Assalamu'alaikum wr.wb
Kali ini kita akan belajar tentang firewall pada Mikrotik. Firewall merupakan dinding yang membatasi antara jaringan Local dengan jaringan Public, firewall inilah yang mengaatur semua traffic, apakah traffic tersebut boleh lewat atau tidak.
Firewall digunakan untuk melindungi Router dari akses yang tidak dikehendaki baik yang berasal dari luar (Internet) maupun dari sisi client (Local). Firewall juga digunakan untuk memfilter akses antar network yang melalui Router. Dalam MikroTik, firewall diimplementasikan dalam fitur Filter Rule dan NAT.
Macam-macam Firewall Chain
Dalam Firewall Filter, ada 3 default chain (yang otomatis dilewati traffic) dalam MikroTik dan tidak dapat dihapus, yaitu :
- Chain Input, digunakan untuk memproses paket yang memasuki router melalui salah satu interface dengan alamat IP tujuan yang merupakan salah satu alamat IP router. Paket tidak dapat melewati router bila bertentangan dengan aturan/rule chain input
- Chain Forward, digunakan untuk memproses paket yang melewati router
- Chain Output, digunakan untuk memproses paket berasal dari router dan meninggalkan melalui salah satu interface
Setiap aturan chain yang dibuat akan dibaca oleh router dari atas ke bawah. Paket dicocokkan dengan kriteria umum dalam suatu chain, apabila cocok paket akan melalui kriteria umum chain berikutnya/dibawahnya (kecuali dipassthrough).
Chain ini bekerja berdasarkan prinsip IF .... , THEN .... .
IF adalah kondisi apakah paket memenuhi syarat pada rule yang kita buat. Sedangkan THEN adalah action atau tindakan yang akan dilakukan pada paket tersebut.
IF Condition berada pada tab General, Advanced dan Extra
Keterangan tab General :
- Src. Address : Source IP atau IP sumber
- Dst. Address : Destiation IP atau IP tujuan
- Protocol : Protocol yang digunakan (TCP/UDP/ICMP, dll)
- Src. Port : Source port atau port sumber
- Dst. Port : Destination port atau port tujuan
- In. Interface : Interface untuk masuknya traffic
- Out. Interface : Interface untuk keluarnya traffic
- Packet Mark : Paket yang terlah ditandai
THEN Condition berada pada tab Action
Macam-macam action :
- accept - paket diterima dan tidak melanjutkan ke rule berikutnya
- add-dst-to-address-list - menambahkan destination address ke address list tertentu sesuai dengan parameter address list yang ditentukan
- add-src-to-address-list - menambahkan source address ke address list tertentu sesuai dengan parameter address list yang ditentukan
- drop - mendrop paket secara diam-diam tanpa pemberitahuan
- jump - melompat ke chain lain yang telah ditentukan pada parameter jump target
- log - menambahkan informasi paket data ke log
- passtrough - melewati rule ini dan melanjutkan ke rule berikutnya
- reject - mendrop paket dan mengirim pesan penolakan ICMP
- return - kembali ke chain dimana chain jump berada
- tarpit - menangkap dan menahan koneksi TCP (dijawab dengan SYN/ACK ke inbound paket TCP SYN)
Firewall Strategi
Banyak traffik yang harus difilter dan dipilah mana yang harus di perbolehkan (accept) dan mana yang harus di buang (drop)
Ada 2 metode untuk menyederhanakan rule firewall yang kita buat:
Secara default apabila tidak ada rule apapun di firewall, maka semua traffik akan di accept oleh router
Lab - Protecting Our Router
A. Accept few drop any
Buatlah rule agar hanya laptop kita yang dapat mengakses router (chain input), disini router kita menggunakan IP 100.100.100.1/24 dan laptop kita yg diperbolehkan mengakses router menggunakan IP 100.100.100.2/24.
1. Masuk ke menu IP > Firewall > Filter Rule kemudian klik tombol add lalu masuk ke tab General
IF (jika) ada traffic input yang berasal dari laptop dengan IP 100.100.100.2
2. Masuk ke tab Action
THEN paket akan di 'Accept' ,
setelah itu klik Apply kemudian OK
3. Kita sudah membuat rule untuk melakukan Accept hanya pada IP laptop kita (Accept few), sedangkan selain laptop kita akan dibuatkan rule untuk di drop (drop any)
Buat lagi rule melalui menu IP > Firewall > Filter Rules > General.
IF any traffic (semua traffic) input (masuk) ke router
Banyak traffik yang harus difilter dan dipilah mana yang harus di perbolehkan (accept) dan mana yang harus di buang (drop)
Ada 2 metode untuk menyederhanakan rule firewall yang kita buat:
- Drop beberapa, lainya diterima (drop few, accept any)
- Terima beberapa, lainya dibuang (accept few, drop any)
Secara default apabila tidak ada rule apapun di firewall, maka semua traffik akan di accept oleh router
Lab - Protecting Our Router
A. Accept few drop any
Buatlah rule agar hanya laptop kita yang dapat mengakses router (chain input), disini router kita menggunakan IP 100.100.100.1/24 dan laptop kita yg diperbolehkan mengakses router menggunakan IP 100.100.100.2/24.
1. Masuk ke menu IP > Firewall > Filter Rule kemudian klik tombol add lalu masuk ke tab General
IF (jika) ada traffic input yang berasal dari laptop dengan IP 100.100.100.2
THEN paket akan di 'Accept' ,
setelah itu klik Apply kemudian OK
3. Kita sudah membuat rule untuk melakukan Accept hanya pada IP laptop kita (Accept few), sedangkan selain laptop kita akan dibuatkan rule untuk di drop (drop any)
Buat lagi rule melalui menu IP > Firewall > Filter Rules > General.
IF any traffic (semua traffic) input (masuk) ke router
kosongkan bagian Src. Address untuk semua source address
4. Selanjutnya masuk ke tab Action
THEN paket akan di 'Drop'
5. Akan ada 2 chain rule, perhatikan jumlah bytes pada setiap chain rule ketika kita mengakses ke router, tetap ataukah bertambah ? Seharusnya nilainya akan bertambah.
Cobalah masing-masingg client yang tidak memiliki ip 100.100.100.2 untuk melakukan ping, akses web dan remote winbox ke router, maka tidak akan bisa dan jumlah byte pada rule firewall akan bertambah.
B. Drop any accept view
Hapus semua rule yang telah dibuat, kali ini kita menggunakan metode drop any accept view. Pada metode ini kita akan drop any packet kecual dari IP laptop kita yaitu 100.100.100.2
1. Masuk pada IP > Firewall > Filter Rules > General
IF ada traffic input selain (!) dari 100.100.100.2
Pada source address isi kan IP laptop kita yaitu 100.100.100.2, lalu klik kolom disebelahnya sehingga muncul tanda '!' . Tanda '!' ini berarti 'selain', maka apabila !100.100.100.2 dapat diartikan sebagai selain 100.100.100.2
2. Selanjutnya masuk ke tab Action
THEN packet akan di drop
Setelah itu klik Apply kemudian OK
3. Selanjutnya cek apakah angka pada bytes sudah berubah, apabila sudah berubah berarti rule telah berjalan. Sekarang cobalah untuk mengakses router melalui ip selain 100.100.100.2.
Nah itu dia pengenalan mengenai Firewall pada Mikrotik. Sekian yang dapat saya sampaikan, kurang lebihnya mohon maaf. Apabila ada yang masih belum paham tentang materi kali ini dapat bertanya di kolom komentar. Semoga artikel kali ini bermanfaat. Terimakasih
Wassalamu'alaikum wr.wb
Tidak ada komentar:
Posting Komentar