WEB PROXY

Proxy adalah suatu aplikasi yang menjadi perantara antara client dengan server, sehingga client tidak akan
berhubungan langsung dengan server-server yang ada di Internet. Mikrotik memiliki fitur Web proxy yang bisa
digunakan sebagai proxy server yang nantinya akan menjadi perantara antara browser user dengan web
server di Internet.

Cara Kerja Web Proxy

Ketika user membuka suatu situs, maka browser akan mengirimkan HTTP request ke Server, namun karena
computer user ini menggunakan web proxy maka proxy akan menerima HTTP request dari browser tersebut
kemudian membuat HTTP request baru atas nama dirinya. HTTP request baru buatan Proxy inilah yang
diterima oleh Server kemudian Server membalas dengan HTTP Response dan diterima oleh Proxy yang
kemudian diteruskan ke browser user yang sebelumnya melakukan request.

Perbedaan Web Proxy dengan NAT

Mungkin penjelasan cara kerja web proxy di atas hamper mirip dengan NAT (Network Address Translation)
Masquerade, namun sebenarnya berbeda. Karena jika menggunakan NAT, maka Mikrotik hanya akan
meneruskan HTTP Request yang dibuat oleh computer user. HTTP request tersebut diteruskan ke Server oleh
Mikrotik tanpa membuat HTTP request baru seperti halnya pada Web Proxy.

NAT hanya menangani paket data saja, sedangkan Proxy bekerja dengan memeriksa konten dari HTTP
Request dan Response secara detail, sehingga Proxy sering juga disebut sebagai Application Firewall.

Web Proxy Membutuhkan Resource CPU Besar

Jika mengaktifkan fitur Web proxy pada Mikrotik anda harus memperhatikan kapasitas memori dan CPU.
Karena Mikrotik akan membuat HTTP Request baru atas nama dirinya, sehingga membutuhkan pemakaian
Resource memori dan CPU yang lebih besar daripada hanya menggunakan NAT. Jika pemakaian resource
Mikrotik berlebihan maka akan membuat Router Mikrotik anda hang dan koneksi internet pun akan jadi lambat.

Keuntungan menggunakan Web Proxy

Fungsi dari proxy secara umum adalah sebagai Caching, Filtering, dan Connection Sharing. Semua fungsi ini
dapat anda temui pada Web Proxy Mikrotik. Berikut ini adalah Keuntungan / Manfaat Web Proxy pada Mikrotik
:

Caching
Web Proxy Mikrotik dapat melakukan caching content yaitu menyimpan beberapa konten web yang disimpan
di memori Mikrotik. Konten tersebut akan digunakan kembali apabila ada permintaan pada konten itu lagi.
Misalnya anda membuka Facebook.com, maka file-file pada web tersebut seperti image, script, dll akan
disimpan oleh web proxy, sehingga jika lain kali anda membuka Facebook maka tidak perlu konek ke Internet
pun halaman itu bisa dibuka dengan mengambil file dari cache proxy. Hal ini dapat menghemat bandwidth
Internet dan mempercepat koneksi.

Filtering
Dengan menggunakan Web Proxy anda dapat membatasi akses konten-konten tertentu yang di-request oleh
client. Anda dapat membatasi akses ke situs tertentu, ekstensi file tertentu, melakukan redirect (pengalihan) ke
situs lain, maupun pembatasan terhadap metode akses HTTP. Hal tersebut tidak dapat anda lakukan jika
hanya menggunakan NAT.

Connection Sharing
Web Proxy meningkatkan level keamanan dari jaringan anda, karena computer user tidak berhubungan
langsung dengan web server yang ada di Internet.
 Apa itu Firewall?
Firewall adalah perangkat yang berfungsi untuk memeriksa dan menentukan paket data yang dapat keluar atau masuk dari sebuah
jaringan. Dengan kemampuan tersebut maka firewall berperan dalam melindungi jaringan dariserangan yang berasal dari jaringan
luar (outside network). Firewall mengimplementasikan packet filtering dan dengan demikian menyediakan fungsi keamanan yang
digunakan untuk mengelola aliran data ke, dari dan melalui router. Sebagai contoh, firewall difungsikan untuk melindungi jaringan
lokal (LAN) dari kemungkinan serangan yang datang dari Internet. Selain untuk melindungi jaringan, firewall juga difungsikan untuk
melindungi komputer user atau host (host firewall).

Firewall digunakan sebagai sarana untuk mencegah atau meminimalkan risiko keamanan yang melekat dalam menghubungkan ke
jaringan lain. Firewall jika dikonfigurasi dengan benar akan memainkan peran penting dalam penyebaran jaringan yang efisien dan
infrastrure yang aman .MikroTik RouterOS memiliki implementasi firewall yang sangat kuat denganfitur termasuk:
 stateful packet inspection
 Layer-7 protocol detection
 peer-to-peer protocols filtering
 traffic classification by:
 source MAC address
 IP addresses (network or list) and address types (broadcast, local, multicast, unicast)
 port or port range
 IP protocols
 protocol options (ICMP type and code fields, TCP flags, IP options and MSS)
 interface the packet arrived from or left through
 internal flow and connection marks
 DSCP byte
 packet content
 rate at which packets arrive and sequence numbers
 packet size
 packet arrival time
 dll
Anda dapat mengakses Firewall Mikrotik via Winbox melalui menu IP --> Firewall

Chain pada Firewall Mikrotik

Firewall beroperasi dengan menggunakan aturan firewall. Setiap aturan terdiri dari dua bagian - matcher yang sesuai arus lalu lintas
terhadap kondisi yang diberikan dan tindakan yang mendefinisikan apa yang harus dilakukan dengan paket yang cocok.Aturan
firewall filtering dikelompokkan bersama dalam chain. Hal ini memungkinkan paket yang akan dicocokkan terhadap satu kriteria
umum dalam satu chain, dan kemudian melewati untuk pengolahan terhadap beberapa kriteria umum lainnya untuk chain yang lain.

Misalnya paket harus cocok dengan alamat IP:port. Tentu saja, itu bisa dicapai dengan menambahkan beberapa rules dengan
alamat IP:port yang sesuai menggunakan chain forward, tetapi cara yang lebih baik bisa menambahkan satu rule yang cocok
dengan lalu lintas dari alamat IP tertentu, misalnya: filter firewall / ip add src-address = 1.1.1.2/32 jump-target = "mychain".

Ada tiga chain yang telah ditetapkan pada RouterOS Mikrotik :

1. Input - digunakan untuk memproses paket memasuki router melalui salah satu interface dengan alamat IP tujuan yang
merupakan salah satu alamat router. Chain input berguna untuk membatasi akses konfigurasi terhadap Router Mikrotik.
2. Forward - digunakan untuk proses paket data yang melewati router.
3. Output - digunakan untuk proses paket data yang berasal dari router dan meninggalkan melalui salah satu interface.
Ketika memproses chain, rule yang diambil dari chain dalam daftar urutanakan dieksekusi dari atas ke bawah. Jika paket
cocok dengan kriteria aturan tersebut, maka tindakan tertentu dilakukan di atasnya, dan tidak ada lagi aturan yang diproses
dalam chain. Jika paket tidak cocok dengansalah satu rule dalam chain, maka paket itu akan diterima.

Connection State (Status paket data yang melalui router)

 Invalid : paket tidak dimiliki oleh koneksi apapun, tidak berguna.
 New : paket yang merupakan pembuka sebuah koneksi/paket pertama dari sebuah koneksi.
 Established : merupakan paket kelanjutan dari paket dengan status new.
 Related : paket pembuka sebuah koneksi baru, tetapi masih berhubungan denga koneksi sebelumnya.

Action Filter Firewall RouterOS Mikrotik

Pada konfigurasi firewall mikrotik ada beberapa pilihan Action, diantaranya :
 Accept : paket diterima dan tidak melanjutkan membaca baris berikutnya
 Drop : menolak paket secara diam-diam (tidak mengirimkan pesan penolakan ICMP)
 Reject : menolak paket dan mengirimkan pesan penolakan ICMP
 Jump : melompat ke chain lain yang ditentukan oleh nilai parameter jump-target
 Tarpit : menolak, tetapi tetap menjaga TCP connection yang masuk (membalas dengan SYN/ACK untuk paket TCP SYN
yang masuk)
 Passthrough : mengabaikan rule ini dan menuju ke rule selanjutnya
 log : menambahkan informasi paket data ke log

Contoh Pengunaan Firewall pada Router Mikrotik

Katakanlah jaringan pribadi kita adalah 192.168.0.0/24 dan publik (WAN) interface ether1. Kita akan mengatur firewall untuk
memungkinkan koneksike router itu sendiri hanya dari jaringan lokal kita dan drop sisanya. Juga kita akan memungkinkan protokol
ICMP pada interface apapun sehinggasiapa pun dapat ping router kita dari internet. Berikut command nya :

/ip firewall filter add chain="input" connection-state=invalid action="drop"

\ comment="DropInvalidconnections" add chain="input" connection-
state=established action="accept" \ comment="AllowEstablishedconnections" add
chain="input" protocol="icmp" action="accept" \ comment="AllowICMP" add
chain="input" src-address=192.168.0.0/24 action="accept" \ in-
interface=!ether1 add chain="input" action="drop" comment="Dropsemuanya"