http://padepokan-it.blogspot.com
1
1. Konsep Dasar Firewall
2. Penerapan ARP untuk Keamanan Internal Jaringan
3. Kemanan Jaringan Public
4. Firewall Mangle – Connection Mark
5. NAT & FILTER
6. Scripting & Scheduler
7. Blokir Situs
8. Penerapan Firewall di Mikrotik untuk berbagai
kasus
2
Firewall adalah sistem keamanan jaringan komputer yang digunakan
untuk melindungi komputer dari beberapa jenis serangan dari komputer
luar dengan cara dengan menyaring paket data yang keluar dan masuk
di jaringan
3
Firewall terbagi atas dua jenis yakni,
1. Personal Firewall untuk melindungi sebuah komputer yang
terhubung ke jaringan dari akses yang tidak dikehendaki,
2. dan Network Firewall yang didesain untuk melindugi jaringan
secara keseluruhan dari berbagai serangan.
4
Fungsi Firewall Dalam Jaringan
5
IMPLEMENTASI FIREWALL
Firewall filtering biasanya dilakukan dengan cara
mendefinisikan IP addres, baik itu src-address maupun dst-
address.
Digunakan Untuk Filtering Jaringan Misalnya Jika ingin
Memblok komputer client yang memiliki ip tertentu atau
ketika melakukan blok terhadap web tertentu berdasarkan ip
web tersebut.
Digunakan untuk melindungi jaringan local dari ancaman luar,
misalnya virus atau serangan hacker
7
Penerapan ARP untuk Keamanan DHCP Server
Agar Client tidak bisa menggunakan IP Static
Deskripsi
8
Langkah Konfigurasinya:
1. Klik Interfaces, kemudian double klik interface LAN yang
digunakan sebagai interface DHCP
2. Pilih Di Bagian ARP : Reply-Only
9
3. Konfigurasi di DHCP Server untuk menambahkan ARP ketika terjadi DHCP-
lease. Klik IP–>DHCP Server, edit DHCP, check Add ARP for leases
10
Pemetaan IP dan MAC
address dapat saja dibuat
menjadi static sehingga
seorang user tidak dapat
menggunakan IP address
user milik user orang lain.
Karena Jika User tersebut
mengganti IP addressnya
maka pemetaan ARP nya
menjadi tidak Valid lagi
dan ini akan
mengakibatkan komputer
user tersebut tidak dapat
terhubung ke router
mikrotik
11
Konfigurasi Agar User Tidak Bisa Mengganti IP Static di
Jaringan Mikrotik Dengan Fungsi Reply-Only
Klik Menu IP – ARP
Daftarkan IP Address dan Mac Addressnya Termasuk IP Gateway Mikrotik ETH-1 dan
ETH-2
12
Selanjutnya Rubah ARP menjadi Reply-Only di Menu Interface ETH2-LAN
13
KEAMANAN
JARINGAN EKSTERNAL (PUBLIC)
14
MENGAMANKAN Service Port
15
Teknis Konfigurasi
16
Keterangan Port
17
Langkah Terakhir
18
FIREWALL MANGLE
CONNECTION MARK
19
PENJELASAN MANGLE
CONNECTION MARK
20
Contoh Studi Kasus
Penggunaan Mark Connection
21
22
HASIL KONFIGURASI
Untuk mengetahui berhasil atau tidaknya marking yang kalian lakukan, ketika anda
coba browsing maka angka counter pada rules yang anda buat akan berjalan.
23
LATIHAN
• Buat Marck Connection Untuk Ping
• Buat Mark Connection Untuk DNS
• Buat Mark Connection Untuk Download
• Buat Mark Connection Untuk Streaming
24
KONSEP NAT & FILTER
25
Network Address Translation
(NAT)
26
Penerapan NAT
• Masquarade Untuk IP Address Tertentu
Dengan Menambahkan src-address : 192.168.1.2-192.168.1.10 maka hnaya
IP komputer tersebutlah yang bisa berinternet
• Masquarade Untuk Aplikasi Tertentu
Implementasi dilapangan jika kita mengiginkan komputer user hanya
mendapatkan layanan internet tertentu. (Misal hanya browsing saja), maka
admin harus menambahkan opsi protocol dan destination port.
• Masquarade dengan Fungsi Waktu
Router dapat membatasi akses layanan internet berdasarkan Hari dan jam.
27
Filter
28
Chain Input
29
Chain Forward
30
Chain Forward dan Content
31
Action Drop VS Action Reject
• Action Drop berfungsi Membuang Paket data Yang berasal dari komputer
yang di blok oleh router.
Contoh Syntak :
ip firewall filter add chain=forward src address=10.10.10.0/24
action=reject reject-with=icmp-host-uncreable
32
Address List
• Router Mikrotik Menyediakan fitur address list untuk merujuk IP address tertentu
dengan sebuah nama.
• Fitur ini dapat digunakan untuk keperluan deklarasi IP Address maupun untuk
kepentingan logging (Pencatatan Aktifitas Jaringan)
• Penggunaan deklarasi IP address menjadi sebuah nama akan membuat anda tidak
terlalu repot mengelola jaringan jika suatu saat terjadi perubahan IP Address.
CONTOH KASUS
33
Implementasi Addres List
1. Membuat Address List
2. Penerapan Address List Pada NAT
Ip firewall address-list add address=192.168.1.0/24 list=‘jaringan-
local’
Ip firewall address-list add address=192.168.1.2/24 list=‘pc-admin’
Ip firewall nat add chain=srcnat out interface=ether1 src-address-
list=“pc-admin” action=masquarade
Penjelasan
Konfigurasi NAT 1 diatas bermaksud memberikan akses internet yang penuh
bagi komputer administrator (ditandai dengan src-address-list=“pc-admin”)
35
Blok Akses Internet Berdasarkan IP Tertentu
Jadi Firewall ini berarti : “Jika ada Client dengan IP : 192.168.1.34 yang akan
mengakses internet dengan OUTGOING melalui Interface WAN, maka
koneksi ini akan di DROP oleh Mikrotik.
36
Blok Berdasarkan MAC Address
Jadi Firewall ini berarti : “Jika ada Client dengan Mac Address sesuai
Mac target yang akan mengakses internet dengan OUTGOING
37 melalui
Interface WAN, maka koneksi ini akan di DROP oleh Mikrotik.
Blok Berdasarkan Sekelompok IP Address
LANGKAHNYA :
1. Membuat Daftar IP yang akan di Blok di Menu Address List
38
2. Membuat Rule Firewall di Filter Rule
40
Blokir Berdasarkan Port
Contoh Kasus
Di Sebuah kantor menerapkan kebijakan bahwa komputer dibagian
Gudang hanya bisa mengakses Ms Outlook saja sebagai email client, dan
tidak diperbolehkan melakukan browsing selama jam kerja
Penyelesaian
41
Konfigurasi Dengan Winbox
42
Blok Dari IP Attacker
43
Jadi Firewall ini berarti : “Jika ada orang atau system dengan IP
Address yang terdaftar pada “ATTACKER” yang akan mengakses IP Publick /
IP WAN kita yang masuk melalui Interface WAN, maka koneksi ini akan
di DROP oleh Mikrotik.
44
Blok Situs Berdasarkan Waktu Menggunakan
Metode Chain Forward dan Content
Tahapan Konfigurasi :
1. Mengatur Waktu di System Clok dan SNTP Client
2. Membuat Rule Di Firewall Filter
3. Membuat Script Untuk Menjalankan Firewall Secara
otomatis
4. Membuat Penjadwalan Waktu di Menu Sheduler
5. Uji Coba Firewall di Komputer Client
45
Mengatur System Clock dan SNTP Client
System - Clock
46
Menambahkan Filter Rule
Catatan : Jika ingin Memblok Seluruh Client untuk tidak bisa mengakses facebook tuliskan pada src
address 0.0.0.0/0 artinya semua IP pada range semua subnet yaitu semua alamat ip dari 0.0.0.1
s/d 255.255.255.255 akan di blok untuk tidak bisa mengakses situs facebook
47
Membuat Script Untuk Menonaktifkan Firewall
VIA TERMINAL
/system script add name="fb-allow"
policy=write,read,policy,test,sniff
source={/ip firewall filter set [/ip
firewall filter find
content="facebook"] disabled=yes}
48
Membuat Script Untuk Mengaktifkan Firewall
VIA TERMINAL
49
Membuat Penjadwalan (Shedule) Script
50
51
Konfigurasi By Terminal
• /system scheduler add name="fb-08:00" start-date=jun/03/2014 start-
time=08:00:00 interval=1d on-event="fb-deny“
Schedule untuk mengaktifkan (enable) firewall pada jam kerja (08:00) :
52
Membuat Firewall Dengan Fasilitas Layer 7 (RageXp)
53
Membuat Exeption (IP yang akan di Bypass)
54
Menambahkan Rule Facebook Pada Leyer 7 Situs Yang akan di Blok
55
Membuat Mangle Mark Connection
dan Mark Packet
Mangle berfungsi mengelompokkan akses yang menuju ke
www.facebook.com untuk dimasukan ke rule illegal-url-connection.
Langkahnya
• IP > FIREWALL > MANGLE
• Tambahkan mangle yang pertama, klik button + (Add)
• Pada menu General > Chain: pilih Forward
• Pada menu Advanced > Layer7 Protocol: pilih www.face (sesuai yang kita isi
di layer7)
• Pada menu Action > pilih mark connection, kemudian new mark connection
isikan: mark-ilegal-connection. Detail seperti gambar di bawah ini:
56
Mangle Mark Connection
57
Mangle Mark Packet
• Tambahkan mangle kedua dengan klik tanda + (Add) Pada General > Chain: pilih forward.
• Connection mark: pilih mark-ilegal-connection Pada menu Action: pilih mark packet, new mark
packet isikan dengan: facebook-packet. Detail seperti gambar di bawah ini:
58
Setting Filter Rule Untuk Penyaringan Paket yang Masuk
• IP > FIREWALL > FILTER RULE
• Silakan tambahkan filter rule, klik tanda + (Add).
• Pada menu General > Chain : pilih forward, Packet Mark: pilih facebook-packet (sesuai isi dari new mark
packet pada mangle)
• Pada menu Action > Action: pilih jump, jump target isikan : ilegal-url. Detailnya seperti di gambar di bawah
ini:
59
Setting Filter Rule Action Drop
• Silakan tambahkan filter rule untuk drop, klik tanda + (Add)
• Pada menu General > Chain: pilih ilegal-url
• Pada menu Advanced > source dan destination address list centang tanda seru dan pilih
exception (bertanda bahwa list exception tidak dikenakan drop action)
• Pada menu Action > Action: pilih drop. Detailnya seperti gambar di bawah ini:
60
Firewall Default Configuration Mikrotik
Ada beberapa rule firewall yang akan dibuat oleh default konfigurasi untuk
kemanan router dan untuk menghemat resource router dengan melakukan drop
paket yang tidak dibutuhkan. Berikut rule firewall default konfigurasi :
/ip firewall
1 filter add chain=input action=accept protocol=icmp comment="default
configuration"
2 filter add chain=input action=accept connection-state=established in-
interface=ether1-gateway comment="default configuration"
3 filter add chain=input action=accept connection-state=related in-
interface=ether1-gateway comment="default configuration"
4 filter add chain=input action=drop in-interface=ether1-gateway
comment="default configuration"
5 nat add chain=srcnat out-interface=ether1-gateway action=masquerade
comment="default configuration"
61
Penjelasan Rule Firewall
62
3 Cara Ampuh Blokir Situs
66
BERSAMBUNG KE BAGIAN-4
MEMBUAT HOTSPOT DENGAN MIKROTIK
By : Padepokan-IT COURSES
www.padepokanit.com
67