MIKROTIK FUNDAMENTAL
www.padepokanit.com
Padepokan-IT Course
Wwwpadepokanit.com
2
1
Pembahasan :
1. Konsep Dasar Firewall Secara Umum
2. Firewall Di mikrotik & Implementasinya
3. Keamanan Dasar Jaringan Mikrotik
4. Lab & Studi Kasus Penerapan Firewall di
Mikrotik untuk berbagai kasus
2
Jenis Firewall
Firewall terbagi atas dua jenis yakni,
1. Personal Firewall untuk melindungi sebuah komputer yang terhubung
ke jaringan dari akses yang tidak dikehendaki, contoh Personal
Firewall Antivirus dan Windows Firewall
2. dan Network Firewall yang didesain untuk melindugi jaringan secara
keseluruhan dari berbagai serangan. Contoh Network Firewall adalah
Router yang telah disetting Firewallnya.
Firewall Mikrotik
LAN KEAMANAN JARINGAN WAN
Fitur ini biasanya banyak digunakan untuk melakukan filtering akses (Filter Rule),
Forwarding (NAT), dan juga untuk menandai koneksi maupun paket dari trafik
data yang melewati router (Mangle) serta Fitur Pengelompokan IP Address dan
Penggunaan Script Reguler Expression pada Layer 7 Protocol
6
3
Implementasi & Manfaat Firewall
4
Penjelasan Firewall Filter Rule
IF (jika) paket memenuhi syarat pada rule yang kita buat THEN
(maka) action yang akan dilakukan pada paket tersebut
9
Chain Input
Bertugas Menangani paket data yang ditujukan pada interface
router mikrotik (Paket yang masuk ke Router)
Chain input berguna untuk membatasi akses konfigurasi
terhadap router mikrotik
Implementasi dan Contohnya adalah ketika Client Melakukan Ping Ke
Router
Mikrotik
WAN
LAN
5
LAB 1
Latihan Konfigurasi
Dasar Firewall & Studi kasus
11
Konfigurasi (1)
• Klik Menu IP – Firewall kemudian Pilih Filter Rule
• Tambahkan Parameter Sebagai Berikut
6
Konfigurasi (2)
• Buat Firewall Untuk Accept Mengizinkan Komputer Admin melakukan
ping ke Router
• Tambahkan Parameter Sebagai Berikut
• Posisi Urutan Rule disimpan paling atas
7
Chain Forward
Chain Forward Digunakan untuk meyelsi paket data yang Melalui Router atau di
routing. Tujuan utamanya melindungi client-client yang terhubung dengan Router
15
8
Chain Output
17
Lab 2
Studi Kasus
Pada Studi Kasus ini akan digabungkan Penggunaan
Chain Input dengan Forward untuk menandai user
yang sering ping ke Router dan selanjutnya
dimasukan ke Address List. Setelah itu akan dilakukan
Blok terhadap user tersebut supaya tidak bisa
mengakses internet
18
9
Langkah Konfigurasi
19
10
2. Firewall NAT
11
Jenis NAT Di Mikrotik
SRC NAT
Memiliki fungsi untuk mengubah source address dari
sebuah paket data. Sebagai contoh kasus fungsi dari chain
ini banyak digunakan ketika kita melakukan akses website
dari jaringan LAN
DST NAT
Dnat atau Destiantion Network Address Translation adalah
sebuah NAT yang berfungsi untuk meneruskan paket dari IP
public melalui firewall ke suatu host dalam jaringan.
Contoh Implementasi Port Forwarding
12
LAB 3
IMPLEMENTASI FIREWALL NAT
3. Firewall Mangle
26
13
DIAGRAM MANGLE
27
PENJELASAN MANGLE
CONNECTION MARK
28
14
FIREWALL MANGLE
CONNECTION MARK
29
30
15
31
HASIL KONFIGURASI
Untuk mengetahui berhasil atau tidaknya marking yang kalian lakukan, ketika anda
coba browsing maka angka counter pada rules yang anda buat akan berjalan.
32
16
Penjelasan Chain Pada Mangle
• Input, Output, Forward : Penjelasannya tidak jauh berbeda dengan yang
ada di dalam Filter Rule.
• Forward : Untuk memproses trafik paket data yang hanya melewati
router. Contohnya saat kita mengakses internet. Trafik laptop saat
mengakses internet dapat di-manage dengan chain forward.
• Prerouting : koneksi yang akan masuk kedalam router dan melewati
router. Berbeda dengan input yang mana hanya akan menangkap trafik
yang masuk ke router. Trafik yang melewat router dan trafik yang masuk
kedalam router dapat ditangkap di chain prerouting.
• Postrouting : koneksi yang akan keluar dari router, baik untuk trafik yang
melewati router ataupun yang keluar dari router.
• Output : Untuk memproses trafik paket data yang keluar dari router.
Trafik yang berasal dari dalam router dengan tujuan jaringan public
maupun jaringan local. Misal dari new terminal winbox, kita melakukan
ping ke ip google.
33
LATIHAN MANDIRI
34
17
4. Firewall Raw
• Firewall RAW merupakan tabel firewall yang mirip dengan tabel filter
yakni menangani filtering paket. Namun raw memiliki keunggulan
yaitu tidak memakan resource cpu sebanyak pada firewall filter (lebih
ringan). Hal ini dikarenakan raw mampu melakukan bypass atau drop
paket sebelum terjadinya proses connection tracking.
• Firewall raw hanya memiliki dua chain, yakni prerouting dan output.
Kenapa demikian ? Seperti yang sudah dikatakan pada bagian atas
tadi bahwa raw bekerja atau melakukan filtering paket sebelum
proses connection tracking
35
18
Lab 5
Implementasi Firewall Raw
37
Konfigurasi (1)
• Klik Menu IP Firewall – Raw
• Parameter yang disetting seperti berikut
38
19
Konfigurasi (2)
39
40
20
Jenis Address List
•Static Address List
•Dynamic Address List
41
Penjelasan
Konfigurasi NAT 1 diatas bermaksud memberikan akses internet yang penuh bagi
komputer administrator (ditandai dengan src-address-list=“pc-admin”)
21
LATIHAN ADDRESS LIST
1. Buat Address List Dynamic Untuk Menandai IP Youtube
2. Buat Address List Dynamic Untuk Menandai IP Zoom
43
LAYER 7 PROTOCOL
Apa itu Layer 7 Protocol ?
^.+(instagram.com).*$
^.+(facebook|youtube|twitter|bukalapak|tokopedia|belibeli.com|beli-
beli|lazada|shopee|www.facebook.com|ganool).*$
^.*get.+\.iso.*$
44
22
Latihan Blok Situs
45
Langkah KONFIGURASI
2. Buat Filter Rule Action Drop untuk Port TCP dan UDP
46
23
DAFTAR SCRIPT REGEX LAINNYA
WhatsApp
^.+(whatsapp.com|whatsapp.net|wa.me).*$
IDM
Bittorent
^.*(get|GET).+(torrent|thepiratebay|isohunt|entertane|
demonoid|btjunkie|mininova|flixflux|torrentz|vertor|h33t|btscene|
bitunity|bittoxic|thunderbytes|entertane|zoozle|vcdq|bitnova|
bitsoup|meganova|fulldls|btbot|flixflux|seedpeer|fenopy|gpirate|
commonbits).*\$"
47
48
24
Penerapan ARP untuk Keamanan DHCP Server
Agar Client tidak bisa menggunakan IP Static
Deskripsi
49
Langkah Konfigurasinya:
1. Klik Interfaces, kemudian double klik interface LAN yang digunakan sebagai
interface DHCP
2. Pilih Di Bagian ARP : Reply-Only
50
25
3. Konfigurasi di DHCP Server untuk menambahkan ARP ketika terjadi DHCP-lease. Klik IP–>DHCP
Server, edit DHCP, check Add ARP for leases
51
52
26
Konfigurasi Agar User Tidak Bisa Mengganti IP Static di Jaringan
Mikrotik Dengan Fungsi Reply-Only
• Klik Menu IP – ARP
• Daftarkan IP Address dan Mac Addressnya Termasuk IP Gateway Mikrotik ETH-1 dan ETH-2
53
54
27
Yang Harus dilakukan Setelah
Konfigurasi Dasar Mikrotik
KEAMANAN
JARINGAN EKSTERNAL (PUBLIC)
56
28
Tips Mengamankan Router Mikrotik
57
• Pada tutorial ini akan dibahas cara mudah tahap awal mengamankan
router mikrotik yaitu dengan cara menutup port di menu IP –
Service.
• port adalah mekanisme yang mengizinkan sebuah komputer untuk
mendukung beberapa sesi koneksi dengan komputer lainnya dan
program di dalam jaringan.
• Port dapat mengidentifikasikan aplikasi dan layanan yang
menggunakan koneksi di dalam jaringan TCP/IP. Sehingga, port juga
mengidentifikasikan sebuah proses tertentu di mana sebuah server
dapat memberikan sebuah layanan kepada klien atau bagaimana
sebuah klien dapat mengakses sebuah layanan yang ada dalam
server.
• Dimana secara default port-port servist list mikrotik masih terbuka
diantaranya api, ftp, ssh, telnet, winbox, http, dan https. Untuk itu
harus kita tutup (disable
58
29
Teknis Konfigurasi
59
Keterangan Port
60
30
Langkah Terakhir
61
62
31
Beberapa Studi Kasus Tentang Penggunaan
Firewall Mikrotik
63
Jadi Firewall ini berarti : “Jika ada Client dengan IP : 192.168.1.34 yang akan
mengakses internet dengan OUTGOING melalui Interface WAN, maka
koneksi ini akan di DROP oleh Mikrotik.
64
32
Blok Berdasarkan MAC Address
Jadi Firewall ini berarti : “Jika ada Client dengan Mac Address sesuai Mac
target yang akan mengakses internet dengan OUTGOING melalui
Interface WAN, maka koneksi ini akan di DROP oleh Mikrotik. 65
66
33
2. Membuat Rule Firewall di Filter Rule
68
34
Blokir Berdasarkan Port
Contoh Kasus
Di Sebuah kantor menerapkan kebijakan bahwa komputer dibagian
Gudang hanya bisa mengakses Ms Outlook saja sebagai email client, dan
tidak diperbolehkan melakukan browsing selama jam kerja
Penyelesaian
69
70
35
Blok Dari IP Attacker
71
Jadi Firewall ini berarti : “Jika ada orang atau system dengan IP
Address yang terdaftar pada “ATTACKER” yang akan mengakses IP Publick /
IP WAN kita yang masuk melalui Interface WAN, maka koneksi ini akan
di DROP oleh Mikrotik.
72
36
LAB MANDIRI
73
• WhatsApp : 081214518859
• E-mail : padepokanit.course@gmail.com
• Padepokan IT Store : bit.ly/padepokanit-store
• Youtube Chanel : Padepokan IT Course
• Facebook : www.facebook.com/padepokanit
• Gallery Training IG : @padepokanit
• Website : www.padepokanit.com
37
Padepokan IT Course
www.padepokanit.com
75
38