AIJ - Troubleshooting Firewall (BAB 4)(Kelas XII)

ВАВ 4
Troubleshooting Firewall

A. KOMPETENSI DASAR
1. Menganalisis permasalahan firewall
2. Memperbaiki konfigurasi firewall

Dalam membangun suatu firewall ada beberapa langkah penting yang dilakukan untuk
memastikan firewall berjalan dengan baik. Langkah-langkah ini adalah:

a. Mengidenftifikasi bentuk jaringan yang dimiliki

Mengetahui bentuk jaringan yang dimiliki khususnya toplogi yang di gunakan serta protocol
jaringan, akan memudahkan dalam mendesain sebuah firewall

b. Menentukan Policy atau kebijakan

Penentuan Kebijakan atau Policy merupakan hal yang harus di lakukan, baik atau buruknya
sebuah firewall yang di bangun sangat di tentukan oleh policy/kebijakan yang di terapkan.
Diantaranya:

c. Menentukan
apa saja yang perlu di layani. Artinya, apa saja yang akan dikenai policy
atau kebijakan yang akan dibuat

d. Menentukan individu
atau kelompok-kelompok yang akan dikenakan policy atau kebijakan tersebut

e. Menentukan layanan-layanan
yang di butuhkan oleh tiap tiap individu atau kelompok yang menggunakan jaringan.Berdasarkan
setiap layanan yang digunakan oleh individu atau kelompok tersebut akan ditentukan bagaimana
konfigurasi terbaik yang akan membuatnya semakin aman

f. Menerapkankan semua policy atau kebijakan tersebut

g. Menyiapkan Software atau Hardware yang akan digunakan

Baik itu operating system yang mendukung atau software-software khusus pendukung firewall
seperti ipchains, atau iptables pada linux, dsb. Serta konfigurasi hardware yang akan mendukung
firewall tersebut.

h. Melakukan test konfigurasi

Pengujian terhadap firewall yang telah selesai di bangun haruslah dilakukan, terutama untuk
mengetahui hasil yang akan didapatkan, caranya dapat menggunakan tool tool yang biasa
dilakukan untuk mengaudit seperti nmap.

Sistem pada paket filtering merupakan sistem yang digunakan untuk mengontrol keluar,
masuknya paket dari antara host yang didalam dan host yang yang diluar tetapi sistem ini
melakukannya secara selektif. Sistem ini dapat memberikan jalan atau menghalangi paket yang
dikirimkan melewati router. Router ini menjadi filter dengan menganalisa bagian header dari
setiap paket yang dikirimkan.

Karena bagian header dari paket ini berisikan informasi penting yaitu :
• IP source address.
• IP destination address.
• Protocol (dengan melihat apakah paket tersebut berbentuk TCP, UDP atau ICMP).
• Port sumber dari TCP atau UDP.
• Port tujuan dari TCP atau UDP.
• Tipe pesan dari ICMP.
• Ukuran dari paket.

Cara kerja sistem packet filtering ini adalah mengawasi secara individual dengan melihat melalui
router, sedangkan router yang telah dimaksud adalah sebuah perangkar keras yang dapat
berfungsi sebagai sebuah server karena alat ini harus membuat keputusan untuk merouting
seluruh paket yang diterima. Alat ini juga harus menentukan seperti apakah pengiriman paket
yang telah didapat itu kepada tujuan yang sebenarnya. Dalam hal ini router tersebut saling
berkomunikasi dengan protokol-protokol untuk me-routing,
Pada saat paket data di alamatkan ke tujuan, komputer tujuan harus mengetahui yang harus
dilakukan pada paket tersebut, protocol TCP/IP menggunakan salah satu dari 65,536
pengelamatan penomeran port. Port number inilah yang akan membedakan antara satu aplikasi
dengan aplikasi lainnya atau satu protocol dengan protocol lainnya pada saat proses transmisi
data antara sumber dan tujuan.

Untuk dapat melewatkan paket data dari sumber ke tujuan pada router terdapat protocol
pengelamatan atau routing protocol yang saling mengupdate antara satu dengan yang lainya
agar dapat melewatkan data sesuai dengan tujuannya. Di peralatan router layer 3 diperlukan
konfigurasi khusus agar paket data yang masuk dan keluar dapat diatur, Access Control List (ACL)
adalah pengelompokan paket berdasarkan kategori yang mengatur lalu lintas network. Dengan
menggunakan ACL ini bisa dilakukan filtering dan blocking paket data yang yang masuk dan
keluar dari network atau mengatur akses ke sumber daya di network

Pada implementasi firewall di router Mikrotik, pengaturan untuk packer filtering mengacu pada
fitur yang tersedia pada Mikrotik. Packet filtering ini diwujudkan dalam filter rule yang
dikonfigurasikan pada menu Firewall. Filter rule biasanya digunakan untuk melakukan kebijakan
boleh atau tidaknya sebuah trafik ada dalam jaringan, identik dengan accept atau drop. Pada
menu Firewall Filter Rules terdapat 3 macam chain yang tersedia. Chain tersebut antara lain
adalah Forward, Input, Output. Adapun fungsi dari masing-masing chain tersebut adalah sebagai
berikut:

• Forward : Digunakan untuk memproses trafik paket data yang hanya melewati router. Misalnya
trafik dari jaringan public ke local atau sebaliknya dari jaringan local ke public, contoh kasus
seperti pada saat melakukan browsing. Trafik laptop browsing ke internet dapat dimanage oleh
firewall dengan menggunakan chain forward. • Input : Digunakan untuk memproses trafik paket
data yang masuk ke dalam router melalui interface yang ada di router dan memiliki tujuan IP
Address berupa ip yang terdapat pada router. Jenis trafik ini bisa berasal dari jaringan public
maupun dari jaringan lokal dengan tujuan router itu sendiri. Contoh: Mengakses router
menggunakan winbox, webfig, telnet baik dari Public maupun Local.
• Output : Digunakan untuk memproses trafik paket data yang keluar dari router. Dengan kata
lain merupakan kebalikan dari 'Input'. Jadi trafik yang berasal dari dalam router itu sendiri dengan
tujuan jaringan Public maupun jaringan Local. Misal dari new terminal winbox, ping ke ip google.
Maka trafik ini bisa ditangkap dichain output.

Sedangkan filter rule yang bisa dilakukan untuk pengaturan NAT (Network Address Translation)
adalah dst-nat dan src-nat yang mempunyai fungsi sendiri-sendiri. Pada menu Firewall \ NAT
terdapat 2 macam opsi chain yang tersedia, yaitu dst-nat dan src-nat. Dan fungsi dari NAT
sendiri adalah untuk melakukan pengubahan Source Address maupun Destination Address.
Kemudian fungsi dari masing-masing chain tersebut adalah sebagai berikut:
• dstnat : Memiliki fungsi untuk mengubah destination address pada sebuah paket data. Biasa
digunakan untuk membuat host dalam jaringan lokal dapat diakses dari luar jaringan (internet)
dengan cara NAT akan mengganti alamat IP tujuan paket dengan alamat IP lokal. Jadi kesimpulan
fungsi dari chain ini adalah untuk mengubah/mengganti IP Address tujuan pada sebuah paket
data.

• srcnat_: Memiliki fungsi untuk mengubah source address dari sebuah paket data. Sebagai
contoh kasus fungsi dari chain ini banyak digunakan ketika melakukan akses website dari
jaringan LAN. Secara aturan untuk IP Address local tidak diperbolehkan untuk masuk ke jaringan
WAN, maka diperlukan konfigurasi ‘srcnat' ini. Sehingga IP Address lokal akan disembunyikan
dan diganti dengan IP Address public yang terpasang pada router.

Pada menu Firewall – Mangle terdapat 4 macam pilihan untuk chain, yaitu Forward, Input, Output,
Prerouting, dan Postrouting. Mangle sendiri memiliki fungsi untuk menandai sebuah koneksi atau
paket data, yang melewati route, masuk ke router, ataupun yang keluar dari router. Pada
implementasinya Mangle sering dikombinasikan dengan fitur lain seperti Management Bandwith,
Routing policy, dll. Adapun fungsi dari masing-masing chain yang ada pada mangle adalah
sebagai berikut:

• Forward, Input, Output : Untuk penjelasan mengenai Forward, Input, dan Output sebenarnya
tidak jauh berbeda dengan apa yang telah diuraikan pada Filter rul diatas. Namun pada Mangle,
semua jenis trafik paket data forward, input, dan out bisa ditandai berdasarkan koneksi atau
paket atau paket data.
• Prerouting : Merupakan sebuah koneksi yang akan masuk ke dalam router dan melewati router.
Berbeda dengan input yang mana hanya akan menangkap trafik yang masuk ke router. Trafik
yang melewat router dan trafik yang masuk kedalam router dapat ditangkap di chain prerouting.
• Postrouting : Kebalikan dari prerouting, postrouting merupakan koneksi yang akan keluar dari
router, baik untuk trafik yang melewati router ataupun yang keluar dari router.

Sedangkan untuk opsi atau pilihan action dari setiap rule yang digunakan, perlu diperhatikan
penggunaannya. Fungsi dari setiap pilihan action ini adalah:
• accept : Paket diterima. Paket jika sudah diterima tidak akan dilanjutkan pada Rule berikutnya.
Sehingga jika ada dua buah rule, yang mana akses ke semua port pada Destination IP pada rule
pertama telah di accept, apabila ada rule kedua dengan Destination IP yang diblock port tertentu,
maka yang dibaca oleh Firewall rule adalah rule pertama, Firewall rule kedua tidak dilanjutkan.
• add-dst-to-address-list : Menambahkan destination address ke address list specified by
address-list parameter.
• add-src-to-address-list : Menambahkan source address ke address list specified by address-
list parameter. • drop : Menolak paket secara diam-diam. User tidak akan diberi tahu kalau paket
tersebut ditolak oleh firewall.
• jump : Lompat ke rule chain yang spesifik dengan pendefinisian nilai baru pada parameter
target jump. Jika dilihat pada chain hanya ada 3 rule flow standar yaitu input, forward dan flow.
Dengan jump, dapat ditambahkan chain baru dengan nama sesuai keinginan, sehingga rule akan
membaca dan melompati rule-rule lainnya yang tidak ada parameter tersebut. Sehingga hal ini
akan menghemat resource CPU, terlebih lagi jika di dalam router terdapat puluhan bahkan
ratusan firewall rule.
• log : Menambahkan pesan ke dalam log sistem berisikan data berikut : in-interface, out-
interface, src-mac, protocol, src-ip:port->dstip:port dan panjang paket. Setelah packet selesai
kemudian akan dilanjutkan ke rule berikutnya yang ada di list firewall rule, hampir sama seperti
passthrough.
• passthrough : menyetujui rule tersebut dan melanjutkan ke rule berikutnya. (digunakan untuk
statistik).
• reject : Menolak paket dan memberikan pesan ICMP reject.
• return : melewatkan kembali kontrol ke chain dari tempat dimana jump dilakukan
• tarpit : captures and holds TCP connections (replies with SYN/ACK to the inbound TCP SYN
packet). Maksudnya ini digunakan biasanya untuk mengelabui hacker yang biasa melakukan port
scanner, seolah-olah port tersebut terlihat terbuka namun ketika hacker mencoba masuk lewat
port tersebut tidak ada respon sama sekali karena dalam TCP, komunikasi antar dua jalur
haruslah sama-sama mengirimkan SYN dan ACK. Dengan tarpit maka SYN nya saja yang dikirim
sedangkan ACK nya tidak akan dikirim

Ketiga fitur pengaturan firewall tersebut harus diperhatikan dengan baik untuk menghindari
kesalahan dalam konfigurasi jaringan yang berakibat pada tidak berfungsinya jaringan (untuk
koneksi internet) atau bahkan adanya penyusup yang hendak melakukan perbuatan yang tidak
baik. Umumnya ada beberapa kesalahan dalam konfigurasi router Mikrotik yang bisa terjadi, di
antaranya adalah: ada komputer klien yang tidak bisa terhubung dengan jaringan internet atau
kecepatan koneksi internet terasa amat lambat, meskipun komputer klien tersebut terhubung
dengan jaringan lokal (mendapatkan alamat IP address yang dihasilkan dari DHCP server
Mikrotik). Terkadang komputer klien masih bisa mengakses konten yang dilarang. Permasalahan
ini umum terjadi, dan perlu dilakukan troubleshooting untuk mengatasinya. Di mulai dari
pengecekan jaringan secara fisik pada klien yang bermasalah, kemudian tes koneksi
menggunakan tool jaringan, sampai pada pengecekan pada konfigurasi Firewall di Mikrotik.
Meskipun masih ada kelemahan, seperti bisa masuknya (login) perangkat jaringan (komputer
atau smartphone) orang yang tidak bertanggung jawab (hacker), sampai pada beberapa website
terlarang masih bisa dilewati. Tugas admin jaringan harus selalu memperbarui dan mengupdate
sistem keamanan jaringan dengan cara lebih teliti dalam konfigurasi Firewall di router tersebut.

2. Teknik konfigurasi ulang firewall

Konfigurasi ulang firewall dilakukan oleh seorang admin jaringan berguna untuk memastikan
jaringan komputer dan internet berfungsi dengan baik, dan pengaturan filtering paket data baik
dari klien di dalam jaringan internal ataupun dari jaringan luar (internet) berjalan sebagaimana
mestinya. Ada beberapa konfigurasi firewall yang perlu dilakukan yaitu:
a. Mengijinkan beberapa IP address klien untuk melakukan koneksi internet. Pada konfigurasi ini
source address diisi dengan IP klien yang boleh menggunakan koneksi internet. Contoh, yang
diperbolehkan untuk koneksi internet (browsing menggunakan http (port 80) dan https (port
443)) adalah IP address 192.168.10.2 sampai dengan 192.168.10.30

b. Memblokir website atau situs tertentu berdasarkan IP address. Caranya adalah melihat ip
address website yang akan diblokir dengan perintah nslookup di Windows.
Langkah selanjutnya adalah membuat rule firewall filtering untuk website tersebut dengan fitur
firewall filtering dengan chain forward, dst-address adalah IP address youtube dan action drop.
Berhubung website youtube menggunakan 4 IP address, maka lkukan langkah ini untuk semua
IP address tersebut

c. Memblokir website atau situs tertentu berdasarkan content, misalnya akses download
untuk file dengan ekstensi *.3gp atau dengan kata yang mengandung konten yang terlarang,
misalnya porn. Contoh berikut ini menggunakan perintah CLI di console.
d. Untuk membuat tanda dari IP address di Mikrotik, misalnya untuk IP address tertentu
diperbolehkan mengakses jaringan internet atau kelompok IP address tertentu tidak
diperbolehkan mengakses internet. Misalnya, IP address 192.168.10.254 adalah IP address
admin, dan IP address 192.168.10.2 sampai dengan 192.168.10.253 adalah IP address klien. Jika
melalui Perintah Text (CLI) , perintahnya adalah :

Selanjutnya dilakukan konfigurasi untuk address-list tersebut. Seperti pada pembuatan rule filter
sebelumnya untuk mengijinkan atau memblokir untuk suatu koneksi. Misalnya konfigurasi
sebagai berikut untuk IP admin yang diperbolehkan mendownload file berekstensi ISO sedangkan
IP klien dilarang dengan perintah CLI sebagai berikut:
• ip firewall filter add chain=forward src-address-list="IP Admin" action="accept"
• ip firewall filter add chain=forward src-address-list="IP Client” content=.iso action="drop"