FIREWALL
Firewall
1
2/27/2020
Firewall
Prinsip-prinsip firewall:
Sebuah sistem keamanan jaringan yang melindungi jaringan internal dari luar
(misalnya internet)
untuk melindungi router dan klien dari akses yang tidak diijinkan
untuk mencegah perangkat local atau remote
untuk mengijinkan beberapa HOST/IP untuk masuk atau keluar router
Menggunakan aturan yang dianalisis secara berurutan (dari atas ke bawah) sampai
terjadi kecocokan
Implementasi firewall di Mikrotik diatur oleh fitur Filter dan NAT
Fitur lain yang support firewall adalah mangle dan connection tracking
2
2/27/2020
3
2/27/2020
Traffic yang tidak bersumber dari Router, dan bukan ditujukan untuk
Router, tetapi hanya melewati Router
4
2/27/2020
Input interface
10
5
2/27/2020
output interface
11
ROUTING DECISION
proses yang menentukan apakah paket data yang masuk akan disalurkan
keluar router, atau menuju ke router itu sendiri
12
6
2/27/2020
Local process
Proses pada Router itu sendiri, jika ada paket data yang menuju ke router
atau berasal dari router
13
14
7
2/27/2020
Firewall filter
15
16
8
2/27/2020
17
18
9
2/27/2020
19
o jump, berpindah ke
chain lainnya sesuai
jumptarget, tanpa
jump paket input
ICMP akan melewati
5 baris sebelum di
drop
20
10
2/27/2020
o return, kembali ke
chain sebelumnya
sesudah melalui
jump
21
22
11
2/27/2020
Contoh:
o Cek koneksi semua IP ke router
o Buat firewall untuk menutup semua IP yang terkoneksi ke router
kecuali 192.168.1.2
o Cek koneksi IP 192.168.1.2 ke router dan bandingkan dengan IP lain
23
Solusi 1:
o chain = input, src address = 192.168.1.1, action =
accept
o chain = input, action = drop
Solusi 2:
o chain = input, src address = (!) 192.168.1.1, action =
drop
24
12
2/27/2020
Solusi 1:
o Ijinkan IP 192.168.1.1
(action=accept)
o Drop semua IP
(src=dikosongkan)
Urutan tidak boleh terba
* Hasilnya:
Hanya 192.168.1.1 yang
terkoneksi ke router
25
Solusi 2:
o Drop semua IP yang
menuju router, kecuali
192.168.1.1
* Hasilnya:
Hanya 192.168.1.1 yang
terkoneksi ke router
26
13
2/27/2020
ADDRESS LIST
Pada saat tertentu, kita ingin membuat firewall untuk beberapa IP tunggal
sekaligus. Contoh:
o 192.168.10.21 – TCP – dstpot=8291 - DROP
o 192.168.10.10 – TCP – dstpot=8291 - DROP
o 192.168.10.40 – TCP – dstpot=8291 - DROP
o 192.168.10.83 – TCP – dstpot=8291 - DROP
27
ADDRESS LIST
28
14
2/27/2020
ADDRESS LIST
29
MAC filtering
30
15
2/27/2020
MAC filtering
31
Connection tracking
32
16
2/27/2020
Connection tracking
33
34
17
2/27/2020
Connection tracking
35
Connection state
36
18
2/27/2020
Connection state
Invalid
o Tiba-tiba muncul traffic tanpa ada request dari
internal, bias saja virus atau bias saja traffic yang
berasal dari multi backbone
New
o Packet yang baru saja dibuat
Establish
o Packet yang mengikuti paket baru yang merupakan
kelanjutan/sambungan dari packet pertama
Related
Packet yang tiba-tiba muncul, namun masih berkaitan
37
Firewall nat
38
19
2/27/2020
Firewall nat
39
SRC NAT,
memproses traffic yang keluar dari router
sesudah chain output dan yang melalui router
sesudah chain forward.
DST NAT,
memproses traffic yang menuju/melalui
router sebelum chain input dan forward.
40
20
2/27/2020
DIAGRAM NAT
MASUK
LEBIH LEBIH
DEKAT DEKAT
41
SRC NAT
42
21
2/27/2020
SRC-NAT
43
44
22
2/27/2020
Action : src-nat
Melakukan NAT, dari beberapa IP
lokal ke satu IP Publik
Action : src-
nat
45
Action : same
46
23
2/27/2020
2 Ip Publik
Dibagi secara otomatis
47
Action : netmap
48
24
2/27/2020
Action : Masquerade
Secara otomatis akan menggunakan IP Address pada interface publik.
Semua koneksi keluar dari jaringan 192.168.0.0/24 akan memiliki alamat sumber
10.5.8.109 dari router dan sumber pelabuhan di atas 1024. Tidak ada akses dari
internet akan dibuat ke alamat lokal. Jika Anda ingin mengizinkan koneksi ke
server di jaringan lokal, Anda harus menggunakan Jaringan tujuan Address
Translation (NAT).
50
25
2/27/2020
51
DST-NAT
52
26
2/27/2020
DST-NAT
53
Action : DST-NAT
27
2/27/2020
DST NAT
55
Action : DST-NAT
56
28
2/27/2020
Action : REDIRECT
Tindakan ini pengalihan / Membelokan dari IP Publik / DNS Ke
router
Dapat digunakan untuk membuat transparent proxy jasa
(misalnya DNS, HTTP)
57
Action : REDIRECT
Pengalihan akses facebook ke router
58
29
2/27/2020
Mangle mikrotik
59
PENGGUNAAN Mangle
60
30
2/27/2020
61
62
31
2/27/2020
63
64
32
2/27/2020
65
Mangle ACTION
ACTION FUNGSI
Accept Paket data diterima
Jump Paket data akan diforward ke chain lain
sesuai parameter jump-target
Return Paket data akan dikembalikan ke chain asal
sesuai urutan rule firewall jump sebelumnya
Passthrough Mengabaikan rule dan akan diteruskan ke rule
dibawahnya
Mark-connection Menandai paket “new” dari sebuah koneksi
Mark-packet Menandai semua paket
Mark-routing Menandai jalur routing
Change MSS Merubah besar MSS dari paket di header, agar
tidak terfragmentasi ketika menggunakan
koneksi VPN
66
33
2/27/2020
Mangle ACTION
ACTION FUNGSI
Accept Paket data diterima
Jump Paket data akan diforward ke chain lain
sesuai parameter jump-target
Return Paket data akan dikembalikan ke chain asal
sesuai urutan rule firewall jump sebelumnya
Passthrough Mengabaikan rule dan akan diteruskan ke rule
dibawahnya
Mark-connection Menandai paket “new” dari sebuah koneksi
Mark-packet Menandai semua paket
Mark-routing Menandai jalur routing
Change MSS Merubah besar MSS dari paket di header, agar
tidak terfragmentasi ketika menggunakan
koneksi VPN
67
Mangle mikrotik
68
34
2/27/2020
69
70
35
2/27/2020
Mangle mikrotik
1 packet-mark,
Merupakan marking yang dilakukan untuk paket-
paket lanjutan setelah paket pertama (conn-
mark)
1 route mark.
Merupakan marking yang diberikan kepada paket
data untuk keperluan routing (routing decision)
71
TERIMA KASIH
72
36