1

MTCTCE
NETKROMACADEMY 2017
 2
Selamat Datang!

 MikroTik Certified Traffic Control Engineer (MTCTCE) merupakan training

lanjutan dari MTCNA yang akan membahas lebih jauh mengenai fitur
pengelolaan traffic pada router MikroTik RouterBOARD:
 Firewall
 QoS
 DNS
 DHCP
 Web Proxy
 Selamat mengikuti training & Semoga sukses!
 3
Persiapan

 Untuk keperluan ujian sertifikasi

 Pastikan anda telah melakukan registrasi dan mempunyai akun MikroTik di
https://www.mikrotik.com/client
 Kirim email berisi Nama – Username akun MikroTik – Nomor telepon ke
manta.sanni@netkromsolution.com

 Resources training
 Winbox & updates – http://www.mikrotik.com/download
 4
Persiapan

 Konfigurasi router anda

 Hubungkan dengan komputer anda melalui ETH1
 Router identity: nama anda
 WLAN1 sebagai client kepada SSID: Training MTCTCE, Password: netkromacademy
 IP address WLAN1: 10.10.100.x/24 dan IP address ETH1: 192.168.x.1/24
 Default gateway: 10.10.100.100
 DNS: 8.8.8.8 – Accept remote request
 Src-NAT Masquerade
 Aktifkan SNTP Client dengan mode Unicast menuju time.windows.com
 Konfigurasi clock dengan timezone Asia-Jakarta
 5
Persiapan

 Konfigurasi komputer anda

 Nonaktifkan koneksi wireless
 Gunakan IP address: 192.168.x.2, subnet mask: 255.255.255.0, default gateway:
192.168.x.1
 Gunakan DNS: 192.168.x.1

 Pastikan laptop anda dapat mengakses internet

 6
Tips

 Pastikan anda melakukan Backup setelah menyelesaikan sebuah lab, karena

beberapa lab saling berkaitan (bersambung).

Files > [Backup]

 7

DNS, DHCP & Proxy NETKROMACADEMY 2017

 8
Domain Name System

 Sistem yang menyimpan data

mengenai nama host, karena manusia
cenderung lebih mudah mengingat
“nama” daripada alamat IP.
 Menyediakan alamat IP untuk setiap
nama host di dalam sebuah domain
 DNS menyimpan informasi dalam
bentuk distributed database di dalam
jaringan.
 9
Domain Name System

 DNS Static
 Digunakan router pada aplikasi web-proxy dan
hotspot.
 Meng-override dynamic entry yang ada di DNS Cache
 Bermanfaat untuk mempercepat proses traceroute
 DNS Cache
 Meminimalisir waktu request DNS dari client
(berfungsi pada saat “Allow Remote Request”
diaktifkan).
 Berfungsi sebagai server DNS sederhana
 10
LAB Static DNS

 Lihat table DNS Cache masing-masing

 Buatlah sebuah DNS Static, misalnya
nama_anda.com lalu arahkan ke IP
address tertentu.
 Lihat kembali table DNS Cache
 Tipe “A”: Memetakan alamat
domain ke alamat IP
 Tipe “PTR”: Memetakan reverse
DNS
 Cek melalui klien apakah DNS Static
dapat berfungsi
 11
Dynamic Host Configuration Protocol

 DHCP digunakan untuk pendistribusian konfigurasi jaringan:

 Alamat IP, subnet mask, dan default gateway
 Konfigurasi server DNS & NTP
 Opsi-opsi DHCP lainnya

 Skema komunikasi 
 12
Dynamic Host Configuration Protocol

 Server DHCP melakukan proses identifikasi untuk membedakan client-

clientnya berdasarkan opsi caller ID (dhcp-client-identifier) atau MAC
address (jika caller-id tidak tersedia)
 Khusus untuk client berbasis RouterOS, opsi system identity (hostname)
juga dikirimkan kepada server DHCP

 Hanya boleh ada 1 server DHCP dalam 1 interface/relay di router.

 Syarat membuat server DHCP: IP address interface, address pool untuk
para client, dan informasi lain mengenai jaringan.
 13
Opsi DHCP

 Konfigurasi opsi DHCP dapat dilakukan di menu DHCP Networks. Server

DHCP dapat memberikan opsi apapun, namun client DHCP hanya dapat
menerima opsi yang dikenalinya saja, contoh:
 Opsi 1: Subnet mask (netmask)
 Opsi 2: Router (default gateway)
 Opsi 6: Domain Server (server DNS)
 Opsi 42: NTP Servers (server NTP)
 Opsi 44: NETBIOS Name Server (server WINS)
 14
Opsi DHCP

 Contoh opsi DHCP custom: Opsi 121: Classless Static Route

 “0x100A270A260101” = “network=10.39.0.0/16 gateway=10.38.1.1”
 Raw format:
 0x | 10 | 0A27 | 0A260101
 0x : Hex number
 10 : Subnet/prefix = 16
 0A27 : Network = 10.39.0.0
 0A260101 : Gateway = 10.38.1.1
 15
LAB Client DHCP

 Hapus konfigurasi IP
address wlan1 dan
default gateway
 Jadikanlah router anda
sebuah client DHCP
untuk jaringan wlan1
 Cek kembali konfigurasi
IP dan gateway router
 16
LAB Server DHCP

 Jadikan router anda

server DHCP untuk
jaringan lokal anda
(Eth1)
 17
LAB Custom DHCP Option

 Buatlah sebuah opsi

DHCP custom untuk
memberikan informasi
routing statik kepada
client
 Aktifkan opsi tersebut
pada DHCP network
jaringan lokal anda.
 18
IP Address Pool

 IP Pool digunakan untuk menentukan rentang alamat

IP yang akan didistribusikan secara dinamik kepada
client DHCP, PPP, HotSpot, dll.
 IP address yang akan digunakan untuk keperluan
khusus (mis: untuk server, dll) harus berada di luar
rentang IP Pool
 Anda dapat membuat beberapa rentang untuk
sebuah IP pool, atau juga menentukan next pool
 Secara default, server DHCP RouterOS akan
mendistribusikan mulai dari alamat terbesar dalam IP
Pool, kecuali jika opsi DHCP client yang meminta
alamat IP terkecil.
 19
Konfigurasi Server DHCP

 Src. Address: menentukan IP address server jika

ada lebih dari 1 address pada interface tersebut
 Delay Threshold: menentukan prioritas di
antara beberapa server DHCP (semakin besar,
semakin rendah prioritasnya)
 Add ARP for Leases: menambah data client
DHCP ke dalam data ARP
 Always Broadcast: mengizinkan komunikasi
dengan client yang tidak standar, misalnya
mode pseudobridge
 20
DHCP Alerts

 Digunakan untuk mendeteksi

server DHCP lain yang
mengganggu.
 Status authoritative harus
diberikan kepada server yang asli
untuk meminta client melakukan
lease ulang DHCPnya.
 21
DHCP Alerts

 Valid Servers: menentukan

MAC Address dari server
DHCP yang valid
 On Alert: menentukan
script tertentu yang harus
dilakukan router ketika
server DHCP tandingan
terdeteksi
IP > DHCP Server
> Alerts > +
 22
Authoritative

 DHCP Authoritative=yes digunakan untuk:

 Menanggulangi server DHCP tandingan
 Melakukan perubahan konfigurasi jaringan
DHCP dengan lebih cepat
 23
Delay Threshold

 DHCP Delay Threshold digunakan untuk

mengatur server utama dan backup untuk
mengatasi jika server utama mengalami
kerusakan.
 24
LAB DHCP Delay

 Hubungkan router anda dengan

router rekan anda melalui Eth2
 Buatlah sebuah bridge, dan
masukkan port Eth1 dan Eth2 ke
bridge tersebut
 Install DHCP Server pada bridge
tersebut, dan mainkan delay
threshold. Perhatikan apa yang
terjadi pada client.
 25
Relay

 DHCP Relay berfungsi untuk

menerima paket DHCP Discovery
atau Request dari client dan
meneruskan ke server DHCP
 Hanya bisa 1 relay di antara server
dan client
 Komunikasi antara relay dan server
tidak memerlukan IP address
 Konfigurasi local address pada
relay dan relay address pada
server harus sama
 26
LAB DHCP Relay

 Hubungkan 2 router melalui Eth1

 Atur semua alamat IP sesuai
dengan diagram di samping
 Konfigurasikan router server
terlebih dahulu (router ini
memerlukan 2 pool IP & 2 server
DHCP)
 Kemudian konfigurasikan relay
(router ini memerlukan 2 relay
DHCP)
 27
LAB DHCP Relay

 Konfigurasi server DHCP

IP > DHCP Server > DHCP > [+]

IP > DHCP Server > Networks > [+]

 28
LAB DHCP Relay

 Konfigurasi relay DHCP

IP > DHCP Relay

 Hubungkan komputer
client ke Eth2, cek
apakah komputer
tersebut mendapatkan
IP
 Hubungkan client lain
ke Eth3, cek apakah
komputer tersebut
mendapatkan IP.
 29
Proxy

 RouterOS menyediakan fitur untuk membuat server proxy:

 Proxy HTTP biasa
 Proxy transparan: client tidak perlu konfigurasi browser
 Access List: filtering berdasarkan source, destination, dll.
 Cache: menentukan obyek yang akan disimpan sebagai cache
 Direct: mengatur koneksi yang boleh diakses langsung atau yang melalui proxy lain
 Logging
 30
LAB Proxy

 Aktifkan servis proxy pada

router anda
 Konfigurasikan web browser
anda untuk menggunakan
proxy router

IP > Web Proxy > [Enabled]

 31
LAB Proxy

 Cek statistik web proxy anda.

IP > Web Proxy > Status – Lookups – Refreshes

 32
Proxy Access

 Proxy Access digunakan untuk melakukan

filter terhadap paket, apakah paket tersebut
diizinkan lewat (allow), diblokir (deny), atau
dialihkan (redirect to) berdasarkan:
 Informasi layer 3 (IP address)
 URL atau Host
 Metode HTTP
 33
Proxy Access

 Bagian Dst.Host dan Path pada proxy access merupakan bagian

untuk mengatur filtering berdasarkan URL (URL Filtering).

 Ada beberapa karakter khusus untuk keperluan tersebut:

 * : karakter apa saja (bisa lebih dari 1)
 ? : karakter apa saja (hanya 1)
 34
Proxy Access

 Proxy access juga mampu melakukan filter berdasarkan informasi Regular

Expression (RegExp) dari sebuah paket data.
 Untuk mengaktifkan mode filter regexp, beri tanda titik dua “:” pada awal
parameter Dst host. Ada juga karakter khusus seperti:
 ^ : tidak boleh ada karakter apapun sebelum tanda ini
 $ : tidak boleh ada karakter apapun setelah tanda ini
 […] : karakter pembanding
 \ (diikuti dengan fungsi khusus) : meniadakan fungsi tersebut
 Informasi lebih lanjut  http://www.regular-expressions.info/reference.html
 35
LAB Regular Expression

 Lakukan blokir proxy terhadap

koneksi ke file dengan ekstensi
tertentu degan regexp pada dst-
host, misalnya sebagai berikut:
 /ip proxy access
add path=*.avi action=deny
add path=*.mp4 action=deny
add path=*.mp3 action=deny
add path=*.zip action=deny IP > Web Proxy > Access > [+]
add path=*.rar action=deny.
 36
Cache

 Proxy cache digunakan

untuk mengatur objek-
objek mana saja yang
akan dimasukkan ke
dalam cache.
 37
Cache

 Mengatur request dari client

untuk diproses oleh parent proxy
server
 Berfungsi jika parent proxy telah
didefinisikan.
 Action=Deny berarti akses user
akan dikontrol oleh proxy lokal,
dibantu oleh parent proxy.
 Action=Allow berarti akses user
akan dikontrol sepenuhnya oleh
proxy local
 38

Layer 2 Security NETKROMACADEMY 2017

39
 40
Pengenalan

 LAN merupakan jaringan sederhana di area lokal yang dinaungi oleh alamat
network dan alamat broadcast yang sama.
 Untuk menghubungkan node-node dalam sebuah jaringan LAN, diperlukan
perangkat yang disebut switch atau bridge yang menjembatani komunikasi
di layer 2 dalam lapisan OSI, yaitu Data Link
 Keamanan dari setiap layer tersebut harus diperhatikan, termasuk layer
data link, karena pasti berpengaruh juga terhadap keseluruhan proses
komunikasi.
 41
Keamanan

 Beberapa contoh ancaman terhadap keamanan layer 2:

 CAM table overflow, MAC Flooding
 Neighborhood Protocols Exploitation
 DHCP Starvation
 ARP Cache Poisoning, MitM Attack
 Serangan-serangan pada jaringan HotSpot, PPPoE, dll
 42
MAC Flooding

 Salah satu serangan

terhadap jaringan bridge
dengan cara memenuhi
traffic dengan paket-paket
berisi MAC address palsu,
menyebabkan lonjakan
jumlah entri tabel ARP dan
tabel bridge host.
 43
Neighbor Exploitation

 MikroTik menggunakan MNDP (MikroTik

Neighbor Discovery Protocol – UDP 5678 –
broadcast setiap 60 detik) untuk mendeteksi
adanya koneksi dengan perangkat lain di jaringan,
sehingga memudahkan dan mempercepat
pengelolaan.
 Banyak tool cracking yang dapat digunakan untuk
menyerang router yang mengaktifkan MNDP
(atau CDP untuk Cisco)
 Menyebabkan tabel neighbor menjadi penuh dan
router kehabisan resource ketika berusaha IP > Neighbors
menjaga tabel tersebut
 44
DHCP Starvation

 Penyerang berusaha menghabiskan

ketersediaan IP address dari IP Pool
server DHCP dengan cara
mengirimkan paket-paket DHCP
request dari alamat-alamat MAC yang
palsu.
 Server DHCP yang sudah kehabisan
resource akan menolak request dari
semua client di jaringan (DoS), dan
penyerang dapat memanfaatkan
momen tersebut untuk membuat
DHCP tandingan.
 45
ARP Poisoning

 Penyerang menyebarkan paket informasi palsu

bahwa alamat MAC-nya adalah alamat
gateway, sehingga client-client tertipu dan
berinteraksi dengan “gateway” palsu tersebut.
 Penyerang bisa juga menyebarkan paket
informasi kepada gateway asli bahwa alamat
MAC nya adalah alamat salah satu client,
sehingga gateway tersebut tertipu dan
berinteraksi dengan “client” palsu tersebut.
 Setelah itu semua, penyerang dapat
melakukan sniffing dan modifikasi sesuka hati
 46
HotSpot & PPPoE Attack

 Penyerang membuat server WiFi,

HotSpot atau PPPoE tandingan
dengan nama yang sama di
jaringan, sehingga client bisa
tertipu.
 Jika server asli menggunakan
RADIUS, penyerang bisa
mengakali dengan
menggunakan FreeRADIUS
mode promiscuous
 47
Penanggulangan

 Untuk menanggulangi serangan-serangan pada layer2 tersebut, terdapat

beberapa fungsi MikroTik yang dapat dimanfaatkan:
 Pengelolaan ARP secara manual
 Filter layer 2 (bridge)
 Namun, untuk lebih memahaminya, kita perlu mengetahui alur logika
perjalanan paket-paket pada layer 2. Seperti halnya Firewall pada layer 3,
bridge juga memiliki packet flow tersendiri.
Alur Paket pada Layer 2 48
 49
LAB MAC Flood

 Buatlah topologi LAN sederhana seperti

diagram berikut.
 Masukkan Eth1 dan Eth3 ke dalam
sebuah bridge yang sama.
 Jalankan program *Yersinia yang
terdapat pada sistem operasi Kali Linux.

*Minta OS ke trainer (Kapasitas 15GB).

 50
LAB MAC Flood

 Buka terminal pada OS Kali,

tuliskan yersinia –I untuk
mengakses aplikasi dengan mode
interaktif
 Akan muncul tampilan sekilas
mengenai program ini, lalu
tampilan awal aplikasi akan
muncul. Ketikkan: I untuk
interface, pastikan Interface eth0
dalam kondisi ON,
 51
LAB MAC Flood

 Ketikkan q untuk keluar dari

pemilihan interface lalu tekan
tombol f2,
 Tunggu beberapa saat ± 30 detik,
lalu tekan tombol X,
 Pilih No. 1 untuk sending
DISCOVER packet
 Amati perubahan yang terjadi
pada router anda (tabel ARP, dan
CPU usage)
 52
LAB MAC Flood: FDB

 Untuk menanggulangi MAC

flooding, gunakan External
Forwarding Database (FDB) untuk
border port di bridge tersebut.
 External FDB menjadikan port
tersebut berfungsi seperti hub
 Jika terjadi flooding, alamat-
alamat MAC yang membanjiri port
tersebut tidak dimasukkan ke
dalam FDB internal. Bridge > Ports > [ether1]
 53
LAB MAC Flood: Filter

 Cara lain untuk mencegah flooding

adalah dengan menggunakan
bridge filter.
 Daftarkan semua MAC address
yang memang valid di filter,
kemudian berikan rule
action=accept.
 Pada filter terakhir, buat rule Bridge > Filters > [+]
action=drop untuk memblokir
alamat MAC selain yang valid tadi.
 54
Penanggulangan: Neighbor Exploitation

 Untuk menanggulangi serangan neighbor

exploitation, nonaktifkan semua interface
MNDP
 Namun demikian, hal ini bukan berarti
serangan MNDP benar-benar tidak terjadi.
 Gunakan kembali bridge filter untuk
memblokir traffic MNDP (chain=forward,
MAC protocol-num=ip, dst-port=5678,
protocol=udp, action=drop)
IP > Neighbors > Discovery Interfaces > [x]
 55
Penanggulangan: DHCP Starvation

 Konsep serangan DHCP starvation mirip

dengan MAC flooding, yaitu dengan
membanjiri jaringan dengan traffic
alamat MAC palsu.
 Penanggulangan yang dapat dilakukan:
mengaktifkan FDB eksternal, MAC
filter, dan menggunakan static lease
untuk mengamankan dari sisi server
DHCP
IP > DHCP Server > Leases > [+]
 56
LAB ARP Spoofing

 Gunakan topologi seperti Lab sebelumnya

 Download program Netcut
 Lakukan serangan pada jaringan bridge.
 57
LAB ARP Spoofing: Mode ARP

 ARP spoofing dapat sedikit dikurangi

dengan mengubah mode tabel ARP pada
router:
 ARP=Disabled: fungsi ARP pada router
dinonaktifkan, semua client harus
mendaftarkan entri ARP secara manual di
komputernya masing-masing
 ARP=Reply-Only: tabel ARP router tidak
dapat diserang, melindungi router, namun
client tetap dapat terkena serangan
Interfaces
 58
Penanggulangan: ARP Spoofing

 Ada beberapa cara lain untuk menanggulangi:

 Mengisolasi traffic di layer 2: menjaga agar traffic yang ada hanya berasal dari
client-client yang dikenal menuju gateway.
 Sentralisasi resource: mempermudah penanggulangan dan mencegah
penyebaran virus dengan melakukan resource sharing yang terpusat (server
atau printer) tapi dengan segmen yang berbeda dengan jaringan lokal.
 Nonaktifkan Default Forwarding: pada jaringan wi-fi untuk mencegah
koneksi antar client
 Manfaatkan bridge filter: sama seperti default forwarding, namun untuk
jaringan bridge Ethernet.
 59
Penanggulangan: Serangan HotSpot & PPPoE

 Harus menggunakan skema enkripsi yang baik:

 Jaringan tanpa keamanan enkripsi sangat berbahaya
 Dengan MikroTik, enkripsi dapat diimplementasikan pada jaringan wireless
atau PPPoE
 Metode enkripsi yang baik misalnya EAP-TLS yang menggunakan certificate
SSL.
 Tidak semua perangkat dapat mendukung metode EAP-TLS. Jika memang
demikian, gunakan metode lain. Semua bertujuan untuk membuat penyerang
tidak terlalu leluasa untuk melancarkan aksinya.
 60

Firewall NETKROMACADEMY 2017

 61
Packet Flow

 Packet flow adalah diagram alir proses paket data yang keluar masuk
router. Terdapat perbedaan antara packet flow di RouterOS v.3 dengan versi
sebelumnya:
 Penggunaan IP Firewall pada bridge
 Posisi routing decision
 BROUTE dihilangkan
Packet Flow 62
63
Packet Flow 64
 65
Interface Masuk

 Input Interface adalah interface yang pertama kali dilalui oleh

paket data ketika masuk ke router.
 Pada koneksi uplink (request), input interface adalah interface
yang mengarah pada client (jaringan lokal)
 Pada koneksi downlink (response), input interface adalah
interface yang mengarah ke internet (jaringan publik)
 Jika sebuah client menggunakan alamat IP publik, proses
request juga bisa berasal dari Internet, sehingga input interface
adalah interface yang mengarah ke Internet (jaringan publik)
 66
Interface Keluar

 Output Interface adalah interface yang paling terakhir dilalui

oleh paket data ketika keluar router:
 Pada koneksi uplink (request), input interface adalah interface
yang mengarah ke internet (jaringan publik)
 Pada koneksi downlink (response), input interface adalah
interface yang mengarah pada client (jaringan lokal)
 67
Proses Lokal

 Local Process merupakan router itu sendiri.

 Proses lokal (masuk): jika paket data menuju router, misalnya
ping dari client ke router, akses winbox, request dari web proxy
ke router.
 Proses lokal (keluar): jika paket data berasal dari router, misalnya
ping dari New Terminal ke Internet, response ke web proxy
 68
Keputusan Routing

 Routing Decision adalah proses untuk menentukan:

 Apakah paket data harus disalurkan ke luar router atau ke
router itu sendiri
 Interface mana yang akan digunakan untuk melewatkan paket
data keluar dari router
 Routing Adjustment yang terdapat pada chain output
(setelah mangle dan filter) berfungsi untuk memperbaiki
keputusan routing yang dipengaruhi oleh route-mark pada
mangle di chain output.
Chain 69

Dari Ke Mangle Firewall Queue

Prerouting Global-In
Luar Router Input
Input Global-Total
Global-Out
Output
Router Luar Output Global Total
Postrouting
Interface
Global-In
Prerouting
Global-Out
Luar Luar Forward Forward
Global-Total
Postrouting
Interface
 70
Chain

 Chain Input: untuk traffic yang menuju router (proses lokal), tidak bisa
memilih out-interface
 Chain Forward: untuk traffic yang melalui router, bisa memilih in & out-
interface
 Chain Output: untuk traffic yang berasal dari proses lokal, tidak bisa memilih
in-interface
 Chain Prerouting: untuk traffic yang menuju proses lokal atau yang melalui
router, tidak bisa memilih out-interface
 Chain Postrouting: untuk traffic yang berasal dari proses lokal atau yang
melalui router, tidak bisa memilih in-interface
 71
Firewall Layer 3

 Use IP Firewall diaktifkan jika kita ingin

menggunakan fitur Firewall layer 3 (filter,
mangle, dll) pada infrastruktur bridge.
 Secara default, fitur ini tidak aktif.

Bridge > Settings

 72
Connection State

 Setiap paket data yang melalui router mempunyai status:

 Invalid: Tidak tergabung dalam koneksi manapun, tidak berguna
 New: Paket pertama dari sebuah koneksi baru
 Established: Paket lanjutan setelah paket New
 Related: Paket pertama dari sebuah koneksi yang masih berkaitan dengan
koneksi sebelumnya (misalnya koneksi FTP yang dibuka di port 21, dilanjutkan
di port 20)
 73
Connection State
 74
Mangle

 Fitur firewall untuk menandai

(marking) paket data untuk
dimanfaatkan pada fitur lain seperti
filter, NAT, routing atau queue.
 Marking hanya terbaca oleh router
itu sendiri.
 Rule mangle dibaca berurutan dari
atas ke bawah.
 75
Mangle

 Jenis-jenis marking pada mangle:

 Packet mark: menandai setiap
paket dalam sebuah koneksi
 Connection mark: menandai
sebuah koneksi
 Route mark: menandai paket untuk
keperluan routing
 76
Mangle Actions

 Accept: paket data yang datang ke chain diterima dan tidak dicek lagi di rule
bawahnya serta langsung keluar dari chain.
 Jump: paket data akan dilempar ke chain lain sesuai parameter Jump-Target.
 Return: paket data akan dikembalikan ke chain asal sesuai urutan rule firewall jump
sebelumnya.
 Log: akan menambahkan informasi paket di system log .
 Passthrough: mengabaikan rule dan akan diteruskan ke rule dibawahnya.
 Add-dst-to-address-list: menambahkan informasi dst-address dari paket ke address-
list tertentu.
 Add-src-to-address-list: menambahkan informasi src-address dari paket ke address-
list tertentu.
 77
Mangle Actions

 Mark-connection: melakukan penandaan paket “new” dari sebuah connection traffic.

 Mark-packet: menandai semua paket data yang melewati router sesuai klasifikasinya.
 Mark-routing: menandai paket data dan akan digunakan untuk menetukan routing
dari paket tersebut.
 Change MSS: mengubah besar MSS dari paket di paket header. l biasaya digunakan
untuk menghindari adanya fragmentasi pada paket data ketika menggunakan koneksi
VPN.
 Change TOS: mengubah parameter TOS dari paket di paket header
 Change TTL: mengubah besar TTL dari paket di paket header
 78
Mangle Actions: Jump

 Jump digunakan untuk menghemat beban CPU router.

Chain INPUT
Chain A
1 Rule 3 Rule
2 Rule 4 Rule
3 Rule
Chain INPUT 5 Rule
4 Rule
1 Rule 6 Rule
5 Rule
Chain B
6 Rule 2 Rule
7 Rule
7 Rule 3* Rule JUMP
8 Rule 8 Rule
7* Rule JUMP
9 Rule 9 Rule
12 Rule
10 Rule 10 Rule
11 Rule
11 Rule
12 Rule
Jump 79
 80
Mangle Actions: Mark Connection

 Dilakukan untuk proses request (paket pertama/new

dalam sebuah koneksi)
 Harus digunakan untuk melakukan mangle untuk
setiap src-address pada jaringan yang memakai src-
NAT jika menggunakan chain prerouting
 Sebaiknya digunakan untuk melakukan mangle
berdasarkan protocol TCP dan dst-port
 Dilakukan sebelum mark-packet atau mark-routing IP > Firewall > Mangle >
[+] > Actions
 Biasanya, passthrough diaktifkan untuk mark
connection.
 81
Mangle Actions: Mark Packet

 Dibuat untuk digunakan pada queue, atau filter

firewall.
 Untuk jaringan dengan NAT, dan untuk protocol
TCP dan dst-port, sebaiknya dibuat berdasarkan
pada mark-connection.
 Biasanya, passtrough dinonaktifkan pada mark-
packet. IP > Firewall > Mangle >
[+] > Actions
 82
Mangle Actions: Mark Routing

 Dibuat untuk digunakan pada policy routing

(routing statik)
 Sebaiknya dibuat berdasarkan mark connection
supaya keutuhan koneksinya terjaga
 Hanya bisa dilakukan pada chain prerouting atau
output karena harus dilakukan sebelum proses IP > Firewall > Mangle >
keputusan routing atau penyesuaian routing. [+] > Actions
 83
Mangle Actions: Passthrough
 84
NTH

 NTH adalah salah satu fitur firewall yang menghitung

jumlah/nomor urut paket, kemudian menjalankan rule
tersebut pada nomor urut paket yang ditentukan.
 ‘Every’ adalah parameter penghitung (pemberi nomor
urut), sedangkan ‘Packet’ adalah penunjuk nomor urut
paket yang akan terkena dampak rule tersebut.
 Contoh pada gambar di samping, Every=2, Packet=1;
berarti router akan menghitung semua paket yang IP > Firewall > Mangle >
datang menjadi 1 dan 2, kemudian rule akan dijalankan [+] > Extra > Nth
pada setiap paket 1
 85
Mangle NTH

 NTH pada mangle biasa digunakan untuk membagi

beban (load balancing) ke beberapa web server
 86
PCC

 Per Connection Classifier merupakan penyempurnaan dari NTH.

 PCC mampu mengingat karakteristik paket-paket yang berasal dari
connection yang sama, sehingga semua paket tersebut tetap
dikenakan rule yang sama (konsisten)

IP > Firewall > Mangle >

[+] > Advanced > PCC
 87
Mangle PCC

 PCC pada mangle biasanya

digunakan untuk load balancing
beberapa koneksi Internet
 88
LAB Mangle

 Untuk keperluan pengelolaan bandwidth di kemudian hari, buatlah

klasifikasi jenis traffic.
 Buatlah 5 kelompok prioritas sesuai dengan tabel berikut
 Lakukan mangle pada chain prerouting untuk menandai paket sesuai
kelompok prioritasnya.
 Lakukan mark-connection untuk setiap service, kemudian lakukan mark-
packet untuk setiap prioritas
 Prioritas Servis Protokol Dst-port Keterangan lain
TCP 53
DNS
UDP 53
ICMP ICMP
1 – Servis penting Telnet TCP 23
SSH TCP 22 Packet-size=0-1400
HTTP (request) TCP 80 Connection-bytes= 0-500000
HTTPS TCP 443
2 – Keperluan user Online game Dst-address-list= game server
VoIP
3 – Komunikasi VPN
Skype
Mail TCP 25, 110, 143, 993,995
FTP TCP 20, 21
4 – Download
SFTP TCP 22 Packet-size= 1400-1500
HTTP (Download) TCP 80 Connection-bytes= 500000-0
5 – Peer to peer P2P P2p= all p2p
 90
Filter

 Fitur firewall untuk meningkatkan

keamanan jaringan dengan cara
menyaring paket-paket.
 Filter dilakukan pada chain Input,
Output dan Forward.
 Rule filter dibaca berurutan dari
atas ke bawah
 91
Taktik Filter

 Terdapat 2 taktik firewall

yang umum digunakan:
 Drop yang tidak
diperlukan, accept
sisanya
 Accept yang diperlukan,
drop sisanya
Protokol Port Servis Protokol Port Servis Daftar Alamat IP “Bogon”
TCP 20,21 FTP UDP 53 DNS
192.168.0.0/16 39.0.0.0/8
TCP 22 SSH, SFTP UDP 123 NTP
10.0.0.0/8 36.0.0.0/7
TCP 23 Telnet UDP 161 SNMP
TCP 53 DNS UDP 500 IPSec 172.16.0.0/12 31.0.0.0/8
TCP 80 HTTP UDP 520, 521 RIP 169.254.0.0/16 27.0.0.0/8
TCP 179 BGP UDP 646 LDP (MPLS) 127.0.0.0/8 23.0.0.0/8
TCP 443 HTTPS (HotSpot) UDP 1698, 1699 RSVP (MPLS)
224.0.0.0/3 14.0.0.0/8
TCP 646 LDP (MPLS) UDP 1701 L2TP
223.0.0.0/8 5.0.0.0/8
TCP 1080 SoCKS (HotSpot) UDP 1812, 1813 User Manager
TCP 1723 PPTP UDP 1900 uPnP 192.18.0.0/15 2.0.0.0/8
TCP 1968 MME UDP 1966 MIME 192.0.2.0/24 0.0.0.0/7
TCP 2000 Bandwidth Server UDP 5678 Neighbor Discovery 185.0.0.0/8 128.0.0.0/16
TCP 2210, 2211 DUDE Server RSVP /46 RSVP (MPLS)
180.0.0.0/6 100.0.0.0/6
TCP 2828 uPnP PPRP /47 PPRP, EoIP
179.0.0.0/8 49.0.0.0/8
TCP 3128 Web Proxy IPSec /50 /51 IPSec
TCP 8291 Winbox OSPF /89 OSPF 176.0.0.0/7 46.0.0.0/8
TCP 8728 API PIM /103 PIM (Multicast 175.0.0.0/8 42.0.0.08
ICMP /1 ICMP VRRP /112 VRRP 104.0.0.0/6
IGMP /2 IGMP (Multicast)
IPIP /4 IPIP
 93
Address List

 Fitur firewall address-list digunakan

untuk membuat sebuah nama yang
akan mewakili beberapa alamat IP.
 Address list dapat digunakan untuk
membuat rule dalam firewall
filter/NAT/mangle dalam parameter
advanced: dst-address-list atau src-
address-list IP > Firewall >
Address List > [+]
 94
Filter Actions

 Accept: paket diterima dan tidak melanjutkan membaca rule berikutnya

 Drop: paket ditolak secara diam-diam (tidak mengirim pesan penolakan ICMP)
 Reject: paket ditolak tapi mengirim pesan penolakan ICMP kepada user
 Tarpit: paket ditolak tapi tetap menjaga koneksi TCP yang masuk dengan
memberikan respon SYN/ACK untuk setiap SYN yang diterima
 Log: menambahkan informasi paket data ke log
 Add-dst-to-address-list: menambah alamat IP tujuan paket ke address list tertentu
 Add-src-to-address-list: menambah alamat IP pengirim paket ke address list tertentu
 Jump: memindahkan tugas filter pada rule-rule di chain yang lain
 Return: kembali ke chain sebelumnya (jika sudah di-jump sebelumnya)
 Passthrough: tidak melakukan action apapun dan melanjutkan ke rule berikutnya
 95
Filter Parameter

 Chain: hanya ada 3 chain dalam filter, yaitu Input, Forward, dan Output.
 Src-address & dst-address: dapat berupa 1 alamat (misal: 192.168.1.1),
atau 1 subnet (misal: 192.168.1.0/24), atau bentangan (misal: 192.168.1.1 –
192.168.1.10)
 Port: dapat berupa 1 port, bentangan, atau multiport
 Any port: sesuai dengan (salah satu) src-port atau dst-port, misalnya:
 Untuk memblokir request HTTP, gunakan dst-port=80
 Untuk memblokir response HTTP, gunakan src-port=80
 Untuk memblokir keduanya, gunakan any-port=80
Filter Parameter - 2
 In/out bridge port: digunakan apabila router tidak menggunakan mode routing, tetapi
mode bridge, dimana:
 In/out interface gunakan nama bridge-nya, misalnya bridge1, dan
 In/out bridge port gunakan nama interface fisiknya, misalnya eth1 atau eth2
 Src-mac-address: hanya digunakan ketika client terhubung langsung ke router tsb,
tidak melalui router lain.
 Random: membuat rule ini hanya berlaku secara random dengan probabilitias yang
ditentukan (1-99)
 Ingress-priority: prioritas yang didapatkan dari protocol VLAN atau WMM (0-63)
 Connection-byte: bentangan yang menyatakan ukuran seluruh paket data yang masuk
dalam sebuah connection, misalnya 100000-45000000.
 Connection mark diperlukan apabila: jaringan tsb menggunakan src-nat, dan rule ini
diimplementasikan untuk koneksi downlink dengan parameter alamat IP client. Hal ini
disebabkan karena connection tracking dilakukan sebelum pembalikan NAT pada chain
prerouting.
Filter Parameter - 3
 Packet-size: besar paket data yang lewat
 Layer7-protocol: mengklasifikasikan paket sesuai dengan jenis aplikasinya
 Icmp-options: menentukan jenis ICMP, misalnya untuk PING: 0:0 dan 8:0, untuk
TRACEROUTE: 11:0 dan 3:3, Path MTU discovery: 3:4.
 Contoh rule untuk memblokir Traceroute: /ip firewall add chain=forward
action=drop protocol=icmp icmp-options=3:3
 Connection-limit: membatasi jumlah koneksi per alamat IP atau per blok alamat IP,
misalnya: limit=200 netmask=26, artinya rule ini akan dijalankan ketika setiap
subnet /26 membuat ≤200 koneksi.

IP > Firewall > Filter

> [+] > Extra
 98
LAB Filter: DoS

 Gunakan filter firewall untuk memblokir serangan Denial of Service.

 Salah satu ciri serangan DoS adalah jika sebuah alamat IP memiliki 10
koneksi ke router.
 Jika kita menggunakan action drop untuk setiap koneksi TCP, maka dia
akan membuat koneksi TCP yang baru, sehingga kurang efektif. Untuk
mengakalinya, gunakanlah action tarpit.
Filter Parameter - 4
 Limit: membatasi jumlah paket data. Biasanya diterapkan untuk
paket data non-connection, misalnya ICMP
 Dst-limit: membatasi jumlah paket per detik untuk setiap
alamat IP dan/atau port tujuan. Expire berarti lamanya router
mengingat informasi ini.
 Src/dst-address-type:
 Unicast: alamat IP yang biasa kita gunakan
 Local: alamat IP yang terpasang pada router
 Broadcast: alamat IP broadcast
 Multicast: alamat IP yang digunakan untuk transmisi multicast
 PSD: Port Scan Detection, digunakan untuk mengetahui adanya
port scanning (TCP)
 Low port: 0-1023
 High port: 1024-65535
 100
NAT

 Proses manipulasi parameter alamat IP

tujuan (dst-address) dan/atau alamat IP
pengirim (src-address) pada header
paket.
 Khusus untuk src-NAT, akan dilakukan
proses otomatis pembalikan (dst-NAT)
pada chain prerouting
 Jika paket pertama dari sebuah
connection terkena NAT, maka otomatis
paket selanjutnya juga terkena NAT
 101
NAT Parameter: Chain

 Ada 2 chain untuk NAT, yaitu Src-NAT dan Dst-NAT:

 Src-NAT: memanipulasi alamat IP pengirim (src-address). Biasanya digunakan
dengan action masquerade untuk menyembunyikan alamat IP lokal dan
menggantinya menjadi alamat IP publik milik router.
 Dst-NAT: memanipulasi alamat IP tujuan (dst-address). Biasanya digunakan
dengan action redirect untuk mengarahkan koneksi kembali ke localhost,
misalnya untuk transparent proxy & dns.
 102
NAT Action

 Netmap: melakukan mapping NAT

1:1 dari suatu bentangan/subnet
alamat-alamat IP ke
bentangan/subnet yang lain.
 Same: sama seperti netmap, tapi
bukan lebar bentangan/subnet bisa
berbeda (bukan 1:1). Router akan
menjaga penggunaan kombinasi IP
yang sama untuk koneksi yang sama.
 103
Proxy

 Web Proxy bertugas menyimpan data yang diakses user dan jika nanti user
mengakses hal yang sama, maka data tersebut akan diberikan kembali.
 HIT: berarti data tersebut sudah tersedia di cache, maka akan langsung
diberikan kepada user.
 MISS: berarti data tidak tersedia di cache, proxy perlu memintanya ke server,
kemudian menyimpannya di cache, lalu diberikan kepada client.
 Jika terjadi akses HIT pada proxy, maka proxy akan memberikan nilai TOS=4
(dapat diubah sesuai kebutuhan). Nilai TOS ini dapat dipakai sebagai
parameter pada firewall mangle.
 104
LAB Proxy

 Aktifkan fitur web

proxy dan cache
pada router
 Buatlah rule mangle
untuk mendeteksi
traffic direct, hit dan
miss.
 105
LAB Proxy

 Gunakan rule mangle berikut:

 /ip firewall mangle add chain=prerouting action=mark-connection
new-connection-mark=conn-client passthrough=yes in-interface=ether1
 /ip firewall mangle add chain=prerouting action=mark-packet new-
packet-mark=packet-client passthrough=no connection-mark=conn-
client
 /ip firewall mangle add chain=output action=mark-packet new-packet-
mark=packet-hit passthrough=no out-interface=ether1 connection-
mark=conn-client dscp=4
 /ip firewall mangle add chain=output action=mark-packet new-packet-
mark=packet-client passthrough=no out-interface=ether1 connection-
mark=conn-client dscp=!4
 106
LAB Proxy (Dual Gateway)

 Buatlah mangle untuk

memisahkan gateway
internasional dan IIX.
 Koneksikan wlan2 ke
ssid Training
MTCTCE2 (wlan1
tetap ke Training
MTCTCE)
 107
LAB Proxy (Dual Gateway)

 Untuk memisahkan mana traffic

domestik mana traffic Internasional,
kita harus memiliki daftar alamat IP
yang terdaftar di tabel BGP milik IIX.
 Download & import NICE.rsc dari
http://ixp.mikrotik.co.id/download
/nice.rsc. Skrip ini akan membuat
sebuah address list bernama nice
yang berisi >1000 alamat IP publik
domestic.
 LAB Proxy (Dual Gateway): Rule Mangle - /ip firewall mangle add
 chain=prerouting action=mark-connection new-connection-mark=conn-client-int passthrough=yes
dst-address-list=!nice in-interface=ether1
 chain=prerouting action=mark-packet new-packet-mark=packet-client-int passthrough=no
connection-mark=conn-client-int
 chain=prerouting action=mark-connection new-connection-mark=conn-client-iix passthrough=yes
dst-address-list=nice in-interface=ether1
 chain=prerouting action=mark-routing new-routing-mark=route-iix passthrough=yes dst-address-
list=nice connection-mark=conn-client-iix
 chain=prerouting action=mark-packet new-packet-mark=packet-client-iix passthrough=no
connection-mark=conn-client-iix
 chain=output action=mark-routing new-routing-mark=route-iix passthrough=no dst-address-list=nice
 chain=output action=mark-packet new-packet-mark=packet-hit-int passthrough=no out-
interface=ether1 connection-mark=conn-client-int dscp=4
 chain=output action=mark-packet new-packet-mark=packet-client-int passthrough=no out-
interface=ether1 connection-mark=conn-client-int dscp=!4
 chain=output action=mark-packet new-packet-mark=packet-hit-iix passthrough=no out-
interface=ether1 connection-mark=conn-client-iix dscp=4
 chain=output action=mark-packet new-packet-mark=packet-client-iix passthrough=no out-
interface=ether1 connection-mark=conn-client-iix dscp=!4
 109
LAB Proxy (Dual Gateway): Rule NAT & Route

/ip firewall NAT add

 chain=srcnat action=masquerade out- interface=wlan1
 chain=srcnat action=masquerade out- interface=wlan2
 chain=dstnat action=redirect to-ports=8080 protocol=tcp in-
interface=ether1 dst-port=80

/ip route add

 dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=1 scope=30
routing-mark=route-iix
 110
NAT

 Proses manipulasi parameter alamat IP

tujuan (dst-address) dan/atau alamat IP
pengirim (src-address) pada header
paket.
 Khusus untuk src-NAT, akan dilakukan
proses otomatis pembalikan (dst-NAT)
pada chain prerouting
 Jika paket pertama dari sebuah
connection terkena NAT, maka otomatis
paket selanjutnya juga terkena NAT
 111
uPNP

 Universal Plug and Play telah didukung pada

Router OS untuk komunikasi peer-to-peer
komputer dan perangkat jaringan yang
mendukung fitur ini (umumnya perangkat yg
support DirectX 9.0 c keatas)
 Untuk mengaktifkan fitur ini interface
internal (LAN) dan eksternal (public) harus
dipilih.
 Pada OS Windows buka eksplorer lalu pilih
Network, akan muncul device baru.
IP > uPNP
 112

Layer7 Protocol NETKROMACADEMY 2017

 113
Pengenalan

 L7 Protocol adalah packet classifier yang digunakan oleh Netfilter (Linux)

untuk mengidentifikasi sebuah paket itu berasal dari aplikasi apa.
 L7 protocol dapat dimanfaatkan untuk membuat rule firewall atau
bandwidth management yang lebih canggih
 Dengan adanya L7 protocol di MikroTik, firewall mampu memetakan paket
data lebih detail. L7 mampu mengenali nama domain, variasi, p2p, traffic
audio & video, dan aplikasi-aplikasi lainnya.
 114
Mekanisme

 L7 Classifier melakukan inspeksi berdasarkan pola yang terdapat pada traffic,

tepatnya di 10 paket pertama (atau sekitar 2 KB) dari sebuah connection.
 115
Persyaratan

 L7 dapat bekerja optimal jika bisa melihat traffic dari kedua arah, sehingga
disarankan untuk meletakkan rule L7 pada chain forward. Jika ingin
diletakkan di chain prerouting/input, maka rule yang sama harus diletakkan
juga di chain postrouting/output
 L7 menggunakan sumber daya (CPU & memory) yang cukup besar,
sehingga jika jaringan kita cukup besar dan menggunakan pengaturan L7
yang intensif, maka sebaiknya menggunakan router yang spesifikasinya
memadai.
 116
Regular Expression

 L7 dapat mengenali sekitar 150 jenis traffic dengan menginspeksi pola dari
suatu connection yang disebut regular expression (regexp)
 Regexp adalah sebuah string yang mendeskripsikan pola (pattern) yang
dijadikan pembanding pada waktu mencari connection yang diinginkan.
 Contoh: "hello" , "220 ftp server ready", "* ok", atau "HTTP/1.1 200 ok".
 Tidak semua connection bisa diidentifikasi, misalnya traffic-traffic yang
terenkripsi atau traffic yang menggunakan SSL tunnel. Hal ini disebabkan
karena pada proses handshake, hanya sertifikat SSL nya saja yang bisa
terbaca.
Syntax

 ^ : cocok dengan awal dari sebuah input

 $ : cocok dengan akhir dari sebuah input
 . : karakter tunggal apapun
 ? : terdapat satu atau tidak ada string berikut ini
 * : terdapat lebih dari satu atau tidak ada string berikut ini
 […] : terdapat kecocokan dengan salah satu diantara karakter-karakter yang ada di
dalam kurung
 | : terdapat kecocokan dengan salah satu diantara yang di kiri atau di kanan

 [\x09-\x0d -~] : karakter yang dimunculkan, termasuk spasi

 [\x09-\x0d ] : spasi manapun
 [!-~] : karakter yang dimunculkan kecuali spasi
 118
Mencari Regexp

 Kita bisa mendapatkan regular expression dari spesifikasi protocol yang telah
distandarisasi oleh RFC. Namun apabila kita menginginkan regexp dari protocol
yang proprietary, lakukanlah teknik reverse-engineering
 Gunakan software sniffer seperti Wireshark untuk mengamati isi dari sebuah
paket, kemudian cari pola yang menjadi ciri khas paket dalam connection tersebut.
 Lakukan testing untuk memastikan apakah rumusan regexp dapat berfungsi.
 Library regexp:
 http://l7-filter.sourceforge.net/protocols
Contoh
Aplikasi RegExp
AIM ^(\*[\x01\x02].*\x03\x0b|\*\x01.?.?.?.?\x01)|flapon|toc_signon.*
0x
Applejuice ^ajprot\x0d\x0a
Ares ^\x03[]Z].?.?\x05$
Bittorrent ^(\x13bittorrent protocol|azver\x01$|get /scrape\?info_hash=)
Counter Strike ^\xff\xff\xff\xff.*cstrikeCounter-Strike
Doom 3 ^\xff\xffchallenge
IRC ^(nick[\x09-\x0d -~]*user[\x09-\x0d -~]*:|user[\x09-\x0d -
~]*:[\x02-\x0d -~]*nick[\x09-\x0d -~]*\x0d\x0a)
Jabber ^<stream:stream[\x09-\x0d ][ -~]*[\x09-\x0d ]xmlns=['"]jabber
Skype ^..\x02.............
World of Warcraft ^\x06\xec\x01
Yahoo ^(ymsg|ypns|yhoo).?.?.?.?.?.?.?[lwt].*\xc0\x80
Gtalk ^<stream:stream to="gmail\.com"
 120
LAB L7 Protocol

 Download & import skrip L7

Mikrotik dari http://l7-
filter.sourceforge.net/protocols
 Lakukan blokir traffic salah satu
aplikasi (mis. ssh) menggunakan
firewall filter.

IP > Firewall > Layer7 Protocol

 121
LAB L7 Protocol

IP > Firewall > Filter > [+]

 122
LAB L7 Protocol (2)

 Lakukan pembatasan bandwidth untuk traffic

berjenis video.
 RegExp untuk video adalah: r[0-9]+---[a-z]+-
+[a-z0-9-]+\.googlevideo\.com Buat rule
mangle (mark-packet) untuk menandai setiap
paket Video. (Regex diatas digunakan pada
video yang tercantum pada server google)
 Buat rule simple queue 512k/512k untuk paket- IP > Firewall >
Layer7 Protocol > [+]
paket Video
 123
LAB L7 Protocol

IP > Firewall > Mangle > [+]

 124
LAB L7 Protocol

Queues > Simple Queue > [+]

 125

Quality of Service NETKROMACADEMY 2017

 126
Pengenalan

 Quality of Service – QoS merupakan

sebuah standar yang harus dicapai
melalui teknik-teknik pengaturan atau
pembagian bandwidth secara rasional.
 Dalam QoS, kita dapat mengatur
prioritas berdasarkan parameter yang
diberikan, dan menghindari terjadinya
monopoli bandwidth oleh suatu traffic
tertentu.
 MikroTik menyediakan fitur pengelolaan
bandwidth yang dikenal dengan Queue.
 127
Mekanisme

 Scheduler Queue: mengatur aliran paket data sesuai dengan jumlah paket
data. Jika ada yang melampaui batas, maka paket-paket tersebut akan
dimasukkan ke dalam “antrian”.
 Shaper Queue: mengatur kecepatan dan rate. Apabila ada yang melampaui
batas, paket-paket dari koneksi tersebut akan di-drop.
 128
Algoritma

 Scheduler Queues
 BFIFO: Bytes First-In-First-Out
 PFIFO: Packets First-In-First-Out
 MQ-PFIFO: Multi Queue Packets First-In-First-Out
 RED: Random Early Detect
 SFQ: Stochastic Fairness Queueing
 Shaper Queues
 PCQ: Per Connection Queue
Queues > Queue Types
 HTB: Hierarchical Token Bucket > [+] > [Kind]
 129
FIFO

 PFIFO dan BFIFO menggunakan algoritma First-In-First-Out dengan buffer

yang kecil. Tanpa mengubah urutan, paket-paket yang melebihi batas akan
ditahan dulu dalam buffer, lalu dilepaskan ketika sudah memungkinkan.
Namun, apabila buffer sudah penuh, paket akan di-drop.
 Ukuran buffer (queue size) ditentukan oleh parameter pfifo-limit dan bfifo-limit
 FIFO sebaiknya digunakan jika traffic di jaringan tidak terlalu padat.

 MQ-FIFO adalah mekanisme FIFO yang khusus dirancang untuk system

berspesifikasi tinggi (multi-core processor) dan memerlukan interface yang
mendukung multiple transmit queues.
 130
FIFO: Skema
 131
RED

 Algoritma Random Early Detect tidak membatasi kecepatan, tetapi jika buffer
sudah penuh, secara tidak langsung RED akan menyeimbangkan data rate
setiap user.
 Ketika ukuran buffer mencapai min-threshold, RED secara random akan
memilih paket-paket untuk di-drop. Ketika buffer mencapai max-threshold,
maka semua paket yang melebihi batas akan di-drop.
 RED sebaiknya digunakan jika traffic di jaringan sangat padat. RED sangat
sesuai untuk traffic TCP, tapi kurang sesuai untuk UDP.
 132
RED: Skema
 133
RED: Logika
 134
SFQ

 Stochastic Fairness Queuing tidak dapat membatasi traffic, namun berfungsi

untuk menyeimbangkan traffic flow jika jaringan sudah benar-benar padat
dengan menggunakan metode hashing dan algoritma round robin.
 Hashing akan membagi traffic menjadi 1024 sub-queue, dan jika terdapat lebih,
maka akan dilewati. Algoritma round robin akan melakukan queue ulang untuk
pembagian bandwidth (allot) untuk setiap queue.
 SFQ dapat digunakan untuk TCP maupun UDP.
 135
SFQ: Skema
 136
PCQ

 Per Connection Queue merupakan penyempurnaan dari SFQ. PCQ tidak

membatasi jumlah queue, tetapi membuat sub-queue berdasarkan parameter
pcq-classifier (src-address, dst-address, src-port, atau dst-port)
 Anda dapat membatasi data rate maksimum (pcq-rate) dan jumlah paket data
(pcq-limit) untuk setiap sub-queue. Total ukuran buffer pada PCQ-sub-queue
tidak bisa melebihi pcq-total-limit.
 PCQ memerlukan resource yang cukup besar.
 137
PCQ: Skema
PCQ: Pcq-rate
 139
Burst

 Burst adalah fitur QoS untuk memungkinkan penggunaan data-rate yang

melebihi max-limit selama periode waktu tertentu.
 Jika data rate kurang dari burst-threshold maka burst dapat dilakukan hingga
data-rate mencapai burst-limit.
 Setiap saat, router menghitung data rate rata-rata pada suatu kelas queue
sampai dengan masa berakhirnya burst, yang ditentukan pada burst-time.
(Burst-time bukan berarti waktu yang diizinkan untuk melakukan burst)
Burst: Contoh
 Limit-at=128kbps, max-limit=256kbps, burst-time=8, burst-
threshold=192kbps, burst-limit=512kbps
 Awalnya data rate rata-rata adalah
0 (lebih kecil dari burst-threshold,
sehingga burst dapat dilakukan.
 Setelah 1 detik, rate rata-rata
mencapai 64 kbps, masih lebih
kecil dari threshold.
 2 detik: rata-rata 128kbps, masih
lebih kecil dari threshold
 3 detik: rata-rata mencapai
threshold, burst dihentikan, dan
data rate diturunkan ke max-limit
 141
PCQ: Burst, Mask

 PCQ menyediakan fitur burst yang dapat

diimplementasikan pada sub-queue. Burst pada
PCQ menggunakan Pcq-rate sebagai max-limit,
selain daripada itu semua kalkulasi sama dengan
burst biasa.
 Fitur address mask memungkinkan router untuk
menggabungkan beberapa IP klien dalam 1
substream queue. Hal ini juga berguna jika PCQ
ingin digunakan sebagai limiter pada IPv6
 142
Queue: Mangle

 Mangle dapat dimanfaatkan untuk

meningkatkan QoS, sehingga lebih
akurat dan fleksibel.
 Jenis mangle yang digunakan dalam
queue adalah packet-mark.
 Khusus untuk queue Global-in,
mangle harus dilakukan pada chain
prerouting.
 143
HTB

 Hierarchical Token Bucket merupakan classful queuing discipline yang

dapat digunakan untuk memberikan penanganan berbeda tehadap
beberapa jenis traffic.
 Umumnya kita hanya dapat membuat satu jenis queue per interface,
namun dengan HTB, kita dapat mengaplikasikan queue berdasarkan
properti yang berbeda-beda
 HTB dapat melakukan pengelolaan prioritas untuk beberapa group yang
berbeda.
 144
HTB: Staged Limitation

 Pada RouterOS, terdapat 2 jenis limitasi

 Committed Information Rate (CIR): merupakan bandwidth yang akan diberikan
kepada klien-klien dalam keadaan terburuk. CIR ditentukan oleh parameter limit-at
dengan asumsi bahwa bandwidth yang tersedia memang cukup untuk CIR semua
klien.
 Maximum Information Rate (MIR): jika masih ada bandwidth yang tersisa setelah
masing-masing klien mendapatkan CIR-nya, maka klien berhak untuk mendapatkan
bandwidth tambahan, sampai dengan MIR-nya. MIR ditentukan oleh parameter
max-limit.
 145
HTB: Skema
 146
HTB: State

 Hijau: Data rate lebih kecil dari limit-at

 Nilai limit-at pada kelas tersebut akan dilihat terlebih dahulu daripada limit-at milik parent-
nya. Misal jika kelas tersebut limit-at nya 512k, sedangkan parent-nya memiliki limit-at 128k,
maka kelas tersebut selalu mendapatkan data-rate 512k
 Kuning:Data rate lebih besar daripada limit-at & lebih kecil dari max-limit
 Diizinkan atau tidaknya penambahan rate bergantung pada:
 Posisi parent: Jika prioritas kelas sama dengan parent dan parent berada dalam state kuning.
 Posisi kelas itu sendiri: Jika parent sudah berstate kuning
 Merah: Data rate sudah melebihi max-limit
 Kelas sudah tidah boleh meminjam rate dari parent.
 147
HTB: Struktur

 Setiap queue bisa menjadi parent bagi queue lainnya.

 Semua child queue (tanpa memedulikan child generasi ke berapa), akan berada
pada level HTB yang sama (paling bawah)
 Semua child queue akan mendapatkan rate sekurang-kurangnya sebesar limit-at
 Max-limit child harus kurang atau sama dengan max-limit parentnya. Jika max-
limit child lebih dari parent, maka child tidak akan pernah mendapat rate sebesar
max-limit child
 Max-limit parent harus lebih atau sama dengan jumlah limit-at semua childnya.
Jika max-limit kurang dari jumlah limit-at semua child, maka max-limit akan bocor.
 148
HTB: Tips

 Rule untuk parent paling atas (utama) hanya memerlukan max-limit, tanpa limit-
at, dan priority.
 Priority hanya diperhitungkan pada child paling bawah
 Priority hanya berfungsi untuk menetukan besar pinjaman bandwidth yang tersisa
dari parent setelah semua child mendapatkan limit-at.
HTB: Distribusi – Kasus 1

 Jika semua menggunakan Internet sebanyak-banyaknya, maka: B dan C

masing-masing mendapat 2 Mbps.
 Jika C tidak menggunakan Internet, maka B akan mendapat 4 Mbps
HTB: Distribusi – Kasus 2

 Meskipun max-limit A hanya 2 Mbps, tetapi B dan C masing-masing akan tetap

mendapatkan 2 mbps. Max Limit parent harus >= total limit-at client.
 Jika B tidak menggunakan internet, C tetap hanya mendapatkan 2mbps, tidak
bisa naik ke 4 mbps
HTB: Distribusi – Kasus 3

 B mendapatkan bandwidth pinjaman (sisa) dari parent karena memiliki prioritas

lebih tinggi daripada C, sehingga rate B= 3 Mbps, dan C= 2 Mbps
HTB: Distribusi – Kasus 4

 Klien B, C1 dan C2 masing

masing mendapat 2 Mbps
sesuai limit-at masing-
masing.
HTB: Distribusi – Kasus 5

 B, C1 dan C2 mendapat 2
Mbps. C1 dan C2
mendapat bonus hingga
max-limit karena
parentnya, C, memiliki
limit-at hingga 4 mbps
HTB: Distribusi – Kasus 6

 B= 4 Mbps, C1= 2 Mbps,

C2= 2 Mbps. Setelah
semua mendapat limit-at,
B mendapat bonus dari A
karena prioritasnya lebih
tinggi daripada C1 dan C2
HTB: Distribusi – Kasus 7

 B= 4 Mbps, C1= 2 Mbps,

C2= 2 Mbps. Setelah
semua mendapat limit-at,
B mendapat bonus dari A
karena prioritasnya lebih
tinggi daripada C1 dan C2
HTB: Distribusi – Kasus 8

 B1, B2, C1, C2, dan C3

semua mendapat 2
Mbps.
HTB: Distribusi – Kasus 9
 C1, C2, C3 mendapat 2 Mbps;
B1 dan B2 mendapat 1 Mbps
karena prioritas C1, C2, dan C3
lebih tinggi
HTB: Distribusi – Kasus 10
 B1 & B2= 2 Mbps, C1= 2 Mbps,
C2 & C3= 1 Mbps. B mendapat
4 Mbps karena limit-at nya 4
Mbps. C1 > C2, dan C1 > C3
karena prioritasnya.
HTB: Distribusi – Kasus 11
 B1, B2, C1, C2, C3 mendapat
1,6 Mbps karena semua
priority-nya sama. Priority B
dan C tidak diperhitungkan.
 160
LAB HTB

 Implementasikan contoh-contoh kasus HTB yang telah dijelaskan.

 Simulasikan laptop anda sebagai klien, dan gunakan Btest untuk
melihat bandwidth yang diberikan kepada klien.

Kasus 10
 161
Simple Queue

 Simple Queue dapat membatasi Queues > Simple Queue > [+]
bandwidth upload, download,
dan total dalam sebuah rule.
 Bisa menggunakan target-
address, atau interface sebagai
parameter
 Bisa mengguanakan lebih dari
satu packet mark
 Bisa menggunakan parameter
waktu
 162
Simple Queue: Target Address

 Alamat IP atau jaringan yang

ingin dibatasi. Boleh lebih dari
satu target.
 Secara otomatis router akan
menentukan di interface mana
rule queue ini akan diberlakukan,
jadi tidak perlu lagi mengisi
Queues > Simple Queue > [+]
parameter interface
 163
Simple Queue: Interface

 Alternatif selain target-address untuk

menentukan klien mana yang akan
dibatasi adalah interface.

Queues > Simple Queue > [+] > Advanced

 164
LAB Simple Queue

 Lanjutkanlah lab
firewall dual
gateway dengan
proksi internal.
 Buatlah pengaturan
QoS untuk semua
traffic
LAB Simple Queue

 /queue simple
 add name="CLIENT IIX" target=192.168.113.2 packet-marks=PAKET_IIX max-
limit=64000/64000
 add name="CLIENT IIX HIT" target=192.168.113.2 packet-
marks=PAKET_IIX_HIT max-limit=256000/256000
 add name="CLIENT INT" target=192.168.113.2 packet-marks=PAKET_INT max-
limit=16000/16000
 add name="CLIENT INT HIT" target=192.168.113.2 packet-
marks=PAKET_INT_HIT max-limit=256000/256000
 166
Queue Tree

 Lebih sederhana daripada Simple

Queue
 Bisa memilih untuk menggunakan
interface queue, namun lebih
kompleks karena harus
menggunakan mangle.

Queues > Queue Tree > [+]

 167
LAB Queue Tree

 Lanjutkanlah lab Mangle

(anda telah membagi traffic
menjadi 5 kelompok prioritas
yang berbeda)
 Aturlah bandwidth untuk
masing-masing kelompok
prioritas
 Buat juga mangle pada chain
forward untuk membatasi
koneksi user tertentu
 LAB Queue Tree: Mangle Client
 /ip firewall mangle
 add chain=forward action=mark-connection new-connection-mark=conn-client1
passthrough=yes src-address=192.168.100.1-192.168.100.100
 add chain=forward action=mark-packet new-packet-mark=packet-client1-upload
passthrough=no out-interface=wlan1 connection-mark=conn-client1
 add chain=forward action=mark-packet new-packet-mark=packet-client1-download
passthrough=no out-interface=ether1 connection-mark=conn-client1
 add chain=forward action=mark-connection new-connection-mark=conn-client2
passthrough=yes src-address=192.168.100.101-192.168.100.254
 add chain=forward action=mark-packet new-packet-mark=packet-client2-upload
passthrough=no out-interface=wlan1 connection-mark=conn-client2
 add chain=forward action=mark-packet new-packet-mark=packet-client2-download
passthrough=no out-interface=ether1 connection-mark=conn-client2
 add chain=forward action=mark-connection new-connection-mark=conn-client3
passthrough=yes src-address=10.5.50.0/24
 add chain=forward action=mark-packet new-packet-mark=packet-client3-upload
passthrough=no out-interface=wlan1 connection-mark=conn-client3
 add chain=forward action=mark-packet new-packet-mark=packet-client3-download
passthrough=no out-interface=ether2 connection-mark=conn-client3
 169
LAB Queue Tree
 170

Praktikum MTCTCE NETKROMACADEMY 2017

 171
Persiapan

 BEKERJALAH SECARA BERKELOMPOK – 4 ORANG

 Reset konfigurasi router anda.
 Buatlah sebuah topologi ISP sederhana berikut dengan menggunakan 4 buah
router yang dikonfigurasikan sesuai dengan fungsinya masing-masing.
 172
Topologi
 173
R1: Backbone

 R1 terhubung ke 2 ISP (SSID: Training

MTCTCE dan Training MTCTCE2)
 Konfigurasi load balancing menggunakan
PCC
 Aktifkan NAT untuk semua koneksi menuju
Internet
 Pisahkan bandwidth Internet dan IIX
 Gunakan routing untuk interkoneksi jaringan
 174
R2: QoS

 R2 menjadi router pengatur

bandwidth
 Gunakan NAT untuk pembelokkan
traffic web ke proksi
 Konfigurasi routing untuk
interkoneksi jaringan
 175
R3: Proksi

 R3 berfungsi sebagai proksi

 Aktifkan Web proxy dan fungsi cache untuk
menyimpan objek dari website
 Gunakan firewall filter, access list proksi, atau
DNS untuk memblokir situs-situs yang berbau
pornografi.
 176
R4: Distribusi

 R4 berfungsi sebagai pembagi

koneksi Internet kepada para
klien.
 Pastikan semua klien dapat
mengakses internet
 177

Sertifikasi NETKROMACADEMY 2017