By : Padepokan-IT Course http://padepokan-it.blogspot.com
1
1.
Konsep Dasar Firewall
2.
Penerapan ARP untuk Keamanan Internal Jaringan
3.
Kemanan Jaringan Public
4.
Firewall Mangle – Connection Mark
5.
NAT & FILTER
6.
Scripting & Scheduler
7.
Blokir Situs
8.
Penerapan Firewall di Mikrotik untuk berbagai kasus
2
Firewall adalah sistem keamanan jaringan komputer yang digunakan untuk melindungi komputer dari beberapa jenis serangan dari komputer
luar dengan cara dengan menyaring paket data yang keluar dan masuk di jaringan
Firewall Merupakan Perangkat yang berfungsi untuk memeriksa dan menentukan paket data yang dapat keluar atau masuk dari sebuah
jaringan
3
Firewall terbagi atas dua jenis yakni,
1.
Personal Firewall untuk melindungi sebuah komputer yang terhubung ke jaringan dari akses yang tidak dikehendaki,
2.
dan Network Firewall yang didesain untuk melindugi jaringan secara keseluruhan dari berbagai serangan.
Pada dasarnya Firewall sendiri dapat melakukan hal-hal berikut:
1) Mengatur dan mengontrol lalu lintas jaringan 2) Melakukan autentikasi terhadap akses
3) Melindungi sumber daya dalam jaringan privat
4) Mencatat semua kejadian, dan melaporkan kepada administrator
4
Fungsi Firewall Dalam Jaringan
Packet Filtering : memeriksa header dari paket TCP/IP ( tergantung arsitektur jaringannya, dalam contoh ini adalah TCP IP ) dan memutuskan apakah data ini memiliki akses ke jaringan.
Network Address Translation ( NAT ) : biasanya sebuah jaringan memiliki sebuah IP public dan di dalam jaringan sendiri memiliki IP tersendiri. Firewall berfungsi untuk meneruskan paket data dari luar jaringan ke dalam jaringan dengan benar sesuai IP komputer lokal.
Application Proxy : firewall bisa mendeteksi protocol aplikasi tertentu yang lebih spesifik.
Traffic management : mencatat dan memantau trafik jaringan
5
I MPLEMENTASI F IREWALL
Firewall filtering biasanya dilakukan dengan cara mendefinisikan IP addres, baik itu src-address maupun dst- address.
Digunakan Untuk Filtering Jaringan Misalnya Jika ingin Memblok komputer client yang memiliki ip tertentu atau ketika melakukan blok terhadap web tertentu berdasarkan ip web tersebut.
Digunakan untuk melindungi jaringan local dari ancaman luar, misalnya virus atau serangan hacker
Ada 2 tipe address list, "Src. Address List" dan “dst Address List” Src Address List adalah daftar sumber ip yang melakukan
koneksi, Dst Address List adalah ip tujuan yang hendak diakses.
Keyword Address List
6
KEAMANAN
JARINGAN INTERNAL
7
Penerapan ARP untuk Keamanan DHCP Server Agar Client tidak bisa menggunakan IP Static
Deskripsi
Address Resolution Protocol (ARP) merupakan protocol Jaringan Local yang digunakan untuk membuat pemetaan antara IP address dan Mac Address yang dimiliki satu computer host.
Pemetaan ini bersifat dinamik artinya Router Mikrotik akan mencari sendiri MAC address suatu komputer user berdasarkan IP Address Komputer tersebut.
8
Langkah Konfigurasinya:
1. Klik Interfaces, kemudian double klik interface LAN yang digunakan sebagai interface DHCP
2. Pilih Di Bagian ARP : Reply-Only
9
3. Konfigurasi di DHCP Server untuk menambahkan ARP ketika terjadi DHCP- lease. Klik IP–>DHCP Server, edit DHCP, check Add ARP for leases
10
Pemetaan IP dan MAC address dapat saja dibuat menjadi static sehingga seorang user tidak dapat menggunakan IP address user milik user orang lain.
Karena Jika User tersebut mengganti IP addressnya maka pemetaan ARP nya menjadi tidak Valid lagi
dan ini akan
mengakibatkan komputer user tersebut tidak dapat terhubung ke router mikrotik
11
Konfigurasi Agar User Tidak Bisa Mengganti IP Static di Jaringan Mikrotik Dengan Fungsi Reply-Only
Klik Menu IP – ARP
Daftarkan IP Address dan Mac Addressnya Termasuk IP Gateway Mikrotik ETH-1 dan ETH-2
12
Selanjutnya Rubah ARP menjadi Reply-Only di Menu Interface ETH2-LAN
13
KEAMANAN
JARINGAN EKSTERNAL (PUBLIC)
14
MENGAMANKAN Service Port
Pada tutorial ini akan dibahas cara mudah tahap awal mengamankan router mikrotik yaitu dengan cara menutup port di menu IP – Service.
port adalah mekanisme yang mengizinkan sebuah komputer untuk mendukung beberapa sesi koneksi dengan komputer lainnya dan program di dalam jaringan.
Port dapat mengidentifikasikan aplikasi dan layanan yang menggunakan koneksi di dalam jaringan TCP/IP. Sehingga, port juga mengidentifikasikan sebuah proses tertentu di mana sebuah server dapat memberikan sebuah layanan kepada klien atau bagaimana sebuah klien dapat mengakses sebuah layanan yang ada dalam server.
Dimana secara default port-port servist list mikrotik masih terbuka diantaranya api, ftp, ssh, telnet, winbox, http, dan https. Untuk itu harus kita tutup (disable
15
Teknis Konfigurasi
16
Keterangan Port
17
Langkah Terakhir
18
FIREWALL MANGLE CONNECTION MARK
19
PENJELASAN MANGLE CONNECTION MARK
20
Contoh Studi Kasus
Penggunaan Mark Connection
21
22
HASIL KONFIGURASI
23
Untuk mengetahui berhasil atau tidaknya marking yang kalian lakukan, ketika anda coba browsing maka angka counter pada rules yang anda buat akan berjalan.
LATIHAN
• Buat Marck Connection Untuk Ping
• Buat Mark Connection Untuk DNS
• Buat Mark Connection Untuk Download
• Buat Mark Connection Untuk Streaming
24
KONSEP NAT & FILTER
25
Network Address Translation (NAT)
Nat adalah Suatu Fungsi Firewall yang bertugas melkukan perubahan IP address pengirim dari sebuah paket data
Nat umumnya dijalankan pada router-router yang menjadi batas antara jaringan local &
jaringan internet
Secara Teknis NAT akan mengubah paket data yang berasal dari komputer user seolah-olah berasal dari router
Syntak : ip firewall nat add chain=srcnat out- interface=ether1 action=masquarade
26
Penerapan NAT
• Masquarade Untuk IP Address Tertentu
Dengan Menambahkan src-address : 192.168.1.2-192.168.1.10 maka hnaya IP komputer tersebutlah yang bisa berinternet
• Masquarade Untuk Aplikasi Tertentu
Implementasi dilapangan jika kita mengiginkan komputer user hanya
mendapatkan layanan internet tertentu. (Misal hanya browsing saja), maka admin harus menambahkan opsi protocol dan destination port.
• Masquarade dengan Fungsi Waktu
Router dapat membatasi akses layanan internet berdasarkan Hari dan jam.
27
Filter
• Fitur Filter Pada firewall digunakan untuk menentukan apakah suatu paket data dapat masuk atau tidak
kedalam sistem router itu sendiri
• Paket data yang akan di tangani fitur filter ini adalah paket data yang ditujukan pada salah satu interface router
• Fitur Filter dapat menangani paket data yang melintasi router dari jaringan local ke internet
• Fitur Filter dapat dikolaborasikan dengan NAT
• Fitur Filter memiliki 3 Chain : Input, Output, Forward
28
Chain Input
• Bertugas Menangani paket data yang ditujukan pada interface router mikrotik
• Chain input berguna untuk membatasi akses konfigurasi terhadap router mikrotik.
• Contoh Bila admin mengiginkan interface ether1 tidak dapat di ping dari internet
Syntak :
ip firewall filter add chain=input in-interface=ether1 prtocol=icmp connection-state=established action=accept29
Chain Forward
Digunakan untuk menangani paket data yang akan melintasi router
Chain Forward akan menangani paket data yang melintasi router, baik paket data dari jaringan lokalyang ingin ke internet maupun sebaliknya.
Implementasi Chain Forward, ketika admin memblok akses internet dari IP tertentu.
Syntak : ip firewall filter add chain=forward src-address=192.168.10.5/24 out-
interface=ether1 action = drop
30
Chain Forward dan Content
• Digunakan untuk memblokir akses internet terhadap situs tertentu ataupun aktifitas user yang ingin mendownload jenis-jenis file tertentu
• Untuk Menggunakannya gunakan option content yang ada pada fitur firewall filter.
• Contoh Syntak
ip firewall filter add chain=forward src-
address=192.168.1.5/24 content=www.facebook.com action=drop
31
Action Drop digunakan untuk memblokir
Action Drop VS Action Reject
• Action Drop berfungsi Membuang Paket data Yang berasal dari komputer yang di blok oleh router.
• Action Reject berfungsi membuang paket data namun router akan memberitahukan kepada komputer user. Pemberitahuan ini menggunakan protokol ICMP (Internet Control Message protocol)
Contoh Syntak :
ip firewall filter add chain=forward src address=10.10.10.0/24 action=reject reject-with=icmp-host-uncreable
32
Address List
• Router Mikrotik Menyediakan fitur address list untuk merujuk IP address tertentu dengan sebuah nama.
• Fitur ini dapat digunakan untuk keperluan deklarasi IP Address maupun untuk kepentingan logging (Pencatatan Aktifitas Jaringan)
• Penggunaan deklarasi IP address menjadi sebuah nama akan membuat anda tidak terlalu repot mengelola jaringan jika suatu saat terjadi perubahan IP Address.
33
CONTOH KASUS
Admin Jaringan ingin memberikan Akses yang seluas-luasnya bagi komputer administrator dengan IP Address 192.168.10.4 namun tiba-tiba sang administrator tidak ingin lagi menggunakan IP address tersebut mengakibatkan admin harus merubah seluruh konfigurasi yang sudah dibuat pada filter maupun NAT. Dengan Menggunakan Address List admin jaringan hanya cukup merubah deklarasi IP Address bahwa komputer administrator sudah berpindah ke IP Address 192.168.10.3
Implementasi Addres List
1.
Membuat Address List
2.
Penerapan Address List Pada NAT
34
Ip firewall address-list add address=192.168.1.0/24 list=‘jaringan- local’
Ip firewall address-list add address=192.168.1.2/24 list=‘pc-admin’
Ip firewall nat add chain=srcnat out interface=ether1 src-address- list=“pc-admin” action=masquarade
Ip firewall nat add chain=srcnat out interface=ether1 src-address- list=“jaringan-lokal” protocol=tcp dst-port=80,443 action masquarade
Penjelasan
Konfigurasi NAT 1 diatas bermaksud memberikan akses internet yang penuh bagi komputer administrator (ditandai dengan src-address-list=“pc-admin”) Konfigurasi Di NAT yang ke 2 hanya memberikan akses in ternet browsing
(http/https) pada komputer-komputer lain ditandai dengan src-address-list =
“jaringan-lokal”)
1.
Membuat Firewall Untuk Memblock Akses Internet Dari 1 Ip Address Client.
2.
Membuat Firewall Untuk Memblock Akses Internet Dari 1 Mac Address Client.
3.
Membuat Firewall Untuk Memblock Akses Internet Dari Sekelompok Ip Address Client.
4.
Blokir Berdasarkan Port
5.
Membuat Firewall Untuk Memblock Akses Internet Dari Sekelompok Ip Address Attacker.
6.
Membuat Firewall Untuk Memblock Akses Internet Dari Client Ke Suatu Websites Terlarang.
7.
Membuat Firewall Dengan Penjadwalan Waktu
8.
Membuat Firewall Dengan Fasilitas Layer 7 (RageXp)
35
Blok Akses Internet Berdasarkan IP Tertentu
36
Jadi Firewall ini berarti : “Jika ada Client dengan IP : 192.168.1.34 yang akan mengakses internet dengan OUTGOING melalui Interface WAN, maka
koneksi ini akan di DROP oleh Mikrotik.
Blok Berdasarkan MAC Address
37
Jadi Firewall ini berarti : “Jika ada Client dengan Mac Address sesuai Mac target yang akan mengakses internet dengan OUTGOING melalui
Interface WAN, maka koneksi ini akan di DROP oleh Mikrotik.
Blok Berdasarkan Sekelompok IP Address
1. Membuat Daftar IP yang akan di Blok di Menu Address List
38
LANGKAHNYA :
2. Membuat Rule Firewall di Filter Rule
39
Jadi Firewall ini berarti : “Jika ada Client dengan IP
Address yang terdaftar pada“CLIENT NO INTERNET” yang akan mengakses internet dengan OUTGOING melalui
Interface WAN, maka koneksi ini akan di DROP oleh Mikrotik.
MEMBLOCK AKSES INTERNET DARI CLIENT KE SUATU WEBSITES TERLARANG.
40
Blokir Berdasarkan Port
Contoh Kasus
Di Sebuah kantor menerapkan kebijakan bahwa komputer dibagian Gudang hanya bisa mengakses Ms Outlook saja sebagai email client, dan tidak diperbolehkan melakukan browsing selama jam kerja
41
Penyelesaian
1. Login Menggunakan Winbox 2. Masuk ke Menu IP – Firewall
3. Klik Tab Filter Rule kemudian Klik tombol + 4. Selanjutnya Masukan Script Dibawah ini
[admin@mikrotik] /ip firewall filter > add src-address=192.168.1.42
protocol=tcp dst-port=80 chain=forward action=drop
Konfigurasi Dengan Winbox
42
Blok Dari IP Attacker
43
Jadi Firewall ini berarti : “Jika ada orang atau system dengan IP
Address yang terdaftar pada “ATTACKER” yang akan mengakses IP Publick / IP WAN kita yang masuk melalui Interface WAN, maka koneksi ini akan
di DROP oleh Mikrotik.
44
Blok Situs Berdasarkan Waktu Menggunakan Metode Chain Forward dan Content
1. Mengatur Waktu di System Clok dan SNTP Client 2. Membuat Rule Di Firewall Filter
3. Membuat Script Untuk Menjalankan Firewall Secara otomatis
4. Membuat Penjadwalan Waktu di Menu Sheduler 5. Uji Coba Firewall di Komputer Client
45
Tahapan Konfigurasi :
Mengatur System Clock dan SNTP Client
46
System - Clock
System – SNTP Client
Menambahkan Filter Rule
47
Catatan : Jika ingin Memblok Seluruh Client untuk tidak bisa mengakses facebook tuliskan pada src address 0.0.0.0/0 artinya semua IP pada range semua subnet yaitu semua alamat ip dari 0.0.0.1 s/d 255.255.255.255 akan di blok untuk tidak bisa mengakses situs facebook
Membuat Script Untuk Menonaktifkan Firewall
48
/system script add name="fb-allow"
policy=write,read,policy,test,sniff source={/ip firewall filter set [/ip firewall filter find
content="facebook"] disabled=yes}
VIA TERMINAL
/system script add name="fb-deny"
policy=write,read,policy,test,sniff source={/ip firewall filter set [/ip firewall filter find
content="facebook"] disabled=no}
Membuat Script Untuk Mengaktifkan Firewall
49
VIA TERMINAL
Membuat Penjadwalan (Shedule) Script
50
Klik System - Scheduler
51
Konfigurasi By Terminal
• /system scheduler add name="fb-08:00" start-date=jun/03/2014 start- time=08:00:00 interval=1d on-event="fb-deny“
Schedule untuk mengaktifkan (enable) firewall pada jam kerja (08:00) :
• /system scheduler add name="fb-12:00" start-date= jun/03/2014start- time=12:00:00 interval=1d on-event="fb-allow“
Schedule untuk mematikan (disable) firewall pada jam istirahat (12:00) :
• /system scheduler add name="fb-13:00" start-date= jun/03/2014start- time=13:00:00 interval=1d on-event="fb-deny“
Schedule untuk mengaktifkan kembali (enable) firewall pada jam kerja (13:00)
• /system scheduler add name="fb-17:00" start-date= jun/03/2014start- time=17:00:00 interval=1d on-event="fb-allow“
Schedule untuk mematikan (disable) firewall di luar jam kerja ke atas ( > 17:00) :
52
Membuat Firewall Dengan Fasilitas Layer 7 (RageXp)
Mengapa layer7? Sebelumnya saya pernah menerapkan blok akses Facebook dengan cara drop by content pada Firewall. Hasilnya Facebook.com memang berhasil diblok, namun beberapa website (seperti forum cpanel dan website lain
yang mengandung konten Facebook) ikut terblok. Setelah dicoba menerapkan rule blok akses Facebook dengan layer7, hasilnya sesuai dengan harapan
Langkah Yang Dilakukan :
1. Membuat Exeption IP yang akan di Bypass (Optional) 2. Menambahkan Rule Facebook Pada Leyer 7
3. Membuat Mangle Mark Connection dan Mark Packet
4. Setting Filter Rule Untuk Penyaringan Paket yang Masuk dengan 2 buah filter ( Action – Jump, dan Action Drop)
53
Membuat Exeption (IP yang akan di Bypass)
• IP >> FIREWALL >> Address List
• Klik tanda + (Add)
• Beri Nama dan Tentukan IP yang akan di Bypass
54
Menambahkan Rule Facebook Pada Leyer 7
• IP > FIREWALL > Layer 7 Protocols
• Klik tanda + (Add), tambahkan seperti pada gambar di bawah. Kemudian klik OK
55
Situs Yang akan di Blok
Membuat Mangle Mark Connection dan Mark Packet
Mangle berfungsi mengelompokkan akses yang menuju ke
www.facebook.com untuk dimasukan ke rule illegal-url-connection.
Langkahnya
• IP > FIREWALL > MANGLE
• Tambahkan mangle yang pertama, klik button + (Add)
• Pada menu General > Chain: pilih Forward
• Pada menu Advanced > Layer7 Protocol: pilih www.face (sesuai yang kita isi di layer7)
• Pada menu Action > pilih mark connection, kemudian new mark connection isikan: mark-ilegal-connection. Detail seperti gambar di bawah ini:
56
Mangle Mark Connection
57
Mangle Mark Packet
• Tambahkan mangle kedua dengan klik tanda + (Add) Pada General > Chain: pilih forward.
• Connection mark: pilih mark-ilegal-connection Pada menu Action: pilih mark packet, new mark packet isikan dengan: facebook-packet. Detail seperti gambar di bawah ini:
58
Setting Filter Rule Untuk Penyaringan Paket yang Masuk
• IP > FIREWALL > FILTER RULE
• Silakan tambahkan filter rule, klik tanda + (Add).
• Pada menu General > Chain : pilih forward, Packet Mark: pilih facebook-packet (sesuai isi dari new mark packet pada mangle)
• Pada menu Action > Action: pilih jump, jump target isikan : ilegal-url. Detailnya seperti di gambar di bawah ini:
59
Setting Filter Rule Action Drop
• Silakan tambahkan filter rule untuk drop, klik tanda + (Add)
• Pada menu General > Chain: pilih ilegal-url
• Pada menu Advanced > source dan destination address list centang tanda seru dan pilih exception (bertanda bahwa list exception tidak dikenakan drop action)
• Pada menu Action > Action: pilih drop. Detailnya seperti gambar di bawah ini:
60
Firewall Default Configuration Mikrotik
Ada beberapa rule firewall yang akan dibuat oleh default konfigurasi untuk kemanan router dan untuk menghemat resource router dengan melakukan drop paket yang tidak dibutuhkan. Berikut rule firewall default konfigurasi :
61
/ip firewall
filter add chain=input action=accept protocol=icmp comment="default configuration"
filter add chain=input action=accept connection-state=established in- interface=ether1-gateway comment="default configuration"
filter add chain=input action=accept connection-state=related in- interface=ether1-gateway comment="default configuration"
filter add chain=input action=drop in-interface=ether1-gateway comment="default configuration"
nat add chain=srcnat out-interface=ether1-gateway action=masquerade comment="default configuration"
1 2 3 4 5
Penjelasan Rule Firewall
• Rule pertama di firewall tersebut akan mengijinkan koneksi ICMP yang menuju ke router.
• Rule kedua mengijinkan koneksi yang sudah memiliki status established menuju ke router
• Rule ketiga mengijinkan koneksi yang sudah memiliki status related yang juga menuju router.
• Rule keempat akan melakukan drop setiap koneksi menuju router yang masuk melalui interface ether1-gateway
• Dan rule terakhir merupakan rule NAT yang mengijinkan client dibawah router untuk meminjam ip router agar bisa terkoneksi ke jaringan internet .
62
3 Cara Ampuh Blokir Situs
1. Buat Rule di Regexp Layer 7
2. Buat Mangle
3. Buat Filter Rule
Tutorial Lengkap Bisa di Baca disini
http://padepokan-it.blogspot.com/2015/05/3-cara-ampuh- blokir-situs-di-mikrotik.html
63
S TUDI K ASUS F IREWALL
PERUSAHAAN JAYA SAKTI CEMERLANG MENERAPKAN MIKROTIK SEBAGAI ROUTER,
ANDA SEBAGAI ADMIN JARINGAN DI BERI TANGGUNG JAWAB UNTUK MENGELOLA
KEAMANAN JARINGAN. DIMANA PERUSAHAAN MEMPUNYAI KEBIJAKAN SEBAGAI BERIKUT:
1. Komputer client dengan IP 192.168.1.40 Sama sekali tidak boleh mengakses internet
2. Komputer client dengan IP 192.168.1.41 tidak bisa buka semua situs kecuali E-mail saja
3. Komputer client dengan IP 192.168.1.42 hanya bisa buka situs Jamsostek saja. Yaitu www.bpjsketenagakerjaan.go.id
4. Komputer client dengan IP 192.168.1.43 hanya boleh mengakses situs berita saja seperti detik.com, kompas.com, liputan6.com dan yang lainnya.
5. Setiap komputer client tidak bisa merubah IP yang telah diberikan oleh admin. dengan konsekuensi jika merubah IP maka tidak akan
terkoneksi ke internet.
6. Untuk Client Wifi / DHCP Server tidak bisa merubah IP menjadi Static.
7. Semua komputer client khusus staff tidak bisa membuka situs facebook dan youtube pada jam kerja mulai jam 08.00 – 17.00
8. Yang mempunyai full akses ke semua website hanya PC Manager, Direktur, dan Owner. Dengan segmen IP 192.168.10.0/24
9. Tidak bisa sembarang komputer khususnya client Laptop atau Gadget masuk ke area Wifi
10. Mikrotik tidak bisa diakses oleh yang tidak berwenang
64
S TUDI K ASUS 2
Bagaimana Konfigurasi Firewall di Mikrotik jika Client (Laptop, Tablet, SmartPhone) tidak bisa masuk ke Jaringan secara Sembarangan
Artinya Client tersebut Harus Terdaftar di Router Mikrotik ?
Solusi
1.
Gunakan Metode ARP Reply-Only Di Interfaces.
2.
Daftarkan Mac Address Client dan IP Nya di ARP Mikrotik
65
Sumber Refrensi
Mikrotik.co.id
Mikrotikindo.blogspot.com
http://mediabisnisonline.com/tutorial-networking-blok-akses-facebook-di-mikrotik/
Buku Mikrotik Kungfu Jilid 1 Jasakom
Hasil Project/Implementasi Dilapangan di Garment Industry
66
By : Padepokan-IT COURSES www.padepokanit.com
BERSAMBUNG KE BAGIAN-4
MEMBUAT HOTSPOT DENGAN MIKROTIK
67