By : Padepokan-IT Course http://padepokan-it.blogspot.com

1

1.

Konsep Dasar Firewall

2.

Penerapan ARP untuk Keamanan Internal Jaringan

3.

Kemanan Jaringan Public

4.

Firewall Mangle – Connection Mark

5.

NAT & FILTER

6.

Scripting & Scheduler

7.

Blokir Situs

8.

Penerapan Firewall di Mikrotik untuk berbagai kasus

2

Firewall adalah sistem keamanan jaringan komputer yang digunakan untuk melindungi komputer dari beberapa jenis serangan dari komputer

luar dengan cara dengan menyaring paket data yang keluar dan masuk di jaringan

Firewall Merupakan Perangkat yang berfungsi untuk memeriksa dan menentukan paket data yang dapat keluar atau masuk dari sebuah

jaringan

3

Firewall terbagi atas dua jenis yakni,

1.

Personal Firewall untuk melindungi sebuah komputer yang terhubung ke jaringan dari akses yang tidak dikehendaki,

2.

dan Network Firewall yang didesain untuk melindugi jaringan secara keseluruhan dari berbagai serangan.

Pada dasarnya Firewall sendiri dapat melakukan hal-hal berikut:

1) Mengatur dan mengontrol lalu lintas jaringan 2) Melakukan autentikasi terhadap akses

3) Melindungi sumber daya dalam jaringan privat

4) Mencatat semua kejadian, dan melaporkan kepada administrator

4

Fungsi Firewall Dalam Jaringan



Packet Filtering : memeriksa header dari paket TCP/IP ( tergantung arsitektur jaringannya, dalam contoh ini adalah TCP IP ) dan memutuskan apakah data ini memiliki akses ke jaringan.



Network Address Translation ( NAT ) : biasanya sebuah jaringan memiliki sebuah IP public dan di dalam jaringan sendiri memiliki IP tersendiri. Firewall berfungsi untuk meneruskan paket data dari luar jaringan ke dalam jaringan dengan benar sesuai IP komputer lokal.



Application Proxy : firewall bisa mendeteksi protocol aplikasi tertentu yang lebih spesifik.



Traffic management : mencatat dan memantau trafik jaringan

5

I MPLEMENTASI F ^IREWALL



Firewall filtering biasanya dilakukan dengan cara mendefinisikan IP addres, baik itu src-address maupun dst- address.



Digunakan Untuk Filtering Jaringan Misalnya Jika ingin Memblok komputer client yang memiliki ip tertentu atau ketika melakukan blok terhadap web tertentu berdasarkan ip web tersebut.



Digunakan untuk melindungi jaringan local dari ancaman luar, misalnya virus atau serangan hacker

Ada 2 tipe address list, "Src. Address List" dan “dst Address List” Src Address List adalah daftar sumber ip yang melakukan

koneksi, Dst Address List adalah ip tujuan yang hendak diakses.

Keyword Address List

6

KEAMANAN

JARINGAN INTERNAL

7

Penerapan ARP untuk Keamanan DHCP Server Agar Client tidak bisa menggunakan IP Static

Deskripsi

Address Resolution Protocol (ARP) merupakan protocol Jaringan Local yang digunakan untuk membuat pemetaan antara IP address dan Mac Address yang dimiliki satu computer host.

Pemetaan ini bersifat dinamik artinya Router Mikrotik akan mencari sendiri MAC address suatu komputer user berdasarkan IP Address Komputer tersebut.

8

Langkah Konfigurasinya:

1. Klik Interfaces, kemudian double klik interface LAN yang digunakan sebagai interface DHCP

2. Pilih Di Bagian ARP : Reply-Only

9

3. Konfigurasi di DHCP Server untuk menambahkan ARP ketika terjadi DHCP- lease. Klik IP–>DHCP Server, edit DHCP, check Add ARP for leases

10



Pemetaan IP dan MAC address dapat saja dibuat menjadi static sehingga seorang user tidak dapat menggunakan IP address user milik user orang lain.



Karena Jika User tersebut mengganti IP addressnya maka pemetaan ARP nya menjadi tidak Valid lagi

dan ini akan

mengakibatkan komputer user tersebut tidak dapat terhubung ke router mikrotik

11

Konfigurasi Agar User Tidak Bisa Mengganti IP Static di Jaringan Mikrotik Dengan Fungsi Reply-Only

 Klik Menu IP – ARP

 Daftarkan IP Address dan Mac Addressnya Termasuk IP Gateway Mikrotik ETH-1 dan ETH-2

12

 Selanjutnya Rubah ARP menjadi Reply-Only di Menu Interface ETH2-LAN

13

KEAMANAN

JARINGAN EKSTERNAL (PUBLIC)

14

MENGAMANKAN Service Port

 Pada tutorial ini akan dibahas cara mudah tahap awal mengamankan router mikrotik yaitu dengan cara menutup port di menu IP – Service.

 port adalah mekanisme yang mengizinkan sebuah komputer untuk mendukung beberapa sesi koneksi dengan komputer lainnya dan program di dalam jaringan.

 Port dapat mengidentifikasikan aplikasi dan layanan yang menggunakan koneksi di dalam jaringan TCP/IP. Sehingga, port juga mengidentifikasikan sebuah proses tertentu di mana sebuah server dapat memberikan sebuah layanan kepada klien atau bagaimana sebuah klien dapat mengakses sebuah layanan yang ada dalam server.

 Dimana secara default port-port servist list mikrotik masih terbuka diantaranya api, ftp, ssh, telnet, winbox, http, dan https. Untuk itu harus kita tutup (disable

15

Teknis Konfigurasi

16

Keterangan Port

17

Langkah Terakhir

18

FIREWALL MANGLE CONNECTION MARK

19

PENJELASAN MANGLE CONNECTION MARK

20

Contoh Studi Kasus

Penggunaan Mark Connection

21

22

HASIL KONFIGURASI

23

Untuk mengetahui berhasil atau tidaknya marking yang kalian lakukan, ketika anda coba browsing maka angka counter pada rules yang anda buat akan berjalan.

LATIHAN

• Buat Marck Connection Untuk Ping

• Buat Mark Connection Untuk DNS

• Buat Mark Connection Untuk Download

• Buat Mark Connection Untuk Streaming

24

KONSEP NAT & FILTER

25

Network Address Translation (NAT)



Nat adalah Suatu Fungsi Firewall yang bertugas melkukan perubahan IP address pengirim dari sebuah paket data



Nat umumnya dijalankan pada router-router yang menjadi batas antara jaringan local &

jaringan internet



Secara Teknis NAT akan mengubah paket data yang berasal dari komputer user seolah-olah berasal dari router



Syntak : ip firewall nat add chain=srcnat out- interface=ether1 action=masquarade

26

Penerapan NAT

• Masquarade Untuk IP Address Tertentu

Dengan Menambahkan src-address : 192.168.1.2-192.168.1.10 maka hnaya IP komputer tersebutlah yang bisa berinternet

• Masquarade Untuk Aplikasi Tertentu

Implementasi dilapangan jika kita mengiginkan komputer user hanya

mendapatkan layanan internet tertentu. (Misal hanya browsing saja), maka admin harus menambahkan opsi protocol dan destination port.

• Masquarade dengan Fungsi Waktu

Router dapat membatasi akses layanan internet berdasarkan Hari dan jam.

27

Filter

• Fitur Filter Pada firewall digunakan untuk menentukan apakah suatu paket data dapat masuk atau tidak

kedalam sistem router itu sendiri

• Paket data yang akan di tangani fitur filter ini adalah paket data yang ditujukan pada salah satu interface router

• Fitur Filter dapat menangani paket data yang melintasi router dari jaringan local ke internet

• Fitur Filter dapat dikolaborasikan dengan NAT

• Fitur Filter memiliki 3 Chain : Input, Output, Forward

28

Chain Input

• Bertugas Menangani paket data yang ditujukan pada interface router mikrotik

• Chain input berguna untuk membatasi akses konfigurasi terhadap router mikrotik.

• Contoh Bila admin mengiginkan interface ether1 tidak dapat di ping dari internet

Syntak :

ip firewall filter add chain=input in-interface=ether1 prtocol=icmp connection-state=established action=accept

29

Chain Forward



Digunakan untuk menangani paket data yang akan melintasi router



Chain Forward akan menangani paket data yang melintasi router, baik paket data dari jaringan lokalyang ingin ke internet maupun sebaliknya.



Implementasi Chain Forward, ketika admin memblok akses internet dari IP tertentu.

Syntak : ip firewall filter add chain=forward src-address=192.168.10.5/24 out-

interface=ether1 action = drop

30

Chain Forward dan Content

• Digunakan untuk memblokir akses internet terhadap situs tertentu ataupun aktifitas user yang ingin mendownload jenis-jenis file tertentu

• Untuk Menggunakannya gunakan option content yang ada pada fitur firewall filter.

• Contoh Syntak

ip firewall filter add chain=forward src-

address=192.168.1.5/24 content=www.facebook.com action=drop

31

Action Drop digunakan untuk memblokir

Action Drop VS Action Reject

• Action Drop berfungsi Membuang Paket data Yang berasal dari komputer yang di blok oleh router.

• Action Reject berfungsi membuang paket data namun router akan memberitahukan kepada komputer user. Pemberitahuan ini menggunakan protokol ICMP (Internet Control Message protocol)

Contoh Syntak :

ip firewall filter add chain=forward src address=10.10.10.0/24 action=reject reject-with=icmp-host-uncreable

32

Address List

• Router Mikrotik Menyediakan fitur address list untuk merujuk IP address tertentu dengan sebuah nama.

• Fitur ini dapat digunakan untuk keperluan deklarasi IP Address maupun untuk kepentingan logging (Pencatatan Aktifitas Jaringan)

• Penggunaan deklarasi IP address menjadi sebuah nama akan membuat anda tidak terlalu repot mengelola jaringan jika suatu saat terjadi perubahan IP Address.

33

CONTOH KASUS

Admin Jaringan ingin memberikan Akses yang seluas-luasnya bagi komputer administrator dengan IP Address 192.168.10.4 namun tiba-tiba sang administrator tidak ingin lagi menggunakan IP address tersebut mengakibatkan admin harus merubah seluruh konfigurasi yang sudah dibuat pada filter maupun NAT. Dengan Menggunakan Address List admin jaringan hanya cukup merubah deklarasi IP Address bahwa komputer administrator sudah berpindah ke IP Address 192.168.10.3

Implementasi Addres List

1.

Membuat Address List

2.

Penerapan Address List Pada NAT

34

Ip firewall address-list add address=192.168.1.0/24 list=‘jaringan- local’

Ip firewall address-list add address=192.168.1.2/24 list=‘pc-admin’

Ip firewall nat add chain=srcnat out interface=ether1 src-address- list=“pc-admin” action=masquarade

Ip firewall nat add chain=srcnat out interface=ether1 src-address- list=“jaringan-lokal” protocol=tcp dst-port=80,443 action masquarade

Penjelasan

Konfigurasi NAT 1 diatas bermaksud memberikan akses internet yang penuh bagi komputer administrator (ditandai dengan src-address-list=“pc-admin”) Konfigurasi Di NAT yang ke 2 hanya memberikan akses in ternet browsing

(http/https) pada komputer-komputer lain ditandai dengan src-address-list =

“jaringan-lokal”)

1.

Membuat Firewall Untuk Memblock Akses Internet Dari 1 Ip Address Client.

2.

Membuat Firewall Untuk Memblock Akses Internet Dari 1 Mac Address Client.

3.

Membuat Firewall Untuk Memblock Akses Internet Dari Sekelompok Ip Address Client.

4.

Blokir Berdasarkan Port

5.

Membuat Firewall Untuk Memblock Akses Internet Dari Sekelompok Ip Address Attacker.

6.

Membuat Firewall Untuk Memblock Akses Internet Dari Client Ke Suatu Websites Terlarang.

7.

Membuat Firewall Dengan Penjadwalan Waktu

8.

Membuat Firewall Dengan Fasilitas Layer 7 (RageXp)

35

Blok Akses Internet Berdasarkan IP Tertentu

36

Jadi Firewall ini berarti : “Jika ada Client dengan IP : 192.168.1.34 yang akan mengakses internet dengan OUTGOING melalui Interface WAN, maka

koneksi ini akan di DROP oleh Mikrotik.

Blok Berdasarkan MAC Address

37

Jadi Firewall ini berarti : “Jika ada Client dengan Mac Address sesuai Mac target yang akan mengakses internet dengan OUTGOING melalui

Interface WAN, maka koneksi ini akan di DROP oleh Mikrotik.

Blok Berdasarkan Sekelompok IP Address

1. Membuat Daftar IP yang akan di Blok di Menu Address List

38

LANGKAHNYA :

2. Membuat Rule Firewall di Filter Rule

39

Jadi Firewall ini berarti : “Jika ada Client dengan IP

Address yang terdaftar pada“CLIENT NO INTERNET” yang akan mengakses internet dengan OUTGOING melalui

Interface WAN, maka koneksi ini akan di DROP oleh Mikrotik.

MEMBLOCK AKSES INTERNET DARI CLIENT KE SUATU WEBSITES TERLARANG.

40

Blokir Berdasarkan Port

Contoh Kasus

Di Sebuah kantor menerapkan kebijakan bahwa komputer dibagian Gudang hanya bisa mengakses Ms Outlook saja sebagai email client, dan tidak diperbolehkan melakukan browsing selama jam kerja

41

Penyelesaian

1. Login Menggunakan Winbox 2. Masuk ke Menu IP – Firewall

3. Klik Tab Filter Rule kemudian Klik tombol + 4. Selanjutnya Masukan Script Dibawah ini

[admin@mikrotik] /ip firewall filter > add src-address=192.168.1.42

protocol=tcp dst-port=80 chain=forward action=drop

Konfigurasi Dengan Winbox

42

Blok Dari IP Attacker

43

Jadi Firewall ini berarti : “Jika ada orang atau system dengan IP

Address yang terdaftar pada “ATTACKER” yang akan mengakses IP Publick / IP WAN kita yang masuk melalui Interface WAN, maka koneksi ini akan

di DROP oleh Mikrotik.

44

Blok Situs Berdasarkan Waktu Menggunakan Metode Chain Forward dan Content

1. Mengatur Waktu di System Clok dan SNTP Client 2. Membuat Rule Di Firewall Filter

3. Membuat Script Untuk Menjalankan Firewall Secara otomatis

4. Membuat Penjadwalan Waktu di Menu Sheduler 5. Uji Coba Firewall di Komputer Client

45

Tahapan Konfigurasi :

Mengatur System Clock dan SNTP Client

46

System - Clock

System – SNTP Client

Menambahkan Filter Rule

47

Catatan : Jika ingin Memblok Seluruh Client untuk tidak bisa mengakses facebook tuliskan pada src address 0.0.0.0/0 artinya semua IP pada range semua subnet yaitu semua alamat ip dari 0.0.0.1 s/d 255.255.255.255 akan di blok untuk tidak bisa mengakses situs facebook

Membuat Script Untuk Menonaktifkan Firewall

48

/system script add name="fb-allow"

policy=write,read,policy,test,sniff source={/ip firewall filter set [/ip firewall filter find

content="facebook"] disabled=yes}

VIA TERMINAL

/system script add name="fb-deny"

policy=write,read,policy,test,sniff source={/ip firewall filter set [/ip firewall filter find

content="facebook"] disabled=no}

Membuat Script Untuk Mengaktifkan Firewall

49

VIA TERMINAL

Membuat Penjadwalan (Shedule) Script

50

Klik System - Scheduler

51

Konfigurasi By Terminal

• /system scheduler add name="fb-08:00" start-date=jun/03/2014 start- time=08:00:00 interval=1d on-event="fb-deny“

Schedule untuk mengaktifkan (enable) firewall pada jam kerja (08:00) :

• /system scheduler add name="fb-12:00" start-date= jun/03/2014start- time=12:00:00 interval=1d on-event="fb-allow“

Schedule untuk mematikan (disable) firewall pada jam istirahat (12:00) :

• /system scheduler add name="fb-13:00" start-date= jun/03/2014start- time=13:00:00 interval=1d on-event="fb-deny“

Schedule untuk mengaktifkan kembali (enable) firewall pada jam kerja (13:00)

• /system scheduler add name="fb-17:00" start-date= jun/03/2014start- time=17:00:00 interval=1d on-event="fb-allow“

Schedule untuk mematikan (disable) firewall di luar jam kerja ke atas ( > 17:00) :

52

Membuat Firewall Dengan Fasilitas Layer 7 (RageXp)

Mengapa layer7? Sebelumnya saya pernah menerapkan blok akses Facebook dengan cara drop by content pada Firewall. Hasilnya Facebook.com memang berhasil diblok, namun beberapa website (seperti forum cpanel dan website lain

yang mengandung konten Facebook) ikut terblok. Setelah dicoba menerapkan rule blok akses Facebook dengan layer7, hasilnya sesuai dengan harapan

Langkah Yang Dilakukan :

1. Membuat Exeption IP yang akan di Bypass (Optional) 2. Menambahkan Rule Facebook Pada Leyer 7

3. Membuat Mangle Mark Connection dan Mark Packet

4. Setting Filter Rule Untuk Penyaringan Paket yang Masuk dengan 2 buah filter ( Action – Jump, dan Action Drop)

53

Membuat Exeption (IP yang akan di Bypass)

• IP >> FIREWALL >> Address List

• Klik tanda + (Add)

• Beri Nama dan Tentukan IP yang akan di Bypass

54

Menambahkan Rule Facebook Pada Leyer 7

• IP > FIREWALL > Layer 7 Protocols

• Klik tanda + (Add), tambahkan seperti pada gambar di bawah. Kemudian klik OK

55

Situs Yang akan di Blok

Membuat Mangle Mark Connection dan Mark Packet

Mangle berfungsi mengelompokkan akses yang menuju ke

www.facebook.com untuk dimasukan ke rule illegal-url-connection.

Langkahnya

• IP > FIREWALL > MANGLE

• Tambahkan mangle yang pertama, klik button + (Add)

• Pada menu General > Chain: pilih Forward

• Pada menu Advanced > Layer7 Protocol: pilih www.face (sesuai yang kita isi di layer7)

• Pada menu Action > pilih mark connection, kemudian new mark connection isikan: mark-ilegal-connection. Detail seperti gambar di bawah ini:

56

Mangle Mark Connection

57

Mangle Mark Packet

• Tambahkan mangle kedua dengan klik tanda + (Add) Pada General > Chain: pilih forward.

• Connection mark: pilih mark-ilegal-connection Pada menu Action: pilih mark packet, new mark packet isikan dengan: facebook-packet. Detail seperti gambar di bawah ini:

58

Setting Filter Rule Untuk Penyaringan Paket yang Masuk

• IP > FIREWALL > FILTER RULE

• Silakan tambahkan filter rule, klik tanda + (Add).

• Pada menu General > Chain : pilih forward, Packet Mark: pilih facebook-packet (sesuai isi dari new mark packet pada mangle)

• Pada menu Action > Action: pilih jump, jump target isikan : ilegal-url. Detailnya seperti di gambar di bawah ini:

59

Setting Filter Rule Action Drop

• Silakan tambahkan filter rule untuk drop, klik tanda + (Add)

• Pada menu General > Chain: pilih ilegal-url

• Pada menu Advanced > source dan destination address list centang tanda seru dan pilih exception (bertanda bahwa list exception tidak dikenakan drop action)

• Pada menu Action > Action: pilih drop. Detailnya seperti gambar di bawah ini:

60

Firewall Default Configuration Mikrotik

Ada beberapa rule firewall yang akan dibuat oleh default konfigurasi untuk kemanan router dan untuk menghemat resource router dengan melakukan drop paket yang tidak dibutuhkan. Berikut rule firewall default konfigurasi :

61

/ip firewall

filter add chain=input action=accept protocol=icmp comment="default configuration"

filter add chain=input action=accept connection-state=established in- interface=ether1-gateway comment="default configuration"

filter add chain=input action=accept connection-state=related in- interface=ether1-gateway comment="default configuration"

filter add chain=input action=drop in-interface=ether1-gateway comment="default configuration"

nat add chain=srcnat out-interface=ether1-gateway action=masquerade comment="default configuration"

1 2 3 4 5

Penjelasan Rule Firewall

• Rule pertama di firewall tersebut akan mengijinkan koneksi ICMP yang menuju ke router.

• Rule kedua mengijinkan koneksi yang sudah memiliki status established menuju ke router

• Rule ketiga mengijinkan koneksi yang sudah memiliki status related yang juga menuju router.

• Rule keempat akan melakukan drop setiap koneksi menuju router yang masuk melalui interface ether1-gateway

• Dan rule terakhir merupakan rule NAT yang mengijinkan client dibawah router untuk meminjam ip router agar bisa terkoneksi ke jaringan internet .

62

3 Cara Ampuh Blokir Situs

1. Buat Rule di Regexp Layer 7

2. Buat Mangle

3. Buat Filter Rule

Tutorial Lengkap Bisa di Baca disini

http://padepokan-it.blogspot.com/2015/05/3-cara-ampuh- blokir-situs-di-mikrotik.html

63

S ^TUDI K ^ASUS F ^IREWALL

PERUSAHAAN JAYA SAKTI CEMERLANG MENERAPKAN MIKROTIK SEBAGAI ROUTER,

ANDA SEBAGAI ADMIN JARINGAN DI BERI TANGGUNG JAWAB UNTUK MENGELOLA

KEAMANAN JARINGAN. DIMANA PERUSAHAAN MEMPUNYAI KEBIJAKAN SEBAGAI BERIKUT:

1. Komputer client dengan IP 192.168.1.40 Sama sekali tidak boleh mengakses internet

2. Komputer client dengan IP 192.168.1.41 tidak bisa buka semua situs kecuali E-mail saja

3. Komputer client dengan IP 192.168.1.42 hanya bisa buka situs Jamsostek saja. Yaitu www.bpjsketenagakerjaan.go.id

4. Komputer client dengan IP 192.168.1.43 hanya boleh mengakses situs berita saja seperti detik.com, kompas.com, liputan6.com dan yang lainnya.

5. Setiap komputer client tidak bisa merubah IP yang telah diberikan oleh admin. dengan konsekuensi jika merubah IP maka tidak akan

terkoneksi ke internet.

6. Untuk Client Wifi / DHCP Server tidak bisa merubah IP menjadi Static.

7. Semua komputer client khusus staff tidak bisa membuka situs facebook dan youtube pada jam kerja mulai jam 08.00 – 17.00

8. Yang mempunyai full akses ke semua website hanya PC Manager, Direktur, dan Owner. Dengan segmen IP 192.168.10.0/24

9. Tidak bisa sembarang komputer khususnya client Laptop atau Gadget masuk ke area Wifi

10. Mikrotik tidak bisa diakses oleh yang tidak berwenang

64

S ^TUDI K ^ASUS 2



Bagaimana Konfigurasi Firewall di Mikrotik jika Client (Laptop, Tablet, SmartPhone) tidak bisa masuk ke Jaringan secara Sembarangan

Artinya Client tersebut Harus Terdaftar di Router Mikrotik ?



Solusi

1.

Gunakan Metode ARP Reply-Only Di Interfaces.

2.

Daftarkan Mac Address Client dan IP Nya di ARP Mikrotik

65

Sumber Refrensi

 Mikrotik.co.id

 Mikrotikindo.blogspot.com

 http://mediabisnisonline.com/tutorial-networking-blok-akses-facebook-di-mikrotik/

 Buku Mikrotik Kungfu Jilid 1 Jasakom

 Hasil Project/Implementasi Dilapangan di Garment Industry

66

By : Padepokan-IT COURSES www.padepokanit.com

BERSAMBUNG KE BAGIAN-4

MEMBUAT HOTSPOT DENGAN MIKROTIK

67