tersebut,berikut  contoh gambar akses telnet yang telah di drop firewall.

 

Gambar di atas adalah test akses remot melalui port 23 telnet yang telah di drop menggunakan firewall tarpit. dengan demikian anda sudah satu langkah menambah keamanan pada perangkat jaringan anda selamat mencoba.