MODUL TRAINING

MIKROTIK FUNDAMENTAL

www.padepokanit.com

Mikrotik Sebagai Firewall

Dan Keamanan Jaringan

Padepokan-IT Course
Wwwpadepokanit.com
2

1
Pembahasan :
1. Konsep Dasar Firewall Secara Umum
2. Firewall Di mikrotik & Implementasinya
3. Keamanan Dasar Jaringan Mikrotik
4. Lab & Studi Kasus Penerapan Firewall di
Mikrotik untuk berbagai kasus

Konsep Dasar Firewall

Firewall adalah sistem keamanan jaringan komputer yang digunakan
untuk melindungi komputer dari beberapa jenis serangan luar dengan
cara menyaring paket data yang keluar dan masuk di jaringan.

Firewall Bisa Berbentuk Perangkat Atau Software

4

2
 Jenis Firewall
Firewall terbagi atas dua jenis yakni,
1. Personal Firewall untuk melindungi sebuah komputer yang terhubung
ke jaringan dari akses yang tidak dikehendaki, contoh Personal
Firewall Antivirus dan Windows Firewall
2. dan Network Firewall yang didesain untuk melindugi jaringan secara
keseluruhan dari berbagai serangan. Contoh Network Firewall adalah
Router yang telah disetting Firewallnya.

Pada dasarnya Firewall sendiri dapat melakukan hal-hal berikut:

1) Mengatur dan mengontrol lalu lintas jaringan
2) Melakukan autentikasi terhadap akses
3) Melindungi sumber daya dalam jaringan privat
4) Mencatat semua kejadian, dan melaporkan kepada administrator

Untuk Kemanan jaringan sebaiknya mengkombinasikan

antara Personal Firewall & Network Firewaa 5

Firewall Mikrotik
LAN KEAMANAN JARINGAN WAN

Fitur ini biasanya banyak digunakan untuk melakukan filtering akses (Filter Rule),
Forwarding (NAT), dan juga untuk menandai koneksi maupun paket dari trafik
data yang melewati router (Mangle) serta Fitur Pengelompokan IP Address dan
Penggunaan Script Reguler Expression pada Layer 7 Protocol
6

3
Implementasi & Manfaat Firewall

1. Digunakan Untuk Filtering, Forwarding, Dan Menandai Traffic

2. Digunakan untuk melindungi jaringan local dari ancaman
luar, misalnya virus atau serangan hacker

Tujuan Utama Firewall adalah untuk melindungi

sumber daya jaringan Internal (LAN)

1. FIREWALL FILTER RULE

Berfungsi untuk Melakukan Proses Blok
Koneksi Traffic yang menuju Router,melewati
Router ,atau keluar dari Router

4
 Penjelasan Firewall Filter Rule

• Fitur Filter Pada firewall digunakan untuk menentukan apakah

suatu paket data dapat masuk atau tidak kedalam sistem router
itu sendiri
• Paket data yang akan di tangani fitur filter ini adalah paket data
yang ditujukan pada salah satu interface router
• Fitur Filter dapat menangani paket data yang melintasi router
dari jaringan local ke internet
• Fitur Filter memiliki 3 Chain : Input, Output, Forward

Prinsip yang digunakan IF...THEN…

IF (jika) paket memenuhi syarat pada rule yang kita buat THEN
(maka) action yang akan dilakukan pada paket tersebut
9

Chain Input
Bertugas Menangani paket data yang ditujukan pada interface
router mikrotik (Paket yang masuk ke Router)
Chain input berguna untuk membatasi akses konfigurasi
terhadap router mikrotik
Implementasi dan Contohnya adalah ketika Client Melakukan Ping Ke
Router

Mikrotik
WAN

LAN

Penjelasan Video Tutorialnya bisa dilihat di Link Berikut

https://youtu.be/oJRaStgSiVA

5
 LAB 1

Latihan Konfigurasi
Dasar Firewall & Studi kasus

Admin Jaringan mengiginkan Router tidak

bisa di ping oleh komputer client Kecuali
Komputer admin saja

11

Konfigurasi (1)
• Klik Menu IP – Firewall kemudian Pilih Filter Rule
• Tambahkan Parameter Sebagai Berikut

Selanjutnya Lakukan ujicoba Ping dari Komputer Client

12

6
Konfigurasi (2)
• Buat Firewall Untuk Accept Mengizinkan Komputer Admin melakukan
ping ke Router
• Tambahkan Parameter Sebagai Berikut
• Posisi Urutan Rule disimpan paling atas

Selanjutnya Lakukan ujicoba Ping dari Komputer Admin 13

Penjelasan Action Pada Firewall

• Accept
Paket diterima dan proses pembacaan rules pada baris
berikutnya tidak dilanjutkan
• Drop
Paket akan ditolak secara diam-diam dan Firewall tidak
mengirimkan pesan penolakan ICMP
• Reject
Paket akan ditolak namun Firewall tetap mengirimkan Pesan
penolakan ICMP
• Jump
Memaksa agar melompat ke Chain lain yang ditentukan oleh
nilai parameter jump-target
• Return
Kembali ke Rule Sebelumnya
• Tarpit
Menolak Paket tapi tetap Menjaga TCP Connection
• Passtrough
Mengabaikan Rule ini dan melanjutkan ke Rule lainnya
• Log
Menambahkan Informasi ke paket Log
14

7
 Chain Forward

• Digunakan untuk menangani paket data yang akan melintasi

router
• Chain Forward akan menangani paket data yang melintasi
router, baik paket data dari jaringan lokalyang ingin ke
internet maupun sebaliknya.
• Implementasi Chain Forward, ketika admin memblok akses
internet dari IP tertentu.

ip firewall filter add chain=forward

src-address=192.168.10.5 out-interface=ether1 action = drop

Chain Forward Digunakan untuk meyelsi paket data yang Melalui Router atau di
routing. Tujuan utamanya melindungi client-client yang terhubung dengan Router
15

Chain Forward dan Content

• Digunakan untuk memblokir akses internet terhadap situs

tertentu ataupun aktifitas user yang ingin mendownload
jenis-jenis file tertentu
• Untuk Menggunakannya gunakan option content yang ada
pada fitur firewall filter.
• Contoh Syntak
ip firewall filter add chain=forward src-
address=192.168.1.5 content=www.facebook.com
action=drop

Action Drop digunakan untuk memblokir

16

8
 Chain Output

Digunakan untuk memproses trafik paket data yang keluar

dari router. Dengan kata lain merupakan kebalikan dari
'Input'. Jadi trafik yang berasal dari dalam router itu sendiri
dengan tujuan jaringan Public maupun jaringan Local.

Implementasi Misal dari new terminal winbox, kita ping ke ip google.

Maka trafik ini bisa ditangkap dichain output.

17

Lab 2
Studi Kasus
Pada Studi Kasus ini akan digabungkan Penggunaan
Chain Input dengan Forward untuk menandai user
yang sering ping ke Router dan selanjutnya
dimasukan ke Address List. Setelah itu akan dilakukan
Blok terhadap user tersebut supaya tidak bisa
mengakses internet

18

9
Langkah Konfigurasi

1. Buat Firewall Filter Rule Untuk Blok Protocol ICMP yang

kemudian dimasukan ke Daftar Src Address List
2. Selanjutnya Buat Chain Forwad dengan Action Drop untuk
Blok Client Tersebut
3. Ujicoba ping To Router dan Lihat di Address List,
selanjutnya akses Website
4. Jika Rule Berjalan maka Client Tersebut tidak akan bisa
Akses Internet (Sudah di Blok oleh Router)

19

Latihan Mandiri Studi Kasus Firewall

Perusahaan Jaya Sakti Cemerlang Menerapkan Mikrotik sebagai
router, anda sebagai admin jaringan di beri tanggung jawab untuk
mengelola keamanan jaringan. Dimana perusahaan mempunyai
kebijakan sebagai berikut:
1. Mikrotik tidak bisa diakses oleh yang tidak berwenang
2. Mikrotik Tidak bisa di Ping Oleh Komputer User kecuali
oleh Komputer Admin dan owner
3. Komputer client dengan IP 192.168.200.40 Sama sekali
tidak boleh mengakses internet
4. Blok Beberapa Komputer di jaringan Local kecuali
komputer Pimpinan, Gunakan Address List untuk
Pengelompokan IP
5. Komputer client dengan IP 192.168.200.41 tidak bisa buka
semua situs kecuali E-mail saja 20

10
 2. Firewall NAT

• Nat artinya Network Address Translation adalah Suatu Fungsi

Firewall yang bertugas melakukan perubahan IP address
pengirim dari sebuah paket data
• Umunya NAT digunakan untuk Merubah IP Private menjadi
IP Public
• Nat umumnya dijalankan pada router-router yang menjadi
batas antara jaringan local & jaringan internet
• Secara Teknis NAT akan mengubah paket data yang berasal
dari komputer user seolah-olah berasal dari router

ip firewall nat add chain=srcnat out-interface=ether1

action=masquarade
21

SETTING NAT DI MIKROTIK

Untuk Src Address bisa diisi atau dikosongkan

sesuai dengan keperluan, jika diisi bisa
menggunakan IP Address atau Network Address

Parameter yang Disetting

Chain : Srcnat, Out Interface : Interface yang keluar
Action : Masquarade
22

11
 Jenis NAT Di Mikrotik

SRC NAT
Memiliki fungsi untuk mengubah source address dari
sebuah paket data. Sebagai contoh kasus fungsi dari chain
ini banyak digunakan ketika kita melakukan akses website
dari jaringan LAN

DST NAT
Dnat atau Destiantion Network Address Translation adalah
sebuah NAT yang berfungsi untuk meneruskan paket dari IP
public melalui firewall ke suatu host dalam jaringan.
Contoh Implementasi Port Forwarding

Cara Kerja NAT (SRC NAT & DST NAT)

12
 LAB 3
IMPLEMENTASI FIREWALL NAT

Setting NAT dengan Jenis Dst NAT

untuk mengkases Web Server dari Luar
Jaringan

3. Firewall Mangle

• Mangle berfungsi untuk menandai paket masuk dan keluar

pada router.
• Dimana mangle dapat digunakan untuk menandai (marking)
paket data berdasarkan port, protocol, src Address dan dst
address, serta paramater lain yang dibutuhkan
• Mangle Terdiri Dari :
1. Mark Connection
2. Mark Packet
3. Mark Routing

26

13
 DIAGRAM MANGLE

27

PENJELASAN MANGLE
CONNECTION MARK

28

14
FIREWALL MANGLE
CONNECTION MARK

29

LAB 4 PENGGUNAAN MANGLE

30

15
 31

HASIL KONFIGURASI

Untuk mengetahui berhasil atau tidaknya marking yang kalian lakukan, ketika anda
coba browsing maka angka counter pada rules yang anda buat akan berjalan.

32

16
Penjelasan Chain Pada Mangle
• Input, Output, Forward : Penjelasannya tidak jauh berbeda dengan yang
ada di dalam Filter Rule.
• Forward : Untuk memproses trafik paket data yang hanya melewati
router. Contohnya saat kita mengakses internet. Trafik laptop saat
mengakses internet dapat di-manage dengan chain forward.
• Prerouting : koneksi yang akan masuk kedalam router dan melewati
router. Berbeda dengan input yang mana hanya akan menangkap trafik
yang masuk ke router. Trafik yang melewat router dan trafik yang masuk
kedalam router dapat ditangkap di chain prerouting.
• Postrouting : koneksi yang akan keluar dari router, baik untuk trafik yang
melewati router ataupun yang keluar dari router.
• Output : Untuk memproses trafik paket data yang keluar dari router.
Trafik yang berasal dari dalam router dengan tujuan jaringan public
maupun jaringan local. Misal dari new terminal winbox, kita melakukan
ping ke ip google.
33

LATIHAN MANDIRI

BUAT MANGLE MARK CONNECTION DAN MARK PAKET

UNTUK MENANDAI TRAFFIC YOUTUBE DAN KEMUDIAN
DILAKUKAN BLOK BERDASARKAN SCHEDULER

34

17
4. Firewall Raw

• Firewall RAW merupakan tabel firewall yang mirip dengan tabel filter
yakni menangani filtering paket. Namun raw memiliki keunggulan
yaitu tidak memakan resource cpu sebanyak pada firewall filter (lebih
ringan). Hal ini dikarenakan raw mampu melakukan bypass atau drop
paket sebelum terjadinya proses connection tracking.
• Firewall raw hanya memiliki dua chain, yakni prerouting dan output.
Kenapa demikian ? Seperti yang sudah dikatakan pada bagian atas
tadi bahwa raw bekerja atau melakukan filtering paket sebelum
proses connection tracking

35

Diagram Firewall Raw

Sumber Gambar : mikrotik.id

36

18
 Lab 5
Implementasi Firewall Raw

1. Coba Lakukan Blok Terhadap Akses Internet

mengunakan Firewall Raw
2. Coba Blok antar Jaringan Local artinya IP Address
Tertentu tidak bisa akses ke IP Lain. Misal
Komputer A tidak bisa akses ke komputer Server
sedangkan komputer B bisa Akses ke Server

37

Konfigurasi (1)
• Klik Menu IP Firewall – Raw
• Parameter yang disetting seperti berikut

38

19
Konfigurasi (2)

Konfigurasi diatas akan memblok akses dari komputer

192.168.200.254 ke tujuan Komputer 192.168.200.10

39

5. Firewall Address List

• Router Mikrotik Menyediakan fitur address list untuk
merujuk IP address tertentu dengan sebuah nama.
• Fitur ini dapat digunakan untuk keperluan deklarasi IP
Address maupun untuk kepentingan logging
(Pencatatan Aktifitas Jaringan)
• Penggunaan deklarasi IP address menjadi sebuah
nama akan membuat anda tidak terlalu repot
mengelola jaringan jika suatu saat terjadi perubahan
IP Address.

40

20
 Jenis Address List
•Static Address List
•Dynamic Address List

41

Implementasi Addres List

1. Membuat Address List
2. Penerapan Address List Pada NAT

Ip firewall address-list add address=192.168.1.0/24 list=‘jaringan-local’

Ip firewall address-list add address=192.168.1.2/24 list=‘pc-admin’
Ip firewall nat add chain=srcnat out interface=ether1 src-address-list=“pc-
admin” action=masquarade

Ip firewall nat add chain=srcnat out interface=ether1 src-address-list=“jaringan-

lokal” protocol=tcp dst-port=80,443 action masquarade

Penjelasan
Konfigurasi NAT 1 diatas bermaksud memberikan akses internet yang penuh bagi
komputer administrator (ditandai dengan src-address-list=“pc-admin”)

Konfigurasi Di NAT yang ke 2 hanya memberikan akses in ternet browsing (http/https)

pada komputer-komputer lain ditandai dengan src-address-list = “jaringan-lokal”)
42

21
 LATIHAN ADDRESS LIST
1. Buat Address List Dynamic Untuk Menandai IP Youtube
2. Buat Address List Dynamic Untuk Menandai IP Zoom

Solusi Gunakan Mangle dengan Action Add to Dst

Address List

3. Buat Address List Static Untuk Mengelompokan IP yang ada di

Jaringan Local Per Divisi Dan IP Address Tertentu

43

LAYER 7 PROTOCOL
Apa itu Layer 7 Protocol ?

• Layer 7 Protocol adalah layer aplikasi yang Berfungsi sebagai antarmuka

dengan aplikasi dengan fungsionalitas jaringan, mengatur bagaimana aplikasi
dapat mengakses jaringan, dan kemudian membuat pesan-pesan kesalahan.

• Contoh Penulisan Script Regex

^.+(instagram.com).*$

^.+(facebook|youtube|twitter|bukalapak|tokopedia|belibeli.com|beli-
beli|lazada|shopee|www.facebook.com|ganool).*$

^.*get.+\.iso.*$

44

22
 Latihan Blok Situs

45

Langkah KONFIGURASI

1. Buat Layer 7 Protocol Script seperti dibawah

^.+(.youtube.|ytimg.|googlevideo.com|youtu.be).*$

2. Buat Filter Rule Action Drop untuk Port TCP dan UDP

46

23
DAFTAR SCRIPT REGEX LAINNYA
WhatsApp

Port Whatsapp UDP: 1900,3478,5222,5288 TCP: 5222

^.+(whatsapp.com|whatsapp.net|wa.me).*$

IDM

get /.*(user-agent: mozilla/4.0|range: bytes=)

Bittorent

^.*(get|GET).+(torrent|thepiratebay|isohunt|entertane|
demonoid|btjunkie|mininova|flixflux|torrentz|vertor|h33t|btscene|
bitunity|bittoxic|thunderbytes|entertane|zoozle|vcdq|bitnova|
bitsoup|meganova|fulldls|btbot|flixflux|seedpeer|fenopy|gpirate|
commonbits).*\$"
47

Keamanan Jaringan LAN & Keamanan

Dasar Mikrotik

48

24
 Penerapan ARP untuk Keamanan DHCP Server
Agar Client tidak bisa menggunakan IP Static

Deskripsi

Address Resolution Protocol (ARP)

merupakan protocol Jaringan Local yang
digunakan untuk membuat pemetaan
antara IP address dan Mac Address yang
dimiliki satu computer host.

Pemetaan ini bersifat dinamik artinya

Router Mikrotik akan mencari sendiri MAC
address suatu komputer user berdasarkan
IP Address Komputer tersebut.

49

Langkah Konfigurasinya:
1. Klik Interfaces, kemudian double klik interface LAN yang digunakan sebagai
interface DHCP
2. Pilih Di Bagian ARP : Reply-Only

50

25
3. Konfigurasi di DHCP Server untuk menambahkan ARP ketika terjadi DHCP-lease. Klik IP–>DHCP
Server, edit DHCP, check Add ARP for leases

51

ARP Untuk IP Static

• Pemetaan IP dan MAC address
dapat saja dibuat menjadi static
sehingga seorang user tidak dapat
menggunakan IP address user
milik user orang lain.
• Karena Jika User tersebut
mengganti IP addressnya maka
pemetaan ARP nya menjadi tidak
Valid lagi dan ini akan
mengakibatkan komputer user
tersebut tidak dapat terhubung
ke router mikrotik

52

26
 Konfigurasi Agar User Tidak Bisa Mengganti IP Static di Jaringan
Mikrotik Dengan Fungsi Reply-Only
• Klik Menu IP – ARP
• Daftarkan IP Address dan Mac Addressnya Termasuk IP Gateway Mikrotik ETH-1 dan ETH-2

53

• Selanjutnya Rubah ARP menjadi Reply-Only di Menu Interface ETH2-LAN

54

27
 Yang Harus dilakukan Setelah
Konfigurasi Dasar Mikrotik

Sumber Refrensi Chanel Mikrotik.id : https://youtu.be/ICPJwq4u4Fc 55

KEAMANAN
JARINGAN EKSTERNAL (PUBLIC)

56

28
Tips Mengamankan Router Mikrotik

1. Pastikan Router telah diberi password Tidak menggunaan Login

Default admin password kosong
2. Ganti Port Default Winbox
3. Hidden Mac address Router
4. Disable Service Port yang tidak perlu (IP – Services)
5. Batasi Akses Terhadap Router setting Available From pada Winbox

57

MENGAMANKAN Service Port

• Pada tutorial ini akan dibahas cara mudah tahap awal mengamankan
router mikrotik yaitu dengan cara menutup port di menu IP –
Service.
• port adalah mekanisme yang mengizinkan sebuah komputer untuk
mendukung beberapa sesi koneksi dengan komputer lainnya dan
program di dalam jaringan.
• Port dapat mengidentifikasikan aplikasi dan layanan yang
menggunakan koneksi di dalam jaringan TCP/IP. Sehingga, port juga
mengidentifikasikan sebuah proses tertentu di mana sebuah server
dapat memberikan sebuah layanan kepada klien atau bagaimana
sebuah klien dapat mengakses sebuah layanan yang ada dalam
server.
• Dimana secara default port-port servist list mikrotik masih terbuka
diantaranya api, ftp, ssh, telnet, winbox, http, dan https. Untuk itu
harus kita tutup (disable

58

29
 Teknis Konfigurasi

59

Keterangan Port

60

30
Langkah Terakhir

61

Beberapa Cara Penerapan Firewall Di Mikrotik

1. Membuat Firewall Untuk Memblock Akses Internet Dari 1 Ip

Address Client.
2. Membuat Firewall Untuk Memblock Akses Internet Dari 1
Mac Address Client.
3. Membuat Firewall Untuk Memblock Akses Internet Dari
Sekelompok Ip Address Client.
4. Blokir Berdasarkan Port
5. Membuat Firewall Untuk Memblock Akses Internet Dari
Sekelompok Ip Address Attacker.
6. Membuat Firewall Untuk Memblock Akses Internet Dari
Client Ke Suatu Websites Tertentu.
7. Membuat Firewall Dengan Penjadwalan Waktu
8. Membuat Firewall Dengan Fasilitas Layer 7 (RageXp)

62

31
 Beberapa Studi Kasus Tentang Penggunaan
Firewall Mikrotik

63

Blok Akses Internet Berdasarkan IP Tertentu

Jadi Firewall ini berarti : “Jika ada Client dengan IP : 192.168.1.34 yang akan
mengakses internet dengan OUTGOING melalui Interface WAN, maka
koneksi ini akan di DROP oleh Mikrotik.
64

32
Blok Berdasarkan MAC Address

Jadi Firewall ini berarti : “Jika ada Client dengan Mac Address sesuai Mac
target yang akan mengakses internet dengan OUTGOING melalui
Interface WAN, maka koneksi ini akan di DROP oleh Mikrotik. 65

Blok Berdasarkan Sekelompok IP Address

LANGKAHNYA :
1. Membuat Daftar IP yang akan di Blok di Menu Address List

66

33
2. Membuat Rule Firewall di Filter Rule

Jadi Firewall ini berarti : “Jika ada Client dengan IP

Address yang terdaftar pada“CLIENT NO INTERNET” yang
akan mengakses internet dengan OUTGOING melalui
Interface WAN, maka koneksi ini akan di DROP oleh Mikrotik.67

MEMBLOCK AKSES INTERNET DARI CLIENT KE SUATU

WEBSITES TERLARANG.

68

34
Blokir Berdasarkan Port

Contoh Kasus
Di Sebuah kantor menerapkan kebijakan bahwa komputer dibagian
Gudang hanya bisa mengakses Ms Outlook saja sebagai email client, dan
tidak diperbolehkan melakukan browsing selama jam kerja

Penyelesaian

1. Login Menggunakan Winbox

2. Masuk ke Menu IP – Firewall
3. Klik Tab Filter Rule kemudian Klik tombol +
4. Selanjutnya Masukan Script Dibawah ini

/ip firewall filter > add src-address=192.168.1.42

protocol=tcp dst-port=80 chain=forward action=drop

69

Konfigurasi Dengan Winbox

70

35
Blok Dari IP Attacker

71

Jadi Firewall ini berarti : “Jika ada orang atau system dengan IP
Address yang terdaftar pada “ATTACKER” yang akan mengakses IP Publick /
IP WAN kita yang masuk melalui Interface WAN, maka koneksi ini akan
di DROP oleh Mikrotik.

72

36
 LAB MANDIRI

Latihan Mandiri Konfigurasi

Keamanan Jaringan di Local

1. Setiap komputer client tidak bisa merubah IP yang telah

diberikan oleh admin. dengan konsekuensi jika merubah
IP maka tidak akan terkoneksi ke internet.
2. Tidak bisa sembarang komputer khususnya client Laptop
atau Gadget masuk ke area Wifi artinya Mac Address
harus terdaftar di Laptop
3. Tidak Bisa melakukan Tatering Koneksi Internet Sharing
yang didapat dari sumber internet yang terhubung ke wifi
mikrotik

73

Info Training Padepokan IT

• WhatsApp : 081214518859
• E-mail : padepokanit.course@gmail.com
• Padepokan IT Store : bit.ly/padepokanit-store
• Youtube Chanel : Padepokan IT Course
• Facebook : www.facebook.com/padepokanit
• Gallery Training IG : @padepokanit
• Website : www.padepokanit.com

Info Lengkap Training Mikrotik

https://bit.ly/kursusmikrotik

37
 Padepokan IT Course
www.padepokanit.com

75

38