Embed Size (px)
Citation preview
By : Padepokan-IT Course
http://padepokan-it.blogspot.com
1
1. Konsep Dasar Firewall2. Penerapan ARP untuk Keamanan Internal Jaringan3. Kemanan Jaringan Public 4. Firewall Mangle – Connection Mark5. NAT & FILTER6. Scripting & Scheduler7. Blokir Situs8. Penerapan Firewall di Mikrotik untuk berbagai
kasus
2
Firewall adalah sistem keamanan jaringan komputer yang digunakanuntuk melindungi komputer dari beberapa jenis serangan dari komputerluar dengan cara dengan menyaring paket data yang keluar dan masuk
di jaringan
Firewall Merupakan Perangkat yang berfungsi untuk memeriksa danmenentukan paket data yang dapat keluar atau masuk dari sebuah
jaringan
3
Firewall terbagi atas dua jenis yakni,
1. Personal Firewall untuk melindungi sebuah komputer yang terhubung ke jaringan dari akses yang tidak dikehendaki,
2. dan Network Firewall yang didesain untuk melindugi jaringansecara keseluruhan dari berbagai serangan.
Pada dasarnya Firewall sendiri dapat melakukan hal-hal berikut:1) Mengatur dan mengontrol lalu lintas jaringan2) Melakukan autentikasi terhadap akses3) Melindungi sumber daya dalam jaringan privat4) Mencatat semua kejadian, dan melaporkan kepadaadministrator
4
Fungsi Firewall Dalam Jaringan
Packet Filtering : memeriksa header dari paket TCP/IP (tergantung arsitektur jaringannya, dalam contoh iniadalah TCP IP ) dan memutuskan apakah data inimemiliki akses ke jaringan.
Network Address Translation ( NAT ) : biasanya sebuahjaringan memiliki sebuah IP public dan di dalam jaringansendiri memiliki IP tersendiri. Firewall berfungsi untukmeneruskan paket data dari luar jaringan ke dalamjaringan dengan benar sesuai IP komputer lokal.
Application Proxy : firewall bisa mendeteksi protocolaplikasi tertentu yang lebih spesifik.
Traffic management : mencatat dan memantau trafikjaringan
5
IMPLEMENTASI FIREWALL
Firewall filtering biasanya dilakukan dengan caramendefinisikan IP addres, baik itu src-address maupun dst-address.
Digunakan Untuk Filtering Jaringan Misalnya Jika inginMemblok komputer client yang memiliki ip tertentu atauketika melakukan blok terhadap web tertentu berdasarkan ipweb tersebut.
Digunakan untuk melindungi jaringan local dari ancaman luar,misalnya virus atau serangan hacker
Ada 2 tipe address list, "Src. Address List" dan “dst Address
List” Src Address List adalah daftar sumber ip yang melakukan
koneksi, Dst Address List adalah ip tujuan yang hendak
diakses.
Keyword Address List
6
KEAMANAN JARINGAN INTERNAL
7
Penerapan ARP untuk Keamanan DHCP Server Agar Client tidak bisa menggunakan IP Static
Deskripsi
Address Resolution Protocol (ARP)merupakan protocol Jaringan Localyang digunakan untuk membuatpemetaan antara IP address dan MacAddress yang dimiliki satu computerhost.
Pemetaan ini bersifat dinamikartinya Router Mikrotik akanmencari sendiri MAC address suatukomputer user berdasarkan IPAddress Komputer tersebut.
8
Langkah Konfigurasinya:1. Klik Interfaces, kemudian double klik interface LAN yang
digunakan sebagai interface DHCP2. Pilih Di Bagian ARP : Reply-Only
9
3. Konfigurasi di DHCP Server untuk menambahkan ARP ketika terjadi DHCP-lease. Klik IP–>DHCP Server, edit DHCP, check Add ARP for leases
10
Pemetaan IP dan MACaddress dapat saja dibuatmenjadi static sehinggaseorang user tidak dapatmenggunakan IP addressuser milik user orang lain.
Karena Jika User tersebutmengganti IP addressnyamaka pemetaan ARP nyamenjadi tidak Valid lagidan ini akanmengakibatkan komputeruser tersebut tidak dapatterhubung ke routermikrotik
11
Konfigurasi Agar User Tidak Bisa Mengganti IP Static di
Jaringan Mikrotik Dengan Fungsi Reply-Only
Klik Menu IP – ARP
Daftarkan IP Address dan Mac Addressnya Termasuk IP Gateway Mikrotik ETH-1 danETH-2
12
Selanjutnya Rubah ARP menjadi Reply-Only di Menu Interface ETH2-LAN
13
KEAMANAN
JARINGAN EKSTERNAL (PUBLIC)
14
MENGAMANKAN Service Port
Pada tutorial ini akan dibahas cara mudah tahap awalmengamankan router mikrotik yaitu dengan cara menutupport di menu IP – Service.
port adalah mekanisme yang mengizinkan sebuahkomputer untuk mendukung beberapa sesi koneksi dengankomputer lainnya dan program di dalam jaringan.
Port dapat mengidentifikasikan aplikasi dan layanan yangmenggunakan koneksi di dalam jaringan TCP/IP. Sehingga,port juga mengidentifikasikan sebuah proses tertentu dimana sebuah server dapat memberikan sebuah layanankepada klien atau bagaimana sebuah klien dapat mengaksessebuah layanan yang ada dalam server.
Dimana secara default port-port servist list mikrotik masihterbuka diantaranya api, ftp, ssh, telnet, winbox, http, danhttps. Untuk itu harus kita tutup (disable
15
Teknis Konfigurasi
16
Keterangan Port
17
Langkah Terakhir
18
FIREWALL MANGLECONNECTION MARK
19
PENJELASAN MANGLE CONNECTION MARK
20
Contoh Studi Kasus Penggunaan Mark Connection
21
22
HASIL KONFIGURASI
23
Untuk mengetahui berhasil atau tidaknya marking yang kalian lakukan, ketika anda coba browsing maka angka counter pada rules yang anda buat akan berjalan.
LATIHAN
• Buat Marck Connection Untuk Ping
• Buat Mark Connection Untuk DNS
• Buat Mark Connection Untuk Download
• Buat Mark Connection Untuk Streaming
24
KONSEP NAT & FILTER
25
Network Address Translation
(NAT)
Nat adalah Suatu Fungsi Firewall yangbertugas melkukan perubahan IP addresspengirim dari sebuah paket data
Nat umumnya dijalankan pada router-routeryang menjadi batas antara jaringan local &jaringan internet
Secara Teknis NAT akan mengubah paket datayang berasal dari komputer user seolah-olahberasal dari router
Syntak : ip firewall nat add chain=srcnat out-interface=ether1 action=masquarade
26
Penerapan NAT
• Masquarade Untuk IP Address Tertentu
Dengan Menambahkan src-address : 192.168.1.2-192.168.1.10 maka hnayaIP komputer tersebutlah yang bisa berinternet
• Masquarade Untuk Aplikasi Tertentu
Implementasi dilapangan jika kita mengiginkan komputer user hanyamendapatkan layanan internet tertentu. (Misal hanya browsing saja), makaadmin harus menambahkan opsi protocol dan destination port.
• Masquarade dengan Fungsi Waktu
Router dapat membatasi akses layanan internet berdasarkan Hari dan jam.
27
Filter
•Fitur Filter Pada firewall digunakan untuk menentukanapakah suatu paket data dapat masuk atau tidakkedalam sistem router itu sendiri
•Paket data yang akan di tangani fitur filter ini adalahpaket data yang ditujukan pada salah satu interface router
•Fitur Filter dapat menangani paket data yang melintasirouter dari jaringan local ke internet
•Fitur Filter dapat dikolaborasikan dengan NAT
•Fitur Filter memiliki 3 Chain : Input, Output, Forward
28
Chain Input
• Bertugas Menangani paket data yang ditujukan pada interface router mikrotik
• Chain input berguna untuk membatasi akses konfigurasi terhadap router mikrotik.
• Contoh Bila admin mengiginkan interface ether1 tidak dapat di ping dariinternet
Syntak : ip firewall filter add chain=input in-interface=ether1 prtocol=icmpconnection-state=established action=accept
29
Chain Forward
Digunakan untuk menangani paket data yangakan melintasi router
Chain Forward akan menangani paket datayang melintasi router, baik paket data darijaringan lokalyang ingin ke internet maupunsebaliknya.
Implementasi Chain Forward, ketika adminmemblok akses internet dari IP tertentu.
Syntak : ip firewall filter add chain=forward src-address=192.168.10.5/24 out-interface=ether1 action = drop
30
Chain Forward dan Content
• Digunakan untuk memblokir akses internet terhadap situstertentu ataupun aktifitas user yang ingin mendownloadjenis-jenis file tertentu
• Untuk Menggunakannya gunakan option content yang adapada fitur firewall filter.
• Contoh Syntak
ip firewall filter add chain=forward src-address=192.168.1.5/24 content=www.facebook.com action=drop
31
Action Drop digunakan untuk memblokir
Action Drop VS Action Reject
• Action Drop berfungsi Membuang Paket data Yang berasal dari komputeryang di blok oleh router.
• Action Reject berfungsi membuang paket data namun router akanmemberitahukan kepada komputer user. Pemberitahuan ini menggunakanprotokol ICMP (Internet Control Message protocol)
Contoh Syntak :ip firewall filter add chain=forward src address=10.10.10.0/24
action=reject reject-with=icmp-host-uncreable
32
Address List
• Router Mikrotik Menyediakan fitur address list untuk merujuk IP address tertentudengan sebuah nama.
• Fitur ini dapat digunakan untuk keperluan deklarasi IP Address maupun untukkepentingan logging (Pencatatan Aktifitas Jaringan)
• Penggunaan deklarasi IP address menjadi sebuah nama akan membuat anda tidakterlalu repot mengelola jaringan jika suatu saat terjadi perubahan IP Address.
33
CONTOH KASUS
Admin Jaringan ingin memberikan Akses yang seluas-luasnya bagi komputeradministrator dengan IP Address 192.168.10.4 namun tiba-tiba sang administrator tidakingin lagi menggunakan IP address tersebut mengakibatkan admin harus merubahseluruh konfigurasi yang sudah dibuat pada filter maupun NAT. Dengan MenggunakanAddress List admin jaringan hanya cukup merubah deklarasi IP Address bahwa komputeradministrator sudah berpindah ke IP Address 192.168.10.3
Implementasi Addres List
1. Membuat Address List
2. Penerapan Address List Pada NAT
34
Ip firewall address-list add address=192.168.1.0/24 list=‘jaringan-
local’
Ip firewall address-list add address=192.168.1.2/24 list=‘pc-admin’Ip firewall nat add chain=srcnat out interface=ether1 src-address-
list=“pc-admin” action=masquarade
Ip firewall nat add chain=srcnat out interface=ether1 src-address-
list=“jaringan-lokal” protocol=tcp dst-port=80,443 action masquarade
Penjelasan
Konfigurasi NAT 1 diatas bermaksud memberikan akses internet yang penuh
bagi komputer administrator (ditandai dengan src-address-list=“pc-admin”)
Konfigurasi Di NAT yang ke 2 hanya memberikan akses in ternet browsing
(http/https) pada komputer-komputer lain ditandai dengan src-address-list =
“jaringan-lokal”)
1. Membuat Firewall Untuk Memblock Akses Internet Dari 1 IpAddress Client.
2. Membuat Firewall Untuk Memblock Akses Internet Dari 1 MacAddress Client.
3. Membuat Firewall Untuk Memblock Akses Internet DariSekelompok Ip Address Client.
4. Blokir Berdasarkan Port
5. Membuat Firewall Untuk Memblock Akses Internet DariSekelompok Ip Address Attacker.
6. Membuat Firewall Untuk Memblock Akses Internet Dari Client KeSuatu Websites Terlarang.
7. Membuat Firewall Dengan Penjadwalan Waktu
8. Membuat Firewall Dengan Fasilitas Layer 7 (RageXp)
35
Blok Akses Internet Berdasarkan IP Tertentu
36
Jadi Firewall ini berarti : “Jika ada Client dengan IP : 192.168.1.34 yang akanmengakses internet dengan OUTGOING melalui Interface WAN, maka
koneksi ini akan di DROP oleh Mikrotik.
Blok Berdasarkan MAC Address
37
Jadi Firewall ini berarti : “Jika ada Client dengan Mac Address sesuai
Mac target yang akan mengakses internet dengan OUTGOING melalui
Interface WAN, maka koneksi ini akan di DROP oleh Mikrotik.
Blok Berdasarkan Sekelompok IP Address
1. Membuat Daftar IP yang akan di Blok di Menu Address List
38
LANGKAHNYA :
2. Membuat Rule Firewall di Filter Rule
39
Jadi Firewall ini berarti : “Jika ada Client dengan IP Address yang terdaftar pada“CLIENT NO INTERNET” yang
akan mengakses internet dengan OUTGOING melaluiInterface WAN, maka koneksi ini akan di DROP oleh Mikrotik.
MEMBLOCK AKSES INTERNET DARI CLIENT KE SUATU WEBSITES TERLARANG.
40
Blokir Berdasarkan Port
Contoh Kasus
Di Sebuah kantor menerapkan kebijakan bahwa komputer dibagianGudang hanya bisa mengakses Ms Outlook saja sebagai email client, dantidak diperbolehkan melakukan browsing selama jam kerja
41
Penyelesaian
1. Login Menggunakan Winbox2. Masuk ke Menu IP – Firewall3. Klik Tab Filter Rule kemudian Klik tombol +4. Selanjutnya Masukan Script Dibawah ini
[admin@mikrotik] /ip firewall filter > add src-address=192.168.1.42 protocol=tcp dst-port=80 chain=forward action=drop
Konfigurasi Dengan Winbox
42
Blok Dari IP Attacker
43
Jadi Firewall ini berarti : “Jika ada orang atau system dengan IP Address yang terdaftar pada “ATTACKER” yang akan mengakses IP Publick /
IP WAN kita yang masuk melalui Interface WAN, maka koneksi ini akandi DROP oleh Mikrotik.
44
Blok Situs Berdasarkan Waktu MenggunakanMetode Chain Forward dan Content
1. Mengatur Waktu di System Clok dan SNTP Client
2. Membuat Rule Di Firewall Filter
3. Membuat Script Untuk Menjalankan Firewall Secaraotomatis
4. Membuat Penjadwalan Waktu di Menu Sheduler
5. Uji Coba Firewall di Komputer Client
45
Tahapan Konfigurasi :
Mengatur System Clock dan SNTP Client
46
System - Clock
System – SNTP Client
Menambahkan Filter Rule
47
Catatan : Jika ingin Memblok Seluruh Client untuk tidak bisa mengakses facebook tuliskan pada srcaddress 0.0.0.0/0 artinya semua IP pada range semua subnet yaitu semua alamat ip dari 0.0.0.1 s/d 255.255.255.255 akan di blok untuk tidak bisa mengakses situs facebook
Membuat Script Untuk Menonaktifkan Firewall
48
/system script add name="fb-allow" policy=write,read,policy,test,sniffsource={/ip firewall filter set [/ipfirewall filter find content="facebook"] disabled=yes}
VIA TERMINAL
/system script add name="fb-deny" policy=write,read,policy,test,sniffsource={/ip firewall filter set [/ipfirewall filter find content="facebook"] disabled=no}
Membuat Script Untuk Mengaktifkan Firewall
49
VIA TERMINAL
Membuat Penjadwalan (Shedule) Script
50
Klik System - Scheduler
51
Konfigurasi By Terminal
• /system scheduler add name="fb-08:00" start-date=jun/03/2014 start-time=08:00:00 interval=1d on-event="fb-deny“
Schedule untuk mengaktifkan (enable) firewall pada jam kerja (08:00) :
• /system scheduler add name="fb-12:00" start-date= jun/03/2014start-time=12:00:00 interval=1d on-event="fb-allow“
Schedule untuk mematikan (disable) firewall pada jam istirahat (12:00) :
• /system scheduler add name="fb-13:00" start-date= jun/03/2014start-time=13:00:00 interval=1d on-event="fb-deny“
Schedule untuk mengaktifkan kembali (enable) firewall pada jam kerja (13:00)
• /system scheduler add name="fb-17:00" start-date= jun/03/2014start-time=17:00:00 interval=1d on-event="fb-allow“
Schedule untuk mematikan (disable) firewall di luar jam kerja ke atas ( > 17:00) :
52
Membuat Firewall Dengan Fasilitas Layer 7 (RageXp)
Mengapa layer7? Sebelumnya saya pernah menerapkan blok akses Facebook
dengan cara drop by content pada Firewall. Hasilnya Facebook.com memangberhasil diblok, namun beberapa website (seperti forum cpanel dan website lain yang mengandung konten Facebook) ikut terblok. Setelah dicoba menerapkan
rule blok akses Facebook dengan layer7, hasilnya sesuai dengan harapan
Langkah Yang Dilakukan :
1. Membuat Exeption IP yang akan di Bypass (Optional)
2. Menambahkan Rule Facebook Pada Leyer 7
3. Membuat Mangle Mark Connection dan Mark Packet
4. Setting Filter Rule Untuk Penyaringan Paket yang Masuk dengan 2 buah filter ( Action – Jump, dan Action Drop)
53
Membuat Exeption (IP yang akan di Bypass)
• IP >> FIREWALL >> Address List
• Klik tanda + (Add)
• Beri Nama dan Tentukan IP yang akan di Bypass
54
Menambahkan Rule Facebook Pada Leyer 7• IP > FIREWALL > Layer 7 Protocols
• Klik tanda + (Add), tambahkan seperti pada gambar di bawah. Kemudian klik OK
55
Situs Yang akan di Blok
Membuat Mangle Mark Connection dan Mark Packet
Mangle berfungsi mengelompokkan akses yang menuju kewww.facebook.com untuk dimasukan ke rule illegal-url-connection.
Langkahnya
• IP > FIREWALL > MANGLE
• Tambahkan mangle yang pertama, klik button + (Add)
• Pada menu General > Chain: pilih Forward
• Pada menu Advanced > Layer7 Protocol: pilih www.face (sesuai yang kita isidi layer7)
• Pada menu Action > pilih mark connection, kemudian new mark connection isikan: mark-ilegal-connection. Detail seperti gambar di bawah ini:
56
Mangle Mark Connection
57
Mangle Mark Packet
• Tambahkan mangle kedua dengan klik tanda + (Add) Pada General > Chain: pilih forward.
• Connection mark: pilih mark-ilegal-connection Pada menu Action: pilih mark packet, new mark packet isikan dengan: facebook-packet. Detail seperti gambar di bawah ini:
58
Setting Filter Rule Untuk Penyaringan Paket yang Masuk• IP > FIREWALL > FILTER RULE
• Silakan tambahkan filter rule, klik tanda + (Add).
• Pada menu General > Chain : pilih forward, Packet Mark: pilih facebook-packet (sesuai isi dari new mark packet pada mangle)
• Pada menu Action > Action: pilih jump, jump target isikan : ilegal-url. Detailnya seperti di gambar di bawahini:
59
Setting Filter Rule Action Drop• Silakan tambahkan filter rule untuk drop, klik tanda + (Add)
• Pada menu General > Chain: pilih ilegal-url
• Pada menu Advanced > source dan destination address list centang tanda seru dan pilihexception (bertanda bahwa list exception tidak dikenakan drop action)
• Pada menu Action > Action: pilih drop. Detailnya seperti gambar di bawah ini:
60
Firewall Default Configuration Mikrotik
Ada beberapa rule firewall yang akan dibuat oleh default konfigurasi untukkemanan router dan untuk menghemat resource router dengan melakukan drop paket yang tidak dibutuhkan. Berikut rule firewall default konfigurasi :
61
/ip firewall filter add chain=input action=accept protocol=icmp comment="default configuration" filter add chain=input action=accept connection-state=established in-interface=ether1-gateway comment="default configuration" filter add chain=input action=accept connection-state=related in-interface=ether1-gateway comment="default configuration" filter add chain=input action=drop in-interface=ether1-gateway comment="default configuration" nat add chain=srcnat out-interface=ether1-gateway action=masquerade comment="default configuration"
1
2
3
4
5
Penjelasan Rule Firewall
• Rule pertama di firewall tersebut akan mengijinkan koneksiICMP yang menuju ke router.
• Rule kedua mengijinkan koneksi yang sudah memiliki statusestablished menuju ke router
• Rule ketiga mengijinkan koneksi yang sudah memiliki statusrelated yang juga menuju router.
• Rule keempat akan melakukan drop setiap koneksi menujurouter yang masuk melalui interface ether1-gateway
• Dan rule terakhir merupakan rule NAT yang mengijinkanclient dibawah router untuk meminjam ip router agar bisaterkoneksi ke jaringan internet.
62
3 Cara Ampuh Blokir Situs
1. Buat Rule di Regexp Layer 7
2. Buat Mangle
3. Buat Filter Rule
Tutorial Lengkap Bisa di Baca disini
http://padepokan-it.blogspot.com/2015/05/3-cara-ampuh-blokir-situs-di-mikrotik.html
63
STUDI KASUS FIREWALLPERUSAHAAN JAYA SAKTI CEMERLANG MENERAPKAN MIKROTIK SEBAGAI ROUTER,
ANDA SEBAGAI ADMIN JARINGAN DI BERI TANGGUNG JAWAB UNTUK MENGELOLA
KEAMANAN JARINGAN. DIMANA PERUSAHAAN MEMPUNYAI KEBIJAKAN SEBAGAI BERIKUT:
1. Komputer client dengan IP 192.168.1.40 Sama sekali tidak bolehmengakses internet
2. Komputer client dengan IP 192.168.1.41 tidak bisa buka semua situskecuali E-mail saja
3. Komputer client dengan IP 192.168.1.42 hanya bisa buka situsJamsostek saja. Yaitu www.bpjsketenagakerjaan.go.id
4. Komputer client dengan IP 192.168.1.43 hanya boleh mengakses situsberita saja seperti detik.com, kompas.com, liputan6.com dan yang lainnya.
5. Setiap komputer client tidak bisa merubah IP yang telah diberikan olehadmin. dengan konsekuensi jika merubah IP maka tidak akanterkoneksi ke internet.
6. Untuk Client Wifi / DHCP Server tidak bisa merubah IP menjadi Static.
7. Semua komputer client khusus staff tidak bisa membuka situs facebookdan youtube pada jam kerja mulai jam 08.00 – 17.00
8. Yang mempunyai full akses ke semua website hanya PC Manager, Direktur, dan Owner. Dengan segmen IP 192.168.10.0/24
9. Tidak bisa sembarang komputer khususnya client Laptop atau Gadget masuk ke area Wifi
10. Mikrotik tidak bisa diakses oleh yang tidak berwenang
64
STUDI KASUS 2
Bagaimana Konfigurasi Firewall di Mikrotik jika
Client (Laptop, Tablet, SmartPhone) tidak bisa
masuk ke Jaringan secara Sembarangan
Artinya Client tersebut Harus Terdaftar di
Router Mikrotik ?
Solusi
1. Gunakan Metode ARP Reply-Only Di
Interfaces.
2. Daftarkan Mac Address Client dan IP Nya di
ARP Mikrotik
65
Sumber Refrensi
Mikrotik.co.id
Mikrotikindo.blogspot.com
http://mediabisnisonline.com/tutorial-networking-blok-akses-facebook-di-mikrotik/
Buku Mikrotik Kungfu Jilid 1 Jasakom
Hasil Project/Implementasi Dilapangan di Garment Industry
66
By : Padepokan-IT COURSES
www.padepokanit.com
BERSAMBUNG KE BAGIAN-4MEMBUAT HOTSPOT DENGAN MIKROTIK
67
