III. KONFIGURASI MIKROTIK SEBAGAI GATEWAY, BANDWITH MANAGAMENT, FIREWALL, PORT
2. Setting NAT untuk jaringan Kabel LAN & Wireless
3.5 SETTING MIKROTIK SEBAGAI FIREWALL
Konsep Filter input, output dan forward pada router Mikrotik
Untuk menghubungkan jaringan private / business kita dengan jaringan public seperti jaringan Internet, tentulah kita harus mengatur aliran traffic paket dengan menggunakan perangkat Firewall yang diperkuat dengan policy keamanan. Dengan firewall, semua traffic dipaksa melalui satu check point tunggal yang terkosentrasi dimana semua traffic di kendalikan, di-authentikasi, di filter, dan di log menurut policy yang diterapkan pada firewall tersebut. Dengan cara ini, kita bisa mengurangi secara significant akan tetapi tidak menghilang kan traffic yang tidak kita harapkan yang akan mencapai jaringan private kita. Dalam mengendalikan jaringan, kita mungkin akan mendapatkan komputer yang terkena virus. Aktivitas malware atau virus ini harus kita cegah keluar dari jaringan kita supaya kita tidak terblok oleh server lain di internet. Untuk memblok kita perlu memahami ip filter yang ada di router Mikrotik.
1. Filter input
Panduan Konfigurasi Mikrotik padepokan-it.blogspot.com Page 32 of 126 Filter input adalah filter yang berhubungan dengan traffic yang masuk ke router Mikrotik. Contoh dari filter input adalah akses dari notebook ke router Mikrotik pada ip 192.168.41.1 dan 192.168.1.2 .
Andaikata komputer dengan IP 192.168.41.196 ini bermasalah kita dapat membuang melakukan filter input dari komputer ini dengan format:
ip firewall filter add chain=input src-address=192.168.41.196 action=drop Contoh adalah kita memblok IP 192.168.41.196 dengan perintah
ip firewall filter add chain=input src-address=192.168.41.196 action=drop Akibat dari perintah ini
Laptop mengakses http://192.168.41.1 = tidak bisa
Laptop mengakses http://192.168.1.2 = tidak bisa Laptop mengakses http://192.168.1.125 = bisa
2. Filter forward
Filter forward berhubungan dengan traffic yang menyeberang lewat router. Dalam contoh ini laptop yang mengakses server memakai koneksi forward.
Jika kita memblok akses forward dari laptop ke server kita dapat menggunakan perintah dengan format
ip firewall filter add chain=forward src-address=192.168.41.196 action=drop Contoh adalah kita memblok IP 192.168.41.196 dengan perintah
Panduan Konfigurasi Mikrotik padepokan-it.blogspot.com Page 33 of 126 Akibat dari perintah ini
Laptop mengakses http://192.168.41.1 = bisa Laptop mengakses http://192.168.1.2 = bisa
Laptop mengakses http://192.168.1.125 = tidak bisa
3. Menggabungkan filter input dan forward
Bagaimana kalau kita menggabungkan kedua perintah di atas? Misalnya kila melakukan:
ip firewall filter add chain=input src-address=192.168.41.196 action=drop ip firewall filter add chain=forward src-address=192.168.41.196 action=drop Jika kita menjalankan perintah ini maka
Laptop mengakses http://192.168.41.1 = tidak bisa
Laptop mengakses http://192.168.1.2 = tidak bisa
Laptop mengakses http://192.168.1.125 = tidak bisa
Dengan demikian maka kita berhasil membatasi ip 192.168.41.196 supaya tidak mengakses router maupun mengakses server di luar router.
4. Filter output
Filter output digambarkan seperti gambar berikut ini
Secara umum, firewall filtering biasanya dilakukan dengan cara mendefinisikan IP addres, baik itu src-address maupun dst-address. Misalnya Anda ingin blok komputer client yang memiliki ip tertentu atau ketika melakukan blok terhadap web tertentu berdasarkan ip web tersebut. Firewall tidak hanya digunakan untuk melakukan blok client agar tidak dapat mengakses resource tertentu, namun juga digunakan untuk melindungi jaringan local dari ancaman luar, misalnya virus atau serangan hacker. Biasanya serangan dari internet ini dilakukan dari banyak IP sehingga akan sulit bagi kita untuk melakukan perlindungan hanya dengan berdasarkan IP. Secara default router mikrotik telah membuat filter rule untuk kemanannya. Tapi Untuk itu kita harus membuat rule firewall baru di mikrotik agar jaringan menjadi sangat aman. Adapun implementasi firewall yang dibuat diataranya
Panduan Konfigurasi Mikrotik padepokan-it.blogspot.com Page 34 of 126 1. MemBlokir Situs-Situs Tertentu Semisal Facebook, atau youtube sehingga tidak bisa
diakses saat jam kerja.
2. Memblok Akses Internet ke IP komputer tertentu supaya tidak bisa mengakses internet 3. Mengamankan Router Mikrotik Dari Serangan Denial of Service Attack (DOS)
4. Memonitoring Jumlah Pemakaian Bandwith yang di pakai oleh client per IP address
Blok Situs-situs Tertentu Di Mikrotik Berdasarkan Waktu
Pada sub bab ini kita akan membuat firewall memblok akses ke situs facebook dan youtube supaya tidak bisa di akses saat jam kerja berikut langkah-langkahnya:
Blok Situs Facebook Cara 1
Pada metode ini kita akan memblok situs facebook berdasarkan jam tertentu yang diatur melalui script dan penjadwalan. Langkahnya adalah sebagai berikut
1. Mengatur Sistem Waktu di Mikrotik
Supaya waktu yang berjalan di router sesuai dengan waktu lokasi setempat, maka kita perlu mengatur agar clock di MikroTik mengacu pada NTP Server. Jika kita memiliki NTP Server sendiri, maka kita tinggal mengarahkan MikroTik ke NTP Server tersebut, namun jika kita tidak memiliki NTP Server, maka tidak perlu khawatir karena banyak NTP Server di luar yang bisa kita gunakan sebagai acuan. Beberapa diantaranya adalah NTP Server milik LIPI (Lembaga Ilmu Pengetahuan Indonesia) dengan URL: ntp.kim.lipi.go.id (203.160.128.6) dan NTP Pool Project dengan salah satu URLnya: 0.id.pool.ntp.org (202.169.224.16). Untuk mensettingnya di MikroTik, ketikkan perintah berikut :
Melalui Terminal
/system ntp client set primary-ntp=203.160.128.6
secondary-ntp=202.169.224.16 \ mode=unicast enabled=yes;
Pada package system RouterOS Mikrotik sudah terdapat fitur SNTP (Simple Network Time Protocol) Client yang bisa digunakan untuk memfungsikan Router sebagai NTP Client. Saat menyala, Router akan otomatis melakukan sinkronisasi waktu terhadap NTP Server yang ditunjuk sehingga pengaturan waktu akan tetap update.
Atau Melaui WInbox langkahnya sebagai berikut
1. Klik menu System dan Pilih SNTP Client, kemudian atur waktunya seperti terlihat pada gambar dibawah ini
Panduan Konfigurasi Mikrotik padepokan-it.blogspot.com Page 35 of 126 2. Terlihat SNTP Client sudah berhasil melakukan sinkronisasi. Setelah sukses
melakukan sinkronisasi, tidak serta merta waktu Router sudah benar. Cek pada menu System > Clock . Anda akan melihat bahwa tanggal sudah sesuai akan tetapi jam masih belum. Sesuaikan dengan mengatur Time Zone Name .
Panduan Konfigurasi Mikrotik padepokan-it.blogspot.com Page 36 of 126 2. Membuat Rule di Firewall Filter
Membuat rule di firewall filter. Dalam hal ini saya ingin memblokir situs Facebook yang menggunakan port HTTP (80), sehingga selain port tersebut masih diijinkan. Tujuannya agar pengguna masih dapat menerima update status facebook melalui email. Untuk mensettingnya ketikkan perintah berikut melalui terminal :
/ip firewall filter add chain=forward src-address=192.168.1.11-192.168.1.50
protocol=tcp \ dst-port=80 content="facebook" action=drop comment="Blokir Akses Facebook";
Atau Melalui Winbox Langkahnya sebagai berikut: 1. Klik Menu IP – Firewall
2. Pilih Tab Filter Rule, Kemudian Klik tanda + untuk Membuat filter 3. Setting Filter Rule seperti terlihat pada gambar berikut.
Catatan : Jika ingin Memblok Seluruh Client untuk tidak bisa mengakses facebook tuliskan pada src address 0.0.0.0/0 artinya semua IP pada range semua subnet yaitu semua alamat ip dari 0.0.0.1 s/d 255.255.255.255 akan di blok untuk tidak bisa mengakses situs facebook
Panduan Konfigurasi Mikrotik padepokan-it.blogspot.com Page 37 of 126 3. Membuat Script Untuk Menjalankan Firewall Secara otomatis
script untuk mengaktifkan firewall tersebut selama jam kerja dan mematikannya pada jam istirahat dan diluar jam kerja. Disini dibuat 2 script, yaitu script untuk mengaktifkan (enable) firewall dan script untuk mematikan (disable) firewall.
Scrpt Untuk Menonaktifkan (Disable)
/system script add name="fb-allow" policy=write,read,policy,test,sniff source={/ip firewall filter set [/ip firewall filter find content="facebook"] disabled=yes}
Melalui Winbox langkahnya sebagai berikut: 1. Klik System Kemudian Pilih Script 2. Selanjutnya Klik Tombol +
3. Kemudian Setting seperti terlihat pada gambar berikut
Panduan Konfigurasi Mikrotik padepokan-it.blogspot.com Page 38 of 126 Script Untuk Mengaktifkan (Enabled)
/system script add name="fb-deny" policy=write,read,policy,test,sniff source={/ip firewall filter set [/ip firewall filter find content="facebook"] disabled=no}
Melalui Winbox langkahnya sebagai berikut: 1. Klik System Kemudian Pilih Script 2. Selanjutnya Klik Tombol
+
3. Kemudian Setting seperti terlihat pada gambar berikut
4. Setelah disetting Klik Run Script, untuk Menjalankannya.
4. Membuat Penjadwalan Waktu
Membuat schedule untuk menentukan kapan firewall tersebut akan diaktifkan atau dinon-aktifkan. Disini dibuat 4 scheduler berdasarkan jam kerja dan hari kerja, yaitu jam 08:00, jam 12:00, jam 13:00, dan jam 17:00. Perintah dcript di ketik melalui terminal. Schedule untuk mengaktifkan (enable) firewall pada jam kerja (08:00) :
/system scheduler add name="fb-08:00" start-date=jun/03/2014 start-time=08:00:00 interval=1d on-event="fb-deny"
Panduan Konfigurasi Mikrotik padepokan-it.blogspot.com Page 39 of 126 /system scheduler add name="fb-12:00" start-date=
jun/03/2014start-time=12:00:00 interval=1d on-event="fb-allow"
Schedule untuk mengaktifkan kembali (enable) firewall pada jam kerja (13:00) : /system scheduler add name="fb-13:00" start-date=
jun/03/2014start-time=13:00:00 interval=1d on-event="fb-deny"
Schedule untuk mematikan (disable) firewall di luar jam kerja ke atas ( > 17:00) : /system scheduler add name="fb-17:00" start-date=
jun/03/2014start-time=17:00:00 interval=1d on-event="fb-allow"
Melalui Winbox Langkahnya adalah sebagai berikut: 1. Klik System > Scheduler
2. Selanjutnya klik tombol + dan buat 4 penjadwalan, seperti terlihat pada gambar dibawah ini
Panduan Konfigurasi Mikrotik padepokan-it.blogspot.com Page 40 of 126
Keterangan
Name : Nama Penjadwalan
Star Date : Mulai Awal Penjadwalan Start Time : Mulai Waktu Penjadwalan
Interval : Lama Penjadwalah, bisa di isi hari atau Jam, pada contoh diatas digunakan hari, dijadwalkan selama 1 hari (1d 00:00:00)
Catatan
Cara diatas bisa diterapkan disitus lain semisal youtube
Blok Situs Facebook Cara 2
Pada cara ini facebook akan di blok berdasarkan content langkahnya adalah sebagai berikut:
1. Login Menggunakan Winbox ke Router Mikrotik
2. Buka menu Terminal selanjutnya paste script dibawah ini
/ip firewall filter add chain=forward content="facebook.com" action=drop comment="Drop Facebook"
/ip firewall filter add chain=forward
content="www.facebook.com" action=drop comment="Drop Facebook" /ip firewall filter add chain=forward
content="apps.facebook.com" action=drop comment="Drop Facebook" /ip firewall filter add chain=forward content="facebook"
action=drop comment="Drop Facebook"
/ip firewall filter add chain=forward content="facebook.*" action=drop comment="Drop Facebook"
Panduan Konfigurasi Mikrotik padepokan-it.blogspot.com Page 41 of 126 3. Kemudian lihat hasilnya di menu IP – Firewall, letakan rule-rule yang telah dibuat ke
posisi paling atas dengan cara drag.
4. Untuk menambahkan Range IP mana saja yang akan di blok masukan IP address di SRC address 192.168.1.11-192.168.1.50
5. Untuk Mengatur waktu penjadwalan kapan rule tersebut aktif dan tidak aktif setting dibagian extra lihat gambar dibawah ini
6. Selanjutnya untuk melakukan pengujian buka situs facebook. Dan alhasil facebook tidak bisa dibuka.
Menambahkan Batasan Range IP yang akan di Blok. Mulai dari IP 192.168.1.11 – 192.168.1.50
Penerapan Penjadwalan Blok Akses Facebbok Mulai jam 08.30 sampai 16.30 berlaku dari hari senin – jum’at
Panduan Konfigurasi Mikrotik padepokan-it.blogspot.com Page 42 of 126
Blok Situs Tertentu Berdasarkan Dst Address (IP Tujuan)
Selain menggunakan cara pertama seperti telah dijelaskan diatas, kita juga bisa memblok situs facebook dengan cara memasukan IP address situs facebook. Cara ini dilakukan karena situs facebook bisa mempunyai lebih dari satu Ip address. Langkah-langkahnya adalah sebagai berikut.
1. Klik IP > Firewall
2. Selanjutnya Klik Tombol
+
Di tab Filter Ruleu ntuk membuat Filter Rule Baru 3. Selanutnya Setting seperti terlihat pada gambar dibawah ini4. Selanjutnya Lakukan Langkah 1 – 3 untuk menambah filter rule Blok IP Facebook yang lain
Panduan Konfigurasi Mikrotik padepokan-it.blogspot.com Page 43 of 126
Blok Akses Internet terhadap Komputer Tertentu
Untuk Memblok akses internet terhadap computer tertentu menggunakan mikrotik langkahnya adalah sebagai berikut:
1. Klik IP > Firewall
2. Selanjutnya Klik tab filter rule kemudian klik Tombol + untuk membuat Filter Rule Baru 3. kemudian Setting seperti terlihat pada gambar dibawah ini
Mengamankan MikroTik dari Serangan Denial of Service Attack (DoS)
Salah satu serangan yang dilakukan oleh attacker/hacker untuk melumpukan jaringan komputer adalah dengan melakukan serangan Denial of Service attack.Dimana serangan ini akan membanjiri trafik sehingga komputer/router akan menjadi terambil alih koneksinya kepada komputer yang melakukan serangan DoS sampai dimana proses dari komputer/router meningkat dan bisa mengakibatkan komputer/router menjadi crash. Akibatnya komputer/router target bisa tidak dapat beroperasi.
Pada router MikroTik anda dapat melakukan penanganan dengan cara membatasi koneksi dengan batas koneksi yang diperbolehkan dari suatu alamat IP(internet Protocol).Jadi tiap koneksi yang diterima (Incoming Connection) akan dibatasi dalam melakukan koneksi sehingga tidak akan menyebabkan router mikrotik kehabisan resource.
Langkah Konfigurasinya adalah sebagai berikut: 1. Login ke Router dengan menggunakan winbox
2. klik "New Terminal". Ini akan membuka console mikrotik yang akan kita gunakan untuk melakukan konfigurasi.
3. Sebuah alamat IP dengan terlalu banyak koneksi akan ditambahkan ke daftar alamat untuk diblockir.ketik script berikut di terminal.
Panduan Konfigurasi Mikrotik padepokan-it.blogspot.com Page 44 of 126 /ip firewall filter add chain=input protocol=tcp connection-limit=10,32 action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d
4. Bukan hanya menjatuhkan paket penyerang dengan 'action = drop, router juga mengcapture dan menahan koneksi dan memperlambat penyerang drop. ketik script berikut di terminal.
/ip firewall filter add chain=input protocol=tcp src-address-list=blocked-addr connection-limit=8,32 action=tarpit
5. Kemudian melakukan penyaringan lanjut terhadap paket SYN. ketik script berikut di terminal.
/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new action=jump jump-target=SYN-Protect comment="Melindungi dari serangan syn flooding" disabled=yes
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=200,5 connection-state=new action=accept comment="" disabled=no
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new action=drop comment="" disabled=no
6. Dan yang terakhir ini adalah mengaktifkan SYN cookies /ip firewall connection tracking set tcp-syncookie=yes
Panduan Konfigurasi Mikrotik padepokan-it.blogspot.com Page 45 of 126
Monitoring Pemakaian Bandwith
Selain digunakan untuk filter dan keamanan, filter rule juga dapat digunakan Untuk Melihat pemakaian Bandwith yang telah digunakan oleh user langkahnya adalah sebagai berikut:
1. Klik IP > Firewall
2. Selanjutnya Klik tab filter rule kemudian klik Tombol + untuk membuat Filter Rule Baru 3. kemudian Setting seperti terlihat pada gambar dibawah ini
Panduan Konfigurasi Mikrotik padepokan-it.blogspot.com Page 46 of 126