Firewall

Abdullah Hanif
1415015021
FTIK A14

JURUSAN TEKNIK INFORMATIKA

FAKULTAS TEKNOLOGI INFORMASI DAN KOMUNIKASI
UNIVERSITAS MULAWARMAN
2014/2015

1. Apa itu Firewall?

Firewall adalah perangkat yang berfungsi untuk memeriksa dan menentukan paket data
yang dapat keluar atau masuk dari sebuah jaringan. Dengan kemampuan tersebut maka
firewall berperan dalam melindungi jaringan dari serangan yang berasal dari jaringan luar
(outside network). Firewall mengimplementasikan packet filtering dan dengan demikian
menyediakan fungsi keamanan yang digunakan untuk mengelola aliran data ke, dari dan
melalui router. Sebagai contoh, firewall difungsikan untuk melindungi jaringan lokal (LAN)
dari kemungkinan serangan yang datang dari Internet. Selain untuk melindungi jaringan,
firewall juga difungsikan untuk melindungi komputer user atau host (host firewall).
Firewall digunakan sebagai sarana untuk mencegah atau meminimalkan risiko keamanan
yang melekat dalam menghubungkan ke jaringan lain. Firewall jika dikonfigurasi dengan
benar akan memainkan peran penting dalam penyebaran jaringan yang efisien dan infrastrure
yang aman . MikroTik RouterOS memiliki implementasi firewall yang sangat kuat dengan
fitur termasuk:

stateful packet inspection

Layer-7 protocol detection

peer-to-peer protocols filtering

traffic classification by:

source MAC address

IP addresses (network or list) and address types (broadcast, local, multicast, unicast)

port or port range

IP protocols

protocol options (ICMP type and code fields, TCP flags, IP options and MSS)

interface the packet arrived from or left through

internal flow and connection marks

DSCP byte

packet content

rate at which packets arrive and sequence numbers

packet size

packet arrival time

dll

Anda dapat mengakses Firewall Mikrotik via Winbox melalui menu IP --> Firewall

A. Chain pada Firewall Mikrotik

Firewall beroperasi dengan menggunakan aturan firewall. Setiap aturan terdiri dari dua
bagian - matcher yang sesuai arus lalu lintas terhadap kondisi yang diberikan dan tindakan
yang mendefinisikan apa yang harus dilakukan dengan paket yang cocok. Aturan firewall
filtering dikelompokkan bersama dalam chain. Hal ini memungkinkan paket yang akan
dicocokkan terhadap satu kriteria umum dalam satu chain, dan kemudian melewati untuk
pengolahan terhadap beberapa kriteria umum lainnya untuk chain yang lain.
Misalnya paket harus cocok dengan alamat IP:port. Tentu saja, itu bisa dicapai dengan
menambahkan beberapa rules dengan alamat IP:port yang sesuai menggunakan chain
forward, tetapi cara yang lebih baik bisa menambahkan satu rule yang cocok dengan lalu
lintas dari alamat IP tertentu, misalnya: filter firewall / ip add src-address = 1.1.1.2/32 jumptarget = "mychain".

Ada tiga chain yang telah ditetapkan pada RouterOS Mikrotik :

1. Input - digunakan untuk memproses paket memasuki router melalui salah satu interface
dengan alamat IP tujuan yang merupakan salah satu alamat router. Chain input berguna
untuk membatasi akses konfigurasi terhadap Router Mikrotik.
2. Forward - digunakan untuk proses paket data yang melewati router.
3. Output - digunakan untuk proses paket data yang berasal dari router dan meninggalkan
melalui salah satu interface.

Ketika memproses chain, rule yang diambil dari chain dalam daftar urutan akan dieksekusi
dari atas ke bawah. Jika paket cocok dengan kriteria aturan tersebut, maka tindakan tertentu
dilakukan di atasnya, dan tidak ada lagi aturan yang diproses dalam chain. Jika paket tidak
cocok dengan salah satu rule dalam chain, maka paket itu akan diterima.

B. Connection State (Status paket data yang melalui router)

Invalid : paket tidak dimiliki oleh koneksi apapun, tidak berguna.

New : paket yang merupakan pembuka sebuah koneksi/paket pertama dari sebuah
koneksi.

Established : merupakan paket kelanjutan dari paket dengan status new.

Related : paket pembuka sebuah koneksi baru, tetapi masih berhubungan denga koneksi
sebelumnya.

C. Action Filter Firewall RouterOS Mikrotik

Pada konfigurasi firewall mikrotik ada beberapa pilihan Action, diantaranya :

Accept : paket diterima dan tidak melanjutkan membaca baris berikutnya

Drop : menolak paket secara diam-diam (tidak mengirimkan pesan penolakan ICMP)

Reject : menolak paket dan mengirimkan pesan penolakan ICMP

Jump : melompat ke chain lain yang ditentukan oleh nilai parameter jump-target

Tarpit : menolak, tetapi tetap menjaga TCP connection yang masuk (membalas dengan
SYN/ACK untuk paket TCP SYN yang masuk)

Passthrough : mengabaikan rule ini dan menuju ke rule selanjutnya

log : menambahkan informasi paket data ke log

Contoh Pengunaan Firewall pada Router Mikrotik

Katakanlah jaringan pribadi kita adalah 192.168.0.0/24 dan publik (WAN) interface ether1.
Kita akan mengatur firewall untuk memungkinkan koneksi ke router itu sendiri hanya dari
jaringan lokal kita dan drop sisanya. Juga kita akan memungkinkan protokol ICMP pada
interface apapun sehingga siapa pun dapat ping router kita dari internet. Berikut command nya :
/ip firewall filter
add chain=input connection-state=invalid action=drop \
comment="Drop Invalid connections"
add chain=input connection-state=established action=accept \
comment="Allow Established connections"
add chain=input protocol=icmp action=accept \
comment="Allow ICMP"
add chain=input src-address=192.168.0.0/24 action=accept \
in-interface=!ether1
add chain=input action=drop comment="Drop semuanya"

2. Step by Step Konfigurasi Mikrotik Firewall

Berikut ini adalah Step by Step Konfigurasi Mikrotik Firewall dalam bahasa yang
simple dan mudah di pahami secara awam. Misalnya pada Mikrotik ini dengan Interface
bernama LAN danWAN. IP Address WAN adalah 192.168.42.75 dan IP Address LAN
adalah 192.168.1.1. Lebih detailnya dapat kita lihat pada gambar dibawah ini :

Untuk memulai konfigurasi Firewall, kita pilih menu : IP > FIREWALL. Selanjutnya
kita dapat menambahkan pengaturan Firewall secara Logika.

1. MEMBUAT FIREWALL UNTUK MEMBLOCK AKSES INTERNET DARI 1 IP

ADDRESS CLIENT.

Buat New Firewall Rules, pada Option GENERAL, pilih Chain : FORWARD.

Lalu kita pilih / isi Source Address dengan IP Address dari Client yang akan kita Block.
Misalnya Client dengan IP : 192.168.1.10.
Out Interface kita isi dengan interface : WAN.
Selanjutnya pada Option ACTION, kita pilih : DROP.
Jadi Firewall ini berarti : Jika ada Client dengan IP : 192.168.1.10 yang akan mengakses
internet dengan OUTGOING melalui Interface WAN, maka koneksi ini akan
di DROP oleh Mikrotik.

Dibawah ini tampilan Firewall Rule yang barusan kita buat.

2. MEMBUAT FIREWALL UNTUK MEMBLOCK AKSES INTERNET DARI 1 MAC

ADDRESS CLIENT.

Buat New Firewall Rules, pada Option GENERAL, pilih Chain : FORWARD.
Out Interface kita isi dengan interface : WAN.
Selanjutnya pada menu ADVANCED, isikan pada menu Source Mac
Address daripada Mac Address yang dimiliki oleh Client yang akan kita Blokir akses
internetnya.
Selanjutnya pada Option ACTION, kita pilih : DROP.
Jadi Firewall ini berarti : Jika ada Client dengan Mac Address sesuai Mac target yang
akan mengakses internet dengan OUTGOING melalui Interface WAN, maka koneksi ini
akan diDROP oleh Mikrotik.

3. MEMBUAT FIREWALL UNTUK MEMBLOCK

SEKELOMPOK IP ADDRESS CLIENT.

AKSES

INTERNET

DARI

Pertama kita buat lebih dulu sejumlah IP Address pada menu Firewall > Address List.
Misalnya kita berikan nama CLIENT NO INTERNET.
Buatlah sejumlah daftar IP Address Client dari LAN kita yang akan di block akses
internet-nya.
Selanjutnya kita buat sebuah New Firewall Rules, pada Option GENERAL, pilih
Chain :FORWARD.
Out Interface kita isi dengan interface : WAN.
Selanjutnya pada menu ADVANCED, isikan pada menu Source Address
List daripada Daftar Address List yang telah kita buat untuk memblokir akses
internetnya. Kita pilih nama :CLIENT NO INTERNET.
Selanjutnya pada Option ACTION, kita pilih : DROP.

Jadi Firewall ini berarti : Jika ada Client dengan IP Address yang terdaftar
pada CLIENT
NO
INTERNET yang
akan
mengakses
internet
dengan OUTGOING melalui Interface WAN, maka koneksi ini akan di DROP oleh
Mikrotik.

4. MEMBUAT FIREWALL UNTUK MEMBLOCK

SEKELOMPOK IP ADDRESS ATTACKER.

AKSES

INTERNET

DARI

Pertama kita buat lebih dulu sejumlah IP Address pada menu Firewall > Address List.
Misalnya kita berikan nama ATTACKER.
Buatlah sejumlah daftar IP Address dari IP yang kita identifikasikan sebagai Black List IP
Address dan kita akan di block akses internet-nya. IP Address ini biasanya terdeteksi
sebagaiLOG MERAH atau Ilegal Access pada Mikrotik kita.
Selanjutnya kita buat sebuah New Firewall Rules, pada Option GENERAL, pilih
Chain :FORWARD.
In Interface kita isi dengan interface : WAN.
Selanjutnya pada menu ADVANCED, isikan pada menu Source Address
List daripada Daftar Address List yang telah kita buat untuk memblokir akses
internetnya. Kita pilih nama :ATTACKER.
Selanjutnya pada Option ACTION, kita pilih : DROP.
Jadi Firewall ini berarti : Jika ada orang atau system dengan IP Address yang terdaftar
padaATTACKER yang akan mengakses IP Publick / IP WAN kita yang masuk melalui
InterfaceWAN, maka koneksi ini akan di DROP oleh Mikrotik.

5. MEMBUAT FIREWALL UNTUK MEMBLOCK AKSES INTERNET DARI CLIENT

KE SUATU WEBSITES TERLARANG.

Buat New Firewall Rules, pada Option GENERAL, pilih Chain : FORWARD.
Lalu kita pilih / isi Destination Address dengan IP Address dari websites yang akan kita
Block. Misalnya Websites http://www.porno.com dengan IP Public : 208.87.35.103.
Out Interface kita isi dengan interface : WAN.
Selanjutnya pada Option ACTION, kita pilih : DROP.
Jadi Firewall ini berarti : Jika ada Client dari jaringan LAN kita yang akan mengakses
Websites http://www.porno.com dengan
IP
Public : 208.87.35.103 dengan OUTGOINGmelalui Interface WAN, maka koneksi ini
akan di DROP oleh Mikrotik.

Selesai,beginilah cara setting firewall di mikrotik ^_^ By : Abdullah Hanif 1415015021