2/27/2020

FIREWALL

Teknik Komputer dan Jaringan

SMK N 1 Randudongkal

Firewall

1
 2/27/2020

Firewall

Prinsip-prinsip firewall:
 Sebuah sistem keamanan jaringan yang melindungi jaringan internal dari luar
(misalnya internet)
 untuk melindungi router dan klien dari akses yang tidak diijinkan
 untuk mencegah perangkat local atau remote
 untuk mengijinkan beberapa HOST/IP untuk masuk atau keluar router
 Menggunakan aturan yang dianalisis secara berurutan (dari atas ke bawah) sampai
terjadi kecocokan
 Implementasi firewall di Mikrotik diatur oleh fitur Filter dan NAT
 Fitur lain yang support firewall adalah mangle dan connection tracking

Firewall FILTER - chain

Terdapat tiga chain standar

 Input (ke router)
 Akan diproses ketika traffic menuju ke router
 Forward (melewati router)
 Akan diproses ketika traffic dari luar router ingin pergi ke sisi router lainnya (melewati
router)
 Output (dari router)
 Akan diproses saat traffic selesai diproses dari router dan keluar ke tujuan lain

2
 2/27/2020

Firewall FILTER chain - input

 Traffic dari luar dan menuju ke salah satu IP router

o Contohnya: Akses ke Winbox

Firewall FILTER chain - output

 Traffic yang keluar dan sumbernya dari router

o Contohnya: Router melakukan ping ke Internet

3
 2/27/2020

Firewall FILTER chain - forward

 Traffic yang tidak bersumber dari Router, dan bukan ditujukan untuk
Router, tetapi hanya melewati Router

o Contohnya: PC Client mengakses website dan email

Firewall FILTER – chain

 Pastikan tiap rule menggunakan CHAIN yang benar

 Penggunaan CHAIN yang salah, hasilnya tak sesuai yang diharapkan

4
 2/27/2020

Firewall FILTER – simple structure

Input interface

interface yang dilalui oleh paket

data ketika masuk di router

10

5
 2/27/2020

output interface

interface yang dilalui oleh paket

data ketika keluar dari router

11

ROUTING DECISION

 proses yang menentukan apakah paket data yang masuk akan disalurkan
keluar router, atau menuju ke router itu sendiri

12

6
 2/27/2020

Local process

 Proses pada Router itu sendiri, jika ada paket data yang menuju ke router
atau berasal dari router

13

Firewall filter - RULE

 Firewall rule bekerja dalam kerangka IF - THEN

 If <kondisi> then <action>
o If (jika) kondisi ……..
o Then (maka) ACTION yang akan dilakukan…….
 Firewall dikelompokkan dalam chain, yang disebut predefine chain
 Pengguna dapat membuat chain baru, yang disebut custom chain yang
mengambil proses dari default chain yang ada

14

7
 2/27/2020

Firewall filter

15

Firewall filter - rules

16

8
 2/27/2020

Firewall filter – if condition

17

Firewall filter – then condition

(parameter action)

o accept , paket diterima

o add-dst-to-address-list ,
menambahkan IP Address tujuan ke
dalam daftar address-list
o add-src-to-address-list,
menambahkan IP Address asal ke
dalam daftar address-list
o drop, menolak paket secara diam-
diam (tidak mengirimkan pesan
penolakan ICMP, timeout)

18

9
 2/27/2020

Firewall filter – then condition

(parameter action)

o jump, berpindah ke chain lainnya

o log, mencatat informasi di log
o passthrough, tidak melakukan action
apapun, melanjutkan ke baris
berikutnya
o reject, menolak paket dan mengirimkan
pesan penolakan ICMP
o return, kembali ke chain sebelumnya
o tarpit, menahan koneksi TCP, tetap
menjaga TCP connections yang masuk
(membalas dengan SYN/ACK untuk
paket TCP SYN yang masuk)

19

Firewall parameter (action)

o jump, berpindah ke
chain lainnya sesuai
jumptarget, tanpa
jump paket input
ICMP akan melewati
5 baris sebelum di
drop

20

10
 2/27/2020

Firewall parameter (action)

o return, kembali ke
chain sebelumnya
sesudah melalui
jump

21

Firewall filter - input

 Chain yang mengatur rule yang menuju router

 Umumnya digunakan untuk melindungi router
 Mengontrol respon balik dari trafik yang keluar
o Contoh:
jika kita melakukan ping dari router (output), maka trafik respon yang
masuk akan melewati chain input

22

11
 2/27/2020

PENERAPAN firewall filter

 Contoh:
o Cek koneksi semua IP ke router
o Buat firewall untuk menutup semua IP yang terkoneksi ke router
kecuali 192.168.1.2
o Cek koneksi IP 192.168.1.2 ke router dan bandingkan dengan IP lain

23

PENERAPAN firewall filter

 Solusi 1:
o chain = input, src address = 192.168.1.1, action =
accept
o chain = input, action = drop

 Solusi 2:
o chain = input, src address = (!) 192.168.1.1, action =
drop

24

12
 2/27/2020

Firewall filter – input

Solusi 1:
o Ijinkan IP 192.168.1.1
(action=accept)
o Drop semua IP
(src=dikosongkan)
Urutan tidak boleh terba

* Hasilnya:
Hanya 192.168.1.1 yang
terkoneksi ke router

25

Firewall filter – input

Solusi 2:
o Drop semua IP yang
menuju router, kecuali
192.168.1.1

* Hasilnya:
Hanya 192.168.1.1 yang
terkoneksi ke router

26

13
 2/27/2020

ADDRESS LIST

 Pada saat tertentu, kita ingin membuat firewall untuk beberapa IP tunggal
sekaligus. Contoh:
o 192.168.10.21 – TCP – dstpot=8291 - DROP
o 192.168.10.10 – TCP – dstpot=8291 - DROP
o 192.168.10.40 – TCP – dstpot=8291 - DROP
o 192.168.10.83 – TCP – dstpot=8291 - DROP

 Rule di atas dapat disederhanakan menggunakan Address List

27

ADDRESS LIST

 Mikrotik mempunyai fitur Firewall Adress List

o Digunakan untuk membuat table group ip / network
o Dapat dikombinasikan dengan Firewall Filter, NAT, dan Mangle
 Firewall Address List dapat ditambahkan otomatis:
o Dengan “action” add src to Address List atau add dst to Address List
 Menu IP  Firewall  tab Address List

28

14
 2/27/2020

ADDRESS LIST

 Adress dapat berupa:

 Single IP
o 192.168.1.100
 Range IP
o 10.1.1.1 – 10.1.1.100
 Subnet IP
o 192.168.10.128/29

29

MAC filtering

 Firewall filter menyebabkan koneksi melalui alamat IP terputus (karena bekerja

pada layer 3)
 Koneksi ke melalui MAC address (dengan Winbox) masih berjalan normal
 Untuk memutus koneksi diperlukan MAC filtering:
o Klik Tools – MAC server
o Klik pada tab Winbox Interface
o Klik + pilih interface yang diijinkan (missal ether1)

30

15
 2/27/2020

MAC filtering

o Firewall berlaku di Layer 3,

login ke router masih dapat
dilakukan melalui MAC
Address, kecuali MAC Address
yang di- disable

31

Connection tracking

 Dalam router, semua lalu lintas yang aktif akan disimpan

real time untuk mengembalikan mereka kembali ke
sumber request yang benar
 Di Mikrotik RouterOS, fitur ini disebut connection
tracking

32

16
 2/27/2020

Connection tracking

 Dalam router, semua lalu lintas yang aktif akan disimpan

real time untuk mengembalikan mereka kembali ke
sumber request yang benar
 Di Mikrotik RouterOS, fitur ini disebut connection
tracking
 Connection tracking akan menyimpan semua informasi
sambungan (protocol, port, termasuk status/keadaan
sambungan itu)
 Mendisable juga seluruh firewall fitur (Filter + NAT +
Mangle)

33

Connection tracking - structure

34

17
 2/27/2020

Connection tracking

 Tiap connection memiliki status (state)

 Status ini dinamakan connection state
 Connection State <> TCP State

35

Connection state

36

18
 2/27/2020

Connection state

 Invalid
o Tiba-tiba muncul traffic tanpa ada request dari
internal, bias saja virus atau bias saja traffic yang
berasal dari multi backbone
 New
o Packet yang baru saja dibuat
 Establish
o Packet yang mengikuti paket baru yang merupakan
kelanjutan/sambungan dari packet pertama
 Related
Packet yang tiba-tiba muncul, namun masih berkaitan
37

Firewall nat

 Network Address Translation (NAT) adalah metode

memodifikasi sumber atau tujuan alamat IP dari
sebuah paket

 NAT Melakukan perubahan alamat dan port, Proses

NAT Hanya dilakukan pada paket data pertama dari
sebuah koneksi, kemudian paket berikutnya pada
koneksi tersebut otomatis terkena NAT.

38

19
 2/27/2020

Firewall nat

NAT Di Dalam Menu

Winbox

39

Ada 2 default chain dalam NAT

 SRC NAT,
memproses traffic yang keluar dari router
sesudah chain output dan yang melalui router
sesudah chain forward.
 DST NAT,
memproses traffic yang menuju/melalui
router sebelum chain input dan forward.
40

20
 2/27/2020

DIAGRAM NAT

MASUK

LEBIH LEBIH
DEKAT DEKAT

41

SRC NAT

MASQUERADE SRCNAT NETMAP SAME

42

21
 2/27/2020

SRC-NAT

43

44

22
 2/27/2020

Action : src-nat
Melakukan NAT, dari beberapa IP
lokal ke satu IP Publik

SRCNAT = Memilih IP Source secara

manual

Action : src-
nat

45

Action : same

Same, Melakukan NAT, dari sekelompok IP lokal ke sekelompok IP

Publik dengan rentang IP Address diantara kedua network boleh
berbeda
Konsep Action Same adalah Load Balance IP Publik. Yang mana
apabila kita memiliki 2 / Lebih IP Publik akan di bagi secara
otomatis ke IP Lokal.
Jumlah IP Publik pada Same Tidak Sama dengan Ip Lokal

46

23
 2/27/2020

2 Ip Publik
Dibagi secara otomatis

IP Lokal IP Lokal IP Lokal IP Lokal

47

Action : netmap

Netmap, sama dengan SAME, namun dengan rentang IP lokal dan

IP publik berbanding 1:1

Jumlah IP Publik pada Netmap = Ip Lokal

48

24
 2/27/2020

Action : Masquerade
 Secara otomatis akan menggunakan IP Address pada interface publik.

 Digunakan untuk mempermudah instalasi dan bila IP Address publik

pada interface publik menggunakan IP Address yang dinamik (misalnya
DHCP, PPTP atau EoIP)

 Jika Anda ingin "menyembunyikan" Private LAN 192.168.0.0/24 "di

belakang" satu alamat 10.5.8.109 yang diberikan kepada Anda oleh ISP,
Anda harus menggunakan fitur masquerade dari router MikroTik .
Masquerade akan mengubah alamat IP sumber dan port dari paket
berasal dari jaringan 192.168.0.0/24 ke alamat 10.5.8.109 router
ketika paket yang diarahkan melalui itu.
49

Untuk menggunakan masquerade, aturan NAT sumber dengan aksi

'masquerading' harus ditambahkan pada konfigurasi firewall:

/ip firewall nat add chain=srcnat action=masquerade

out-interface=Public

Semua koneksi keluar dari jaringan 192.168.0.0/24 akan memiliki alamat sumber
10.5.8.109 dari router dan sumber pelabuhan di atas 1024. Tidak ada akses dari
internet akan dibuat ke alamat lokal. Jika Anda ingin mengizinkan koneksi ke
server di jaringan lokal, Anda harus menggunakan Jaringan tujuan Address
Translation (NAT).
50

25
 2/27/2020

51

DST-NAT

DST-NAT dapat digunakan untuk pengalihan:

 Alamat tujuan & portnya

 Akses web kembali router
 Port tujuan
 DNS klien ke DNS router

52

26
 2/27/2020

DST-NAT

53

Action : DST-NAT

DST-NAT dapat digunakan untuk mengubah alamat tujuan & port,

agar pengguna internet dapat melakukan akses server di jaringan
lokal
54

27
 2/27/2020

DST NAT

REDIRECT DSTNAT NETMAP SAME

55

Action : DST-NAT

56

28
 2/27/2020

Action : REDIRECT
 Tindakan ini pengalihan / Membelokan dari IP Publik / DNS Ke
router
 Dapat digunakan untuk membuat transparent proxy jasa
(misalnya DNS, HTTP)

57

Action : REDIRECT
Pengalihan akses facebook ke router

58

29
 2/27/2020

Mangle mikrotik

Merupakan suatu cara yang digunakan untuk

menandai paket data dan koneksi tertentu yang
dapat diterapkan pada fitur mikrotik lainnya, sepeti
pada routes, pemisahan bandwidth pada queues,
NAT, filter rules dan lain-lain.
Mangle hanya bisa digunakan di router itu sendiri
dan tidak akan terbaca oleh router lain (proses
pembacaan rule mangle ini dilakukan dari urutan
pertama ke bawah).

59

PENGGUNAAN Mangle

60

30
 2/27/2020

Mangle PADA FIREWALL FILTER

61

Lima chain utama mangle

1. Chain Input digunakan untuk menandai trafik

yang masuk menuju ke router mikrotik dan hanya
bisa memilih In. Interface saja.
2. Chain Output digunakan untuk menandai trafik
yang keluar melalui router mikrotik dan hanya
bisa memilih Out. Interface saja.
3. Chain Forward digunakan untuk menandai trafik
yang keluar masuk melalui router dan dapat
memilih In dan Out Interface.

62

31
 2/27/2020

Lima chain utama mangle

4. Chain Prerouting digunakan untuk menandai

trafik yang masuk menuju dan melalui router
(trafik download), dan dapat memilih Out.
Interface saja.
5. Chain Postrouting digunakan untuk menandai
trafik yang keluar dan melalui router (trafik
upload) dan dan dapat memilih In. Interface
saja.

63

Lima chain utama mangle

64

32
 2/27/2020

Lima chain utama mangle

65

Mangle ACTION

ACTION FUNGSI
Accept Paket data diterima
Jump Paket data akan diforward ke chain lain
sesuai parameter jump-target
Return Paket data akan dikembalikan ke chain asal
sesuai urutan rule firewall jump sebelumnya
Passthrough Mengabaikan rule dan akan diteruskan ke rule
dibawahnya
Mark-connection Menandai paket “new” dari sebuah koneksi
Mark-packet Menandai semua paket
Mark-routing Menandai jalur routing
Change MSS Merubah besar MSS dari paket di header, agar
tidak terfragmentasi ketika menggunakan
koneksi VPN

66

33
 2/27/2020

Mangle ACTION

ACTION FUNGSI
Accept Paket data diterima
Jump Paket data akan diforward ke chain lain
sesuai parameter jump-target
Return Paket data akan dikembalikan ke chain asal
sesuai urutan rule firewall jump sebelumnya
Passthrough Mengabaikan rule dan akan diteruskan ke rule
dibawahnya
Mark-connection Menandai paket “new” dari sebuah koneksi
Mark-packet Menandai semua paket
Mark-routing Menandai jalur routing
Change MSS Merubah besar MSS dari paket di header, agar
tidak terfragmentasi ketika menggunakan
koneksi VPN

67

Mangle mikrotik

Setiap paket data hanya memiliki :

1 connection mark,
merupakan marking yang digunakan untuk
menandai adanya suatu koneksi. Paket yang ditandai
adalah paket pertama yang merupakan request dari
client atau respon dari server.

68

34
 2/27/2020

Connection mark untuk trafik HTTP

69

Action mark connection

70

35
 2/27/2020

Mangle mikrotik

1 packet-mark,
Merupakan marking yang dilakukan untuk paket-
paket lanjutan setelah paket pertama (conn-
mark)

1 route mark.
Merupakan marking yang diberikan kepada paket
data untuk keperluan routing (routing decision)

71

TERIMA KASIH

72

36