Pencegahan Penyebaran Malware WannaCry dengan Mikrotik

Ransomware WannaCry beberapa hari terakhir telah menghebohkan dunia IT akibat serangannya yang begitu masif terjadi di banyak negara di dunia. 

Berdasarkan informasi dari Microsoft, malware ini memanfaatkan celah keamanan pada fitur SMB yang digunakan untuk file sharing di Windows. Di samping itu diketahui juga menyerang melalui fitur RDP. SMB berjalan di jaringan pada UDP 137,138 dan TCP 137,139, 445. Sedangkan RDP pada port 3389. 



Malware ini menyerang dengan cara melakukan enkripsi data pada komputer korban. Dengan kata lain, ketika terinfeksi malware ini data/file pada komputer korban tidak dapat lagi diakses. Untuk dapat kembali mengakses data-data kita, si pembuat malware meminta semacam uang tebusan.

Di Indonesia sendiri Kominfo telah memberikan tips dan langkah pencegahan yang dapat dilakukan di sisi komputer. Yakni dengan menonaktifkan fungsi SMB dan RDP, update patch windows, backup data / file pada storage lain dan sebagainya. 

Namun, tidak ada salahnya jika kita menambahkan metode keamanan dalam system jaringan kita. Pada Router Mikrotik, kita bisa memanfaatkan fitur Firewall Filter untuk melakukan blocking port dan protocol yang digunakan oleh malware WannaCry dalam penyebarannya

Firewall Filter
Metode pertama yang dapat diterapkan adalah dengan membuat rule firewall filter pada Router Mikrotik untuk mencegah adanya pertukaran data pada protocol dan port yang digunakan oleh malware WannaCry tersebut. 


Rule ini akan bekerja untuk traffic beda subnet, baik antar LAN maupun dari public / internet. 


Bridge Filter
Metode ini dapat diterapkan pada jaringan dimana semua host berada dalam subnet / segment ip yang sama dan dalam kondisi bridging. Langkahnya definisikan matcher  kemudian gunakan action=drop 





Switch ACL
Untuk pencegahan pada jaringan satu subnet selain menggunakan metode bridge filter dapat juga menggunakan fitur ACL pada manageable switch, sebagai contoh pada produk Cloud Router Switch Mikrotik berikut
Buat juga rule baru untuk blocking TCP 445 dan 3389 untuk melengkapi rule di atas agar lebih aman. 


Dengan implementasi rule tersebut untuk sementara antar host / komputer tidak dapat menggunakan fitur file sharing via SMB atau melakukan remote desktop. Sebagai alternatif dapat menggunakan aplikasi vpn lain yang memiliki fungsi sejenis RDP sedangkan pertukaran file dapat dilakukan melalui layanan cloud atau server public atau secara offline. Sebaiknya juga jangan sembarangan mengunduh file atau menjalankan program yang berasal dari sumber yang tidak terpercaya.

0 comments