April 26, 2025
Rufaidah-network
Pendahuluan: Pada kondisi tertentu, ada perangkat (contohnya STB berbasis Linux) yang bisa membuat gangguan serius dalam jaringan. Perangkat ini bisa melakukan:
-
Membuat virtual LAN/WiFi palsu.
-
Menghabiskan IP Pool dengan IP dan MAC Address random.
-
Menyebabkan DHCP server resmi tidak berfungsi.
-
Merusak performa jaringan secara keseluruhan.
Masalah ini tidak berupa brute-force ke layanan, melainkan serangan ke level jaringan (Layer 2 & 3), berupa IP Exhaustion, MAC Spoofing, dan Rogue DHCP Attack.
Penanggulangan di Server Gateway Linux:
-
Blokir DHCP Offer Palsu
-
Gunakan ebtables untuk memblokir DHCP Offer yang tidak berasal dari server sah.
ebtables -A INPUT -p IPv4 --ip-proto udp --ip-dport 68 --ip-sport 67 -j DROP -
-
Whitelist DHCP Server Sah
-
Terima DHCP hanya dari MAC Address server sah.
ebtables -A INPUT -p IPv4 --ip-proto udp --ip-dport 68 --ip-sport 67 --among-src 00:11:22:33:44:55 -j ACCEPT(Ganti
00:11:22:33:44:55dengan MAC server DHCP resmi). -
-
Monitoring ARP aneh
-
Gunakan
arpwatchuntuk mendeteksi perubahan MAC/IP yang tidak wajar.
-
Script Linux Gateway Otomatis:
#!/bin/bash
# MAC address server DHCP sah
TRUSTED_MAC="00:11:22:33:44:55"
# Flush aturan sebelumnya
ebtables -F
# Drop semua DHCP Offer
ebtables -A INPUT -p IPv4 --ip-proto udp --ip-dport 68 --ip-sport 67 -j DROP
# Kecualikan server DHCP sah
ebtables -I INPUT -p IPv4 --ip-proto udp --ip-dport 68 --ip-sport 67 --among-src $TRUSTED_MAC -j ACCEPT
# Jalankan arpwatch
service arpwatch start
echo "Proteksi DHCP dan ARP Monitoring diaktifkan."
Penanggulangan di Mikrotik:
-
Aktifkan DHCP Snooping
/interface bridge settings set use-ip-firewall=yes /interface bridge set bridge1 dhcp-snooping=yes /interface bridge port set [find where interface="ether1"] trusted=yes -
Set Interface ARP Mode ke Reply Only
/interface ethernet set [find where name="ether2"] arp=reply-only -
Firewall untuk DHCP Protection
/ip firewall filter add chain=input protocol=udp dst-port=67-68 src-port=67-68 action=drop in-interface=bridge1 /ip firewall filter add chain=input protocol=udp dst-port=67 src-address=192.168.1.1 action=accept in-interface=bridge1(Ganti
192.168.1.1dengan IP server DHCP resmi). -
Monitoring Traffic Abnormal
-
Gunakan Torch dan IP Scan untuk mendeteksi device yang mencurigakan.
-
Script Mikrotik Otomatis:
/interface bridge settings
set use-ip-firewall=yes
/interface bridge
set bridge1 dhcp-snooping=yes
/interface bridge port
:foreach i in=[/interface bridge port find] do={
/interface bridge port set $i trusted=no
}
/interface bridge port set [find where interface="ether1"] trusted=yes
/interface ethernet
set [find where name="ether2"] arp=reply-only
/ip firewall filter
add chain=input protocol=udp dst-port=67-68 src-port=67-68 action=drop in-interface=bridge1
add chain=input protocol=udp dst-port=67 src-address=192.168.1.1 action=accept in-interface=bridge1
Strategi Utama:
| Layer | Strategi | Tools |
|---|---|---|
| Layer 2 | DHCP Snooping, ARP Reply Only | Mikrotik Bridge, ebtables |
| Layer 3 | Firewall DHCP Filter | Mikrotik, iptables |
| Monitoring | Deteksi ARP aneh | Torch, arpwatch |
Kesimpulan: Dalam menghadapi serangan jaringan model ini, kunci utamanya adalah:
-
Membatasi siapa yang boleh melakukan DHCP Offer.
-
Membatasi siapa yang boleh berkomunikasi di jaringan (ARP filtering).
-
Deteksi dan respon cepat terhadap perangkat yang berperilaku abnormal.
Jika perlu, isolasi device bermasalah ke VLAN terpisah agar tidak mengganggu jaringan utama.
0 Comments:
Posting Komentar