By : Padepokan-IT Course

http://padepokan-it.blogspot.com
1
1. Konsep Dasar Firewall
2. Penerapan ARP untuk Keamanan Internal Jaringan
3. Kemanan Jaringan Public
4. Firewall Mangle – Connection Mark
5. NAT & FILTER
6. Scripting & Scheduler
7. Blokir Situs
8. Penerapan Firewall di Mikrotik untuk berbagai
kasus

2
 Firewall adalah sistem keamanan jaringan komputer yang digunakan
untuk melindungi komputer dari beberapa jenis serangan dari komputer
luar dengan cara dengan menyaring paket data yang keluar dan masuk
di jaringan

Firewall Merupakan Perangkat yang berfungsi untuk memeriksa dan

menentukan paket data yang dapat keluar atau masuk dari sebuah
jaringan

3
Firewall terbagi atas dua jenis yakni,
1. Personal Firewall untuk melindungi sebuah komputer yang
terhubung ke jaringan dari akses yang tidak dikehendaki,
2. dan Network Firewall yang didesain untuk melindugi jaringan
secara keseluruhan dari berbagai serangan.

Pada dasarnya Firewall sendiri dapat melakukan hal-hal berikut:

1) Mengatur dan mengontrol lalu lintas jaringan
2) Melakukan autentikasi terhadap akses
3) Melindungi sumber daya dalam jaringan privat
4) Mencatat semua kejadian, dan melaporkan kepada
administrator

4
Fungsi Firewall Dalam Jaringan

 Packet Filtering : memeriksa header dari paket TCP/IP (

tergantung arsitektur jaringannya, dalam contoh ini
adalah TCP IP ) dan memutuskan apakah data ini
memiliki akses ke jaringan.
 Network Address Translation ( NAT ) : biasanya sebuah
jaringan memiliki sebuah IP public dan di dalam jaringan
sendiri memiliki IP tersendiri. Firewall berfungsi untuk
meneruskan paket data dari luar jaringan ke dalam
jaringan dengan benar sesuai IP komputer lokal.
 Application Proxy : firewall bisa mendeteksi protocol
aplikasi tertentu yang lebih spesifik.
 Traffic management : mencatat dan memantau trafik
jaringan

5
IMPLEMENTASI FIREWALL
 Firewall filtering biasanya dilakukan dengan cara
mendefinisikan IP addres, baik itu src-address maupun dst-
address.
 Digunakan Untuk Filtering Jaringan Misalnya Jika ingin
Memblok komputer client yang memiliki ip tertentu atau
ketika melakukan blok terhadap web tertentu berdasarkan ip
web tersebut.
 Digunakan untuk melindungi jaringan local dari ancaman luar,
misalnya virus atau serangan hacker

Keyword Address List

Ada 2 tipe address list, "Src. Address List" dan “dst Address
6
List” Src Address List adalah daftar sumber ip yang melakukan
koneksi, Dst Address List adalah ip tujuan yang hendak
diakses.
 KEAMANAN
JARINGAN INTERNAL

7
 Penerapan ARP untuk Keamanan DHCP Server
Agar Client tidak bisa menggunakan IP Static

Deskripsi

Address Resolution Protocol (ARP)

merupakan protocol Jaringan Local
yang digunakan untuk membuat
pemetaan antara IP address dan Mac
Address yang dimiliki satu computer
host.

Pemetaan ini bersifat dinamik

artinya Router Mikrotik akan
mencari sendiri MAC address suatu
komputer user berdasarkan IP
Address Komputer tersebut.

8
Langkah Konfigurasinya:
1. Klik Interfaces, kemudian double klik interface LAN yang
digunakan sebagai interface DHCP
2. Pilih Di Bagian ARP : Reply-Only

9
3. Konfigurasi di DHCP Server untuk menambahkan ARP ketika terjadi DHCP-
lease. Klik IP–>DHCP Server, edit DHCP, check Add ARP for leases

10
 Pemetaan IP dan MAC
address dapat saja dibuat
menjadi static sehingga
seorang user tidak dapat
menggunakan IP address
user milik user orang lain.
 Karena Jika User tersebut
mengganti IP addressnya
maka pemetaan ARP nya
menjadi tidak Valid lagi
dan ini akan
mengakibatkan komputer
user tersebut tidak dapat
terhubung ke router
mikrotik

11
 Konfigurasi Agar User Tidak Bisa Mengganti IP Static di
Jaringan Mikrotik Dengan Fungsi Reply-Only
 Klik Menu IP – ARP
 Daftarkan IP Address dan Mac Addressnya Termasuk IP Gateway Mikrotik ETH-1 dan
ETH-2

12
 Selanjutnya Rubah ARP menjadi Reply-Only di Menu Interface ETH2-LAN

13
 KEAMANAN
JARINGAN EKSTERNAL (PUBLIC)

14
MENGAMANKAN Service Port

 Pada tutorial ini akan dibahas cara mudah tahap awal

mengamankan router mikrotik yaitu dengan cara menutup
port di menu IP – Service.
 port adalah mekanisme yang mengizinkan sebuah
komputer untuk mendukung beberapa sesi koneksi dengan
komputer lainnya dan program di dalam jaringan.
 Port dapat mengidentifikasikan aplikasi dan layanan yang
menggunakan koneksi di dalam jaringan TCP/IP. Sehingga,
port juga mengidentifikasikan sebuah proses tertentu di
mana sebuah server dapat memberikan sebuah layanan
kepada klien atau bagaimana sebuah klien dapat mengakses
sebuah layanan yang ada dalam server.
 Dimana secara default port-port servist list mikrotik masih
terbuka diantaranya api, ftp, ssh, telnet, winbox, http, dan
https. Untuk itu harus kita tutup (disable

15
Teknis Konfigurasi

16
Keterangan Port

17
Langkah Terakhir

18
FIREWALL MANGLE
CONNECTION MARK

19
PENJELASAN MANGLE
CONNECTION MARK

20
 Contoh Studi Kasus
Penggunaan Mark Connection

21
22
 HASIL KONFIGURASI

Untuk mengetahui berhasil atau tidaknya marking yang kalian lakukan, ketika anda
coba browsing maka angka counter pada rules yang anda buat akan berjalan.

23
 LATIHAN
• Buat Marck Connection Untuk Ping
• Buat Mark Connection Untuk DNS
• Buat Mark Connection Untuk Download
• Buat Mark Connection Untuk Streaming

24
KONSEP NAT & FILTER

25
Network Address Translation
(NAT)

 Nat adalah Suatu Fungsi Firewall yang

bertugas melkukan perubahan IP address
pengirim dari sebuah paket data
 Nat umumnya dijalankan pada router-router
yang menjadi batas antara jaringan local &
jaringan internet
 Secara Teknis NAT akan mengubah paket data
yang berasal dari komputer user seolah-olah
berasal dari router
 Syntak : ip firewall nat add chain=srcnat out-
interface=ether1 action=masquarade

26
Penerapan NAT
• Masquarade Untuk IP Address Tertentu
Dengan Menambahkan src-address : 192.168.1.2-192.168.1.10 maka hnaya
IP komputer tersebutlah yang bisa berinternet
• Masquarade Untuk Aplikasi Tertentu
Implementasi dilapangan jika kita mengiginkan komputer user hanya
mendapatkan layanan internet tertentu. (Misal hanya browsing saja), maka
admin harus menambahkan opsi protocol dan destination port.
• Masquarade dengan Fungsi Waktu
Router dapat membatasi akses layanan internet berdasarkan Hari dan jam.

27
Filter

• Fitur Filter Pada firewall digunakan untuk menentukan

apakah suatu paket data dapat masuk atau tidak
kedalam sistem router itu sendiri
• Paket data yang akan di tangani fitur filter ini adalah
paket data yang ditujukan pada salah satu interface
router
• Fitur Filter dapat menangani paket data yang melintasi
router dari jaringan local ke internet
• Fitur Filter dapat dikolaborasikan dengan NAT
• Fitur Filter memiliki 3 Chain : Input, Output, Forward

28
Chain Input

• Bertugas Menangani paket data yang ditujukan pada interface router

mikrotik
• Chain input berguna untuk membatasi akses konfigurasi terhadap router
mikrotik.
• Contoh Bila admin mengiginkan interface ether1 tidak dapat di ping dari
internet
Syntak : ip firewall filter add chain=input in-interface=ether1 prtocol=icmp
connection-state=established action=accept

29
Chain Forward

 Digunakan untuk menangani paket data yang

akan melintasi router
 Chain Forward akan menangani paket data
yang melintasi router, baik paket data dari
jaringan lokalyang ingin ke internet maupun
sebaliknya.
 Implementasi Chain Forward, ketika admin
memblok akses internet dari IP tertentu.
Syntak : ip firewall filter add chain=forward
src-address=192.168.10.5/24 out-
interface=ether1 action = drop

30
Chain Forward dan Content

• Digunakan untuk memblokir akses internet terhadap situs

tertentu ataupun aktifitas user yang ingin mendownload
jenis-jenis file tertentu
• Untuk Menggunakannya gunakan option content yang ada
pada fitur firewall filter.
• Contoh Syntak
ip firewall filter add chain=forward src-
address=192.168.1.5/24 content=www.facebook.com
action=drop

Action Drop digunakan untuk memblokir

31
Action Drop VS Action Reject

• Action Drop berfungsi Membuang Paket data Yang berasal dari komputer
yang di blok oleh router.

• Action Reject berfungsi membuang paket data namun router akan

memberitahukan kepada komputer user. Pemberitahuan ini menggunakan
protokol ICMP (Internet Control Message protocol)

Contoh Syntak :
ip firewall filter add chain=forward src address=10.10.10.0/24
action=reject reject-with=icmp-host-uncreable

32
Address List
• Router Mikrotik Menyediakan fitur address list untuk merujuk IP address tertentu
dengan sebuah nama.
• Fitur ini dapat digunakan untuk keperluan deklarasi IP Address maupun untuk
kepentingan logging (Pencatatan Aktifitas Jaringan)
• Penggunaan deklarasi IP address menjadi sebuah nama akan membuat anda tidak
terlalu repot mengelola jaringan jika suatu saat terjadi perubahan IP Address.

CONTOH KASUS

Admin Jaringan ingin memberikan Akses yang seluas-luasnya bagi komputer

administrator dengan IP Address 192.168.10.4 namun tiba-tiba sang administrator tidak
ingin lagi menggunakan IP address tersebut mengakibatkan admin harus merubah
seluruh konfigurasi yang sudah dibuat pada filter maupun NAT. Dengan Menggunakan
Address List admin jaringan hanya cukup merubah deklarasi IP Address bahwa komputer
administrator sudah berpindah ke IP Address 192.168.10.3

33
Implementasi Addres List
1. Membuat Address List
2. Penerapan Address List Pada NAT
Ip firewall address-list add address=192.168.1.0/24 list=‘jaringan-
local’
Ip firewall address-list add address=192.168.1.2/24 list=‘pc-admin’
Ip firewall nat add chain=srcnat out interface=ether1 src-address-
list=“pc-admin” action=masquarade

Ip firewall nat add chain=srcnat out interface=ether1 src-address-

list=“jaringan-lokal” protocol=tcp dst-port=80,443 action masquarade

Penjelasan
Konfigurasi NAT 1 diatas bermaksud memberikan akses internet yang penuh
bagi komputer administrator (ditandai dengan src-address-list=“pc-admin”)

Konfigurasi Di NAT yang ke 2 hanya memberikan akses in ternet browsing

34
(http/https) pada komputer-komputer lain ditandai dengan src-address-list =
“jaringan-lokal”)
1. Membuat Firewall Untuk Memblock Akses Internet Dari 1 Ip
Address Client.
2. Membuat Firewall Untuk Memblock Akses Internet Dari 1 Mac
Address Client.
3. Membuat Firewall Untuk Memblock Akses Internet Dari
Sekelompok Ip Address Client.
4. Blokir Berdasarkan Port
5. Membuat Firewall Untuk Memblock Akses Internet Dari
Sekelompok Ip Address Attacker.
6. Membuat Firewall Untuk Memblock Akses Internet Dari Client Ke
Suatu Websites Terlarang.
7. Membuat Firewall Dengan Penjadwalan Waktu
8. Membuat Firewall Dengan Fasilitas Layer 7 (RageXp)

35
Blok Akses Internet Berdasarkan IP Tertentu

Jadi Firewall ini berarti : “Jika ada Client dengan IP : 192.168.1.34 yang akan
mengakses internet dengan OUTGOING melalui Interface WAN, maka
koneksi ini akan di DROP oleh Mikrotik.
36
Blok Berdasarkan MAC Address

Jadi Firewall ini berarti : “Jika ada Client dengan Mac Address sesuai
Mac target yang akan mengakses internet dengan OUTGOING
37 melalui
Interface WAN, maka koneksi ini akan di DROP oleh Mikrotik.
Blok Berdasarkan Sekelompok IP Address
LANGKAHNYA :
1. Membuat Daftar IP yang akan di Blok di Menu Address List

38
2. Membuat Rule Firewall di Filter Rule

Jadi Firewall ini berarti : “Jika ada Client dengan IP

Address yang terdaftar pada“CLIENT NO INTERNET” yang
akan mengakses internet dengan OUTGOING melalui
Interface WAN, maka koneksi ini akan di DROP oleh Mikrotik.39
MEMBLOCK AKSES INTERNET DARI CLIENT KE SUATU
WEBSITES TERLARANG.

40
Blokir Berdasarkan Port
Contoh Kasus
Di Sebuah kantor menerapkan kebijakan bahwa komputer dibagian
Gudang hanya bisa mengakses Ms Outlook saja sebagai email client, dan
tidak diperbolehkan melakukan browsing selama jam kerja

Penyelesaian

1. Login Menggunakan Winbox

2. Masuk ke Menu IP – Firewall
3. Klik Tab Filter Rule kemudian Klik tombol +
4. Selanjutnya Masukan Script Dibawah ini

[admin@mikrotik] /ip firewall filter > add src-address=192.168.1.42

protocol=tcp dst-port=80 chain=forward action=drop

41
Konfigurasi Dengan Winbox

42
Blok Dari IP Attacker

43
 Jadi Firewall ini berarti : “Jika ada orang atau system dengan IP
Address yang terdaftar pada “ATTACKER” yang akan mengakses IP Publick /
IP WAN kita yang masuk melalui Interface WAN, maka koneksi ini akan
di DROP oleh Mikrotik.

44
Blok Situs Berdasarkan Waktu Menggunakan
Metode Chain Forward dan Content

Tahapan Konfigurasi :
1. Mengatur Waktu di System Clok dan SNTP Client
2. Membuat Rule Di Firewall Filter
3. Membuat Script Untuk Menjalankan Firewall Secara
otomatis
4. Membuat Penjadwalan Waktu di Menu Sheduler
5. Uji Coba Firewall di Komputer Client

45
 Mengatur System Clock dan SNTP Client

System - Clock

System – SNTP Client

46
 Menambahkan Filter Rule

Catatan : Jika ingin Memblok Seluruh Client untuk tidak bisa mengakses facebook tuliskan pada src
address 0.0.0.0/0 artinya semua IP pada range semua subnet yaitu semua alamat ip dari 0.0.0.1
s/d 255.255.255.255 akan di blok untuk tidak bisa mengakses situs facebook
47
Membuat Script Untuk Menonaktifkan Firewall

VIA TERMINAL
/system script add name="fb-allow"
policy=write,read,policy,test,sniff
source={/ip firewall filter set [/ip
firewall filter find
content="facebook"] disabled=yes}

48
Membuat Script Untuk Mengaktifkan Firewall

VIA TERMINAL

/system script add name="fb-deny"

policy=write,read,policy,test,sniff
source={/ip firewall filter set [/ip
firewall filter find
content="facebook"] disabled=no}

49
Membuat Penjadwalan (Shedule) Script

Klik System - Scheduler

50
51
Konfigurasi By Terminal
• /system scheduler add name="fb-08:00" start-date=jun/03/2014 start-
time=08:00:00 interval=1d on-event="fb-deny“
Schedule untuk mengaktifkan (enable) firewall pada jam kerja (08:00) :

• /system scheduler add name="fb-12:00" start-date= jun/03/2014start-

time=12:00:00 interval=1d on-event="fb-allow“
Schedule untuk mematikan (disable) firewall pada jam istirahat (12:00) :

• /system scheduler add name="fb-13:00" start-date= jun/03/2014start-

time=13:00:00 interval=1d on-event="fb-deny“
Schedule untuk mengaktifkan kembali (enable) firewall pada jam kerja (13:00)

• /system scheduler add name="fb-17:00" start-date= jun/03/2014start-

time=17:00:00 interval=1d on-event="fb-allow“
Schedule untuk mematikan (disable) firewall di luar jam kerja ke atas ( > 17:00) :

52
Membuat Firewall Dengan Fasilitas Layer 7 (RageXp)

Mengapa layer7? Sebelumnya saya pernah menerapkan blok akses Facebook

dengan cara drop by content pada Firewall. Hasilnya Facebook.com memang
berhasil diblok, namun beberapa website (seperti forum cpanel dan website lain
yang mengandung konten Facebook) ikut terblok. Setelah dicoba menerapkan
rule blok akses Facebook dengan layer7, hasilnya sesuai dengan harapan

Langkah Yang Dilakukan :

1. Membuat Exeption IP yang akan di Bypass (Optional)
2. Menambahkan Rule Facebook Pada Leyer 7
3. Membuat Mangle Mark Connection dan Mark Packet
4. Setting Filter Rule Untuk Penyaringan Paket yang Masuk dengan 2
buah filter ( Action – Jump, dan Action Drop)

53
Membuat Exeption (IP yang akan di Bypass)

• IP >> FIREWALL >> Address List

• Klik tanda + (Add)
• Beri Nama dan Tentukan IP yang akan di Bypass

54
 Menambahkan Rule Facebook Pada Leyer 7 Situs Yang akan di Blok

• IP > FIREWALL > Layer 7 Protocols

• Klik tanda + (Add), tambahkan seperti pada gambar di bawah. Kemudian klik OK

55
Membuat Mangle Mark Connection
dan Mark Packet
Mangle berfungsi mengelompokkan akses yang menuju ke
www.facebook.com untuk dimasukan ke rule illegal-url-connection.

Langkahnya
• IP > FIREWALL > MANGLE
• Tambahkan mangle yang pertama, klik button + (Add)
• Pada menu General > Chain: pilih Forward
• Pada menu Advanced > Layer7 Protocol: pilih www.face (sesuai yang kita isi
di layer7)
• Pada menu Action > pilih mark connection, kemudian new mark connection
isikan: mark-ilegal-connection. Detail seperti gambar di bawah ini:

56
Mangle Mark Connection

57
Mangle Mark Packet
• Tambahkan mangle kedua dengan klik tanda + (Add) Pada General > Chain: pilih forward.
• Connection mark: pilih mark-ilegal-connection Pada menu Action: pilih mark packet, new mark
packet isikan dengan: facebook-packet. Detail seperti gambar di bawah ini:

58
 Setting Filter Rule Untuk Penyaringan Paket yang Masuk
• IP > FIREWALL > FILTER RULE
• Silakan tambahkan filter rule, klik tanda + (Add).
• Pada menu General > Chain : pilih forward, Packet Mark: pilih facebook-packet (sesuai isi dari new mark
packet pada mangle)
• Pada menu Action > Action: pilih jump, jump target isikan : ilegal-url. Detailnya seperti di gambar di bawah
ini:

59
Setting Filter Rule Action Drop
• Silakan tambahkan filter rule untuk drop, klik tanda + (Add)
• Pada menu General > Chain: pilih ilegal-url
• Pada menu Advanced > source dan destination address list centang tanda seru dan pilih
exception (bertanda bahwa list exception tidak dikenakan drop action)
• Pada menu Action > Action: pilih drop. Detailnya seperti gambar di bawah ini:

60
Firewall Default Configuration Mikrotik
Ada beberapa rule firewall yang akan dibuat oleh default konfigurasi untuk
kemanan router dan untuk menghemat resource router dengan melakukan drop
paket yang tidak dibutuhkan. Berikut rule firewall default konfigurasi :

/ip firewall
1 filter add chain=input action=accept protocol=icmp comment="default
configuration"
2 filter add chain=input action=accept connection-state=established in-
interface=ether1-gateway comment="default configuration"
3 filter add chain=input action=accept connection-state=related in-
interface=ether1-gateway comment="default configuration"
4 filter add chain=input action=drop in-interface=ether1-gateway
comment="default configuration"
5 nat add chain=srcnat out-interface=ether1-gateway action=masquerade
comment="default configuration"

61
Penjelasan Rule Firewall

• Rule pertama di firewall tersebut akan mengijinkan koneksi

ICMP yang menuju ke router.
• Rule kedua mengijinkan koneksi yang sudah memiliki status
established menuju ke router
• Rule ketiga mengijinkan koneksi yang sudah memiliki status
related yang juga menuju router.
• Rule keempat akan melakukan drop setiap koneksi menuju
router yang masuk melalui interface ether1-gateway
• Dan rule terakhir merupakan rule NAT yang mengijinkan
client dibawah router untuk meminjam ip router agar bisa
terkoneksi ke jaringan internet.

62
 3 Cara Ampuh Blokir Situs

1. Buat Rule di Regexp Layer 7

2. Buat Mangle
3. Buat Filter Rule

Tutorial Lengkap Bisa di Baca disini

http://padepokan-it.blogspot.com/2015/05/3-cara-ampuh-
blokir-situs-di-mikrotik.html
63
STUDI KASUS FIREWALL
PERUSAHAAN JAYA SAKTI CEMERLANG MENERAPKAN MIKROTIK SEBAGAI ROUTER,
ANDA SEBAGAI ADMIN JARINGAN DI BERI TANGGUNG JAWAB UNTUK MENGELOLA
KEAMANAN JARINGAN. DIMANA PERUSAHAAN MEMPUNYAI KEBIJAKAN SEBAGAI BERIKUT:

1. Komputer client dengan IP 192.168.1.40 Sama sekali tidak boleh

mengakses internet
2. Komputer client dengan IP 192.168.1.41 tidak bisa buka semua situs
kecuali E-mail saja
3. Komputer client dengan IP 192.168.1.42 hanya bisa buka situs
Jamsostek saja. Yaitu www.bpjsketenagakerjaan.go.id
4. Komputer client dengan IP 192.168.1.43 hanya boleh mengakses situs
berita saja seperti detik.com, kompas.com, liputan6.com dan yang
lainnya.
5. Setiap komputer client tidak bisa merubah IP yang telah diberikan oleh
admin. dengan konsekuensi jika merubah IP maka tidak akan
terkoneksi ke internet.
6. Untuk Client Wifi / DHCP Server tidak bisa merubah IP menjadi Static.
7. Semua komputer client khusus staff tidak bisa membuka situs facebook
dan youtube pada jam kerja mulai jam 08.00 – 17.00
8. Yang mempunyai full akses ke semua website hanya PC Manager,
Direktur, dan Owner. Dengan segmen IP 192.168.10.0/24
9. Tidak bisa sembarang komputer khususnya client Laptop atau Gadget 64
masuk ke area Wifi
10. Mikrotik tidak bisa diakses oleh yang tidak berwenang
STUDI KASUS 2
 Bagaimana Konfigurasi Firewall di Mikrotik jika
Client (Laptop, Tablet, SmartPhone) tidak bisa
masuk ke Jaringan secara Sembarangan
Artinya Client tersebut Harus Terdaftar di
Router Mikrotik ?
 Solusi

1. Gunakan Metode ARP Reply-Only Di

Interfaces.
2. Daftarkan Mac Address Client dan IP Nya di
ARP Mikrotik
65
 Sumber Refrensi
 Mikrotik.co.id
 Mikrotikindo.blogspot.com
 http://mediabisnisonline.com/tutorial-networking-blok-akses-facebook-di-mikrotik/
 Buku Mikrotik Kungfu Jilid 1 Jasakom
 Hasil Project/Implementasi Dilapangan di Garment Industry

66
 BERSAMBUNG KE BAGIAN-4
MEMBUAT HOTSPOT DENGAN MIKROTIK

By : Padepokan-IT COURSES
www.padepokanit.com

67